2. 程式人生 > >Istio技術與實踐03:最佳實踐之sidecar自動註入

Istio技術與實踐03:最佳實踐之sidecar自動註入

阿新 發佈:2018-08-30
初始 aml emp tco git master oct 介紹 bec

Istio通過對serviceMesh中的每個pod註入sidecar,來實現無侵入式的服務治理能力。其中,sidecar的註入是其能力實現的重要一環(本文主要介紹在kubernetes集群中的註入方式)。sidecar註入有兩種方式,一是通過創建webhook資源,利用k8s的webhook能力實現pod的自動註入,二是通過istioctl工具,對yaml文件進行手動註入。在這裏對這兩種方式進行簡單介紹。

一、 webhook自動註入:
a) 準備條件:
i. 自動註入功能需要kubernetes 1.9或更高版本;
ii. kubernetes環境需支持MutatingAdmissionWebhook;

$ kubectl api-versions | grep admissionregistration
admissionregistration.k8s.io/v1beta1
iii. 需要在kube-apiserver的啟動參數中加入;
--admission-control=MutatingAdmissionWebhook,ValidatingAdmissionWebhook
iv. 確保master到node容器網絡通信正常。

b) 自動註入控制:
i. 可通過在sidecar-injector的configmap中設置policy=disabled字段來設置是否啟用自動註入(此處為全局控制是否啟用自動註入功能);

$ kubectl get cm istio-sidecar-injector -nistio-system
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-sidecar-injector
namespace: istio-system
data:
config: |-
policy: enabled //enabeld為開啟,disabeld為關閉
ii. 為需要自動註入的namespace打上標簽istio-injection: enabled(此處為ns級別的自動註入控制)。
$ kubectl get namespace -L istio-injection
NAME STATUS AGE ISTIO-INJECTION
default Active 1h
istio-system Active 1h
kube-public Active 1h
kube-system Active 1h
$ kubectl label namespace default istio-injection=enabled
namespace "default" labeled
$ kubectl get namespace -L istio-injection
NAME STATUS AGE ISTIO-INJECTION
default Active 1h enabled
istio-system Active 1h
kube-public Active 1h
kube-system Active 1h
iii. 同時也可以在deployment中通過設置annotation,sidecar.istio.io/inject=true來控制pod級別的自動註入。
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
name: test
spec:
replicas: 1
template:
metadata:
annotations:
sidecar.istio.io/inject: “true”
// true為啟用自動註入,false為關閉自動註入

c) 定義webhook參數文件MutatingWebhookConfiguration,格式如下(在helm包的sidecarInject中)。
這裏的語義就是,監聽具有istio-injection: enabled的label的namespace下的pod資源,當發生rules(CREATE POD)的動作時,則調用services(istio-sidecar-injector.istio-system的/inject接口)。
apiVersion: admissionregistration.k8s.io/v1beta1
kind: MutatingWebhookConfiguration
metadata:
name: istio-sidecar-injector
namespace: {{ .Release.Namespace }}
labels:
app: istio-sidecar-injector
webhooks:

  • name: sidecar-injector.istio.io
    clientConfig:
    service:
    name: istio-sidecar-injector
    namespace: {{ .Release.Namespace }}
    path: "/inject"
    caBundle: ""
    rules:
    • operations: [ "CREATE" ]
      apiGroups: [""]
      apiVersions: ["v1"]
      resources: ["pods"]
      failurePolicy: Fail
      namespaceSelector:
      matchLabels:
      istio-injection: enabled

d) webhook工作流程圖

e) 介紹了自動註入的註意事項與原理,終於可以測試下自動註入的結果了。
i. 首先安裝Istio控制面,確保sidecar-inject安裝完成;
$ kubectl get po -nistio-system | grep sidecar-injector
istio-sidecar-injector-5fb5999bf8-59k79 1/1 Running 0 1d
ii. 部署一個簡單的測試deploy,此處我們以nginx為例;
$ kubectl get po | grep nginx
nginx-v1-74c674fbd5-fl9bh 1/1 Running 0 22s
iii. 我們用步驟b).II中的方式為default的namespace打上自動註入標簽,刪除pod,觀察pod狀態,可以看到pod的容器數由1變為2;
$ kubectl get po | grep nginx
nginx-v1-54fbccf6fd-ff4k2 2/2 Running 0 4s
nginx-v1-74c674fbd5-fl9bh 1/1 Terminating 0 5m
iv. 可以看到sidecar容器已經註入成功,我們看下pod的描述信息,觀察下自動註入做了什麽。可以看到,自動註入向pod中插入了一個初始化容器istio-init和一個sidecar容器istio-proxy(詳細參數可以參考configmap:istio-sidecar-injector);
?
$ kubectl describe po nginx-v1-54fbccf6fd-ff4k2
Name: nginx-v1-54fbccf6fd-ff4k2
Namespace: default
Status: Running

...

Init Containers:
istio-init:
Container ID: docker://96951306e214594d0c1e550f732a81781287f79f0e5a3262455f38535d42d61f
Image: istio/proxy_init:0.8.0

...

Containers:
container-0:
Container ID: docker://237781c7ce1e8c1f49f68047142ce1738822bafbe504f836f51873cbb1ac1f5d
Image: nginx:1.12-alpine-perl
Port: 80/TCP
State: Running

...

istio-proxy:
Container ID: docker://7208d32552918a5853fd56171bdbab3de3ae734242d23b140f6e5c2a1a4bce64
Image: istio/proxyv2:0.8.0
Args:
proxy
sidecar
--configPath
/etc/istio/proxy
--binaryPath
/usr/local/bin/envoy
--serviceCluster
nginx

...

二、 istioctl手動註入:
a) 下載istioctl工具並拷貝至環境,鏈接https://github.com/istio/istio/releases/ ;
b) 將istioctl二進制拷貝至/usr/local/bin目錄下
mv -f istioctl /usr/local/bin
c) 安裝Istio控制面,確認註入相關configmap已創建成功
$ kubectl get cm -n istio-system | grep istio-sidecar-injector
istio-sidecar-injector 1 15h
d) 準備需要註入的文件test.yaml
e) 執行istioctl會在原始內容的基礎上加入sidecar的配置內容,並輸出到控制臺。
$ istioctl kube-inject -f test.yaml
f) 將istioctl處理之後的內容部署到kubernetes上
$ kubectl apply -f <(istioctl kube-inject -f test.yaml)
g) 可以通過k8s命令查看pod詳細內容
$ kubectl describe pod test-c9f4b55c7-np4cf

三、 總結:
這裏更推薦自動註入的方式來實現sidecar的註入,可以通過在deployment的annotation中加入對應的key來實現自動註入的控制。自動註入實現的邏輯並不復雜,主要是對k8s中webhook的使用,以及通過模板,向deployment中註入相應的container資源等。
https://console.huaweicloud.com/cce2.0/?region=cn-north-1#/app/istio/istioPublicBeta

Istio技術與實踐03:最佳實踐之sidecar自動註入

相關推薦

Istio技術實踐03最佳實踐sidecar自動

初始 aml emp tco git master oct 介紹 bec Istio通過對serviceMesh中的每個pod註入sidecar,來實現無侵入式的服務治理能力。其中,sidecar的註入是其能力實現的重要一環(本文主要介紹在kubernetes集群中的註入方

Istio技術實踐04最佳實踐教你寫一個完整的Mixer Adapter

Istio內建的部分介面卡以及相應功能舉例如下: circonus:微服務監控分析平臺。 cloudwatch:針對AWS雲資源監控的工具。 fluentd:開源的日誌採集工具。 prometheus:開源的時序資料庫,非常適合用來儲存監控指標資料。 statsd:採

Istio技術實踐6Istio如何為服務提供安全防護能力

軟件 基於 名稱 理解 認證 efault fault 訪問控制 text 凡是產生連接關系,就必定帶來安全問題,人類社會如此,服務網格世界,亦是如此。今天,我們就來談談Istio第二主打功能---保護服務。那麽,便引出3個問題:? Istio憑什麽保護服務?? I

Istio技術實踐01 源碼解析Pilot多雲平臺服務發現機制

news catalog disco 現在 自動 註入 ren con endpoint 服務模型 首先,Istio作為一個(微)服務治理的平臺,和其他的微服務模型一樣也提供了Service,ServiceInstance這樣抽象服務模型。如Service的定義中所表達的,

Istio技術實踐06史上最全!Istio安裝引數介紹

一、 CertManage Istio-1.0版本新加入的元件,利用ACME為Istio簽發證書 Key Default Value Description certmanager.enabled TRUE

Istio技術實踐01 原始碼解析Pilot多雲平臺服務發現機制

服務模型 首先,Istio作為一個(微)服務治理的平臺,和其他的微服務模型一樣也提供了Service,ServiceInstance這樣抽象服務模型。如Service的定義中所表達的,一個服務有一個全域名,可以有一個或多個偵聽埠。 type Service struct 

Istio技術實踐02原始碼解析Istio on Kubernetes 統一服務發現

前言 文章Istio技術與實踐01: 原始碼解析之Pilot多雲平臺服務發現機制結合Pilot的程式碼實現介紹了Istio的抽象服務模型和基於該模型的資料結構定義,瞭解到Istio上只是定義的服務發現的介面,並未實現服務發現的功能,而是通過Adapter機制以一種可擴充套件

2017-2018-2 20179205《網絡攻防技術實踐》第十一周作業 SQL攻擊實踐

tac 原理 HERE 經典的 事先 不存在 編程語言 行數 顯示 《網絡攻防技術與實踐》第十一周作業 SQL註入攻擊與實踐 1.研究緩沖區溢出的原理,至少針對兩種數據庫進行差異化研究 緩沖區溢出原理 ??在計算機內部,輸入數據通常被存放在一個臨時空間內,這個臨時存放的空

Docker監控最佳實踐以及cAdvisor和Prometheus監控工具的對比

在 DockerCon EU 2015上, Brian Christner闡述了“ Docker監控”的概況,分享了這方面的最佳實踐和Docker stats API的指南,並對比了三個流行的監控方案:cAdvisor、“cAdvisor + In

Python書籍推薦《Python程式設計最佳實踐指南》

        《Python程式設計之美:最佳實踐指南》的作者之一就是大名鼎鼎的K神,Kenneth Reitz,也就是requests庫的作者。在這裡必須誇一下requests庫,真是太好用了,能用requests絕不用urllib、urllib2。K神出品,必屬精品!!

薦書|Python程式設計最佳實踐指南

被眾多實踐驗證過的技巧、經驗大全Python安裝、配置和使用的最佳實踐手冊Python 是一個大

OPEN(SAP) UI5 學習入門系列 最佳實踐練習(上)

我們暫時不用Component來做模組化,我們先用最快最簡單的方法讓程式可以跑出個樣子來,然後再慢慢的新增功能。  所以,我們先直接加入MVC。 簡單介紹下,MVC就是模型、檢視和控制器的簡稱,一般的Web開發都會用到這種架構用來把前端的UI和業務邏輯分離。具體先不多介紹,直接做吧。 我們先大致規劃一下,我

OPEN(SAP) UI5 學習入門系列 最佳實踐練習(下)

可以先把程式碼下載到本地並跑起來,這樣可以對這個最佳實踐的程式有一個直觀的瞭解。 頁面導航如下:  銷售訂單列表(Master) -> 銷售訂單明細(Detail) -> 行專案明細(LineItem),在每個明細頁面都可以返回到上一層。 具體頁面之間的導航是如何實現的呢?  我們從頁面的入口 

10個確保微服務容器安全的最佳實踐

作者 | Anna Bryk 市場研究專家 原文 | Microservices and Container Sec

容器服務 TKE 儲存外掛雲硬碟 CBS 最佳實踐應用

## 引言 隨著自研上雲的深入,越來越多的有狀態服務對於在 TKE 叢集中使用雲上儲存能力的需求也越來越強烈。 目前 [騰訊雲容器服務 TKE(Tencent Kubernetes Engine)](https://cloud.tencent.com/product/tke)已支援在 TKE 叢集中的應用

[持續交付實踐] pipelinepipeline 使用語法詳解

安裝工具 詳細 href 3.0 def 實現 能夠 action roo 一、引言 jenkins pipeline語法的發展如此之快用日新月異來形容也不為過,而目前國內對jenkins pipeline關註的人還非常少,相關的文章更是稀少,唯一看到w3c有篇相關的估計是

[持續交付實踐] pipelnepipeline 使用項目樣例

perf 腳本類 期待 hot ogr toc 補充 dubbo tor 項目說明 本文將以一個微服務項目的具體pipeline樣例進行腳本編寫說明。一條完整的pipeline交付流水線通常會包括代碼獲取、單元測試、靜態檢查、打包部署、接口層測試、UI層測試、性能專項測試(

微服務學習思考(03)微服務總體架構圖解

前面微服務2篇文章: - [微服務學習與思考(01):什麼是微服務?微服務的優勢和劣勢](https://www.cnblogs.com/jiujuan/p/13280473.html) - [微服務學習與思考(02):微服務實施前有哪些問題需要思考?](https://www.cnblogs.com/jiu

結構演算法(03)單向連結串列和雙向連結串列

本文原始碼:[GitHub·點這裡](https://github.com/cicadasmile/model-arithmetic-parent) || [GitEE·點這裡](https://gitee.com/cicadasmile/model-arithmetic-parent) # 一、連結串列

【ActiveMQ】消息生產者自動報錯Could not autowire. No beans of 'JmsMessagingTemplate' type found

註入 fin producer 定義 red because spl send code 使用ActiveMQ過程中,定義消息生產者: package com.sxd.jms.producer; import org.springframework.beans.fa