Istio服務(wù)網(wǎng)格技術(shù)解析與實(shí)踐

目　　錄?Contents
序　一
序　二
序　三
前　言
初級(jí)篇
第1章　服務(wù)網(wǎng)格與Istio 2
1.1　微服務(wù)架構(gòu)的發(fā)展與挑戰(zhàn) 2
1.2　使用應(yīng)用程序庫(kù)解決這些挑戰(zhàn) 4
1.2.1　特定應(yīng)用程序庫(kù)的缺點(diǎn) 5
1.2.2　將這些問(wèn)題推向基礎(chǔ)設(shè)施 6
1.3　什么是服務(wù)網(wǎng)格 7
1.4　為什么服務(wù)網(wǎng)格是必要的 10
1.5　Istio服務(wù)網(wǎng)格 11
1.5.1　核心功能 12
1.5.2　為什么要使用Istio 14
1.5.3　成熟度和支持級(jí)別 15
1.6　本章總結(jié) 16
第2章　快速上手Istio 17
2.1　在MiniKube上搭建Istio環(huán)境 17
2.1.1　安裝啟動(dòng)Minikube 17
2.1.2　安裝部署Helm 18
2.1.3　安裝部署Istio 19
2.2　在Docker Desktop上搭建Istio環(huán)境 22
2.2.1　安裝配置Docker Desktop for
　Kubernetes 22
2.2.2　切換Kubernetes 24
2.2.3　安裝部署Helm 26
2.2.4　安裝部署Istio 26
2.3　使用公有云Istio服務(wù) 28
2.4　在Istio中部署第一個(gè)應(yīng)用程序 31
2.5　本章總結(jié) 39
第3章　Istio架構(gòu)剖析 40
3.1　Istio的整體架構(gòu) 40
3.2　剖析Istio控制平面 42
3.3　剖析Istio數(shù)據(jù)平面 45
3.3.1　Envoy代理 45
3.3.2　Envoy的啟動(dòng)配置 47
3.3.3　Envoy靜態(tài)與動(dòng)態(tài)配置 47
3.3.4　使用Envoy 51
3.3.5　Envoy請(qǐng)求重試 56
3.3.6　Envoy的Admin API 58
3.3.7　Envoy與其他類似代理的比較 61
3.4　剖析Sidecar自動(dòng)注入 62
3.4.1　Kubernetes的Webhook機(jī)制 62
3.4.2　啟用Webhook插件 63
3.4.3　采用Webhook自動(dòng)注入Istio Sidecar 63
3.4.4　開(kāi)啟需要自動(dòng)注入Sidecar的命名空間 66
3.5　本章總結(jié) 67
中級(jí)篇
第4章　東西向流量管理 70
4.1　流量管理 70
4.1.1　術(shù)語(yǔ) 72
4.1.2　流量拆分與導(dǎo)向 72
4.1.3　Istio服務(wù)與Kubernetes服務(wù) 73
4.1.4　示例 76
4.2　實(shí)現(xiàn)東西向流量路由 83
4.2.1　自動(dòng) Sidecar 注入 84
4.2.2　部署 85
4.2.3　查看Ingress Gateway的地址 85
4.2.4　請(qǐng)求路由 86
4.3　實(shí)現(xiàn)流量鏡像及對(duì)比分析 89
4.3.1　流量鏡像 89
4.3.2　流量對(duì)比 89
4.3.3　創(chuàng)建用于Istio流量鏡像的服務(wù) 90
4.3.4　創(chuàng)建流量鏡像的Istio策略 92
4.3.5　搭建Diffy用于請(qǐng)求流量對(duì)比 93
4.3.6　發(fā)送流量進(jìn)行鏡像驗(yàn)證 96
4.4　通過(guò)Istio管理應(yīng)用的灰度發(fā)布 99
4.4.1　Kubernetes中的灰度發(fā)布 100
4.4.2　使用 Istio進(jìn)行灰度發(fā)布 101
4.4.3　統(tǒng)一的流量路由規(guī)則 102
4.5　本章總結(jié) 103
第5章　南北向流量管理 104
5.1　Istio 網(wǎng)關(guān) 104
5.1.1　Istio網(wǎng)關(guān)的工作原理 104
5.1.2　Istio網(wǎng)關(guān)的負(fù)載均衡作用 105
5.1.3　入口網(wǎng)關(guān)服務(wù) 107
5.1.4　入口網(wǎng)關(guān)部署 107
5.1.5　網(wǎng)關(guān)資源 108
5.1.6　網(wǎng)關(guān)虛擬服務(wù) 109
5.1.7　調(diào)試入口網(wǎng)關(guān) 109
5.2　用HTTPS 加密網(wǎng)關(guān) 110
5.2.1　為入口網(wǎng)關(guān)配置TLS 111
5.2.2　創(chuàng)建示例服務(wù) 112
5.2.3　定義虛擬服務(wù) 112
5.2.4　通過(guò)網(wǎng)關(guān)請(qǐng)求示例服務(wù) 113
5.2.5　為多個(gè)主機(jī)配置 TLS入口網(wǎng)關(guān) 114
5.3　基于SNI的TLS路由 119
5.3.1　定義內(nèi)部服務(wù)nginx 121
5.3.2　定義內(nèi)部服務(wù)nginx2 122
5.3.3　部署網(wǎng)關(guān) 124
5.3.4　根據(jù)域名進(jìn)行訪問(wèn) 125
5.4　服務(wù)條目 126
5.4.1　服務(wù)條目基本原理 126
5.4.2　服務(wù)條目的定義參數(shù) 127
5.5　實(shí)現(xiàn)出口流量路由的統(tǒng)一管理 130
5.5.1　出口安全 130
5.5.2　創(chuàng)建客戶端 131
5.5.3　HTTP流量網(wǎng)關(guān) 131
5.5.4　HTTPS流量網(wǎng)關(guān) 133
5.5.5　出口流量的TLS發(fā)起 136
5.6　實(shí)現(xiàn)服務(wù)條目的DNS尋址 137
5.6.1　CoreDNS 及其插件工作機(jī)制 138
5.6.2　Kubernetes下的CoreDNS 139
5.6.3　部署Istio CoreDNS 140
5.6.4　更改集群CoreDNS配置 140
5.6.5　創(chuàng)建服務(wù)條目驗(yàn)證DNS解析 141
5.7　本章總結(jié) 142
第6章　流量治理 144
6.1　使用流量策略 144
6.1.1　目標(biāo)規(guī)則 144
6.1.2　流量策略 145
6.2　設(shè)置負(fù)載均衡 146
6.2.1　標(biāo)準(zhǔn)負(fù)載均衡算法 147
6.2.2　會(huì)話保持 147
6.2.3　示例 147
6.3　熔斷 150
6.3.1　連接池管理 151
6.3.2　異常檢測(cè) 152
6.3.3　創(chuàng)建示例服務(wù) 152
6.3.4　使用fortio觸發(fā)熔斷 154
6.4　服務(wù)重試 157
6.5　故障注入 160
6.6　命名空間隔離下的流量管理 165
6.6.1　Sidecar資源定義 165
6.6.2　示例 166
6.7　本章總結(jié) 169
第7章　安全 170
7.1　Istio安全架構(gòu) 170
7.1.1　Istio身份模型 172
7.1.2　Istio公鑰基礎(chǔ)設(shè)施 172
7.1.3　Istio證書(shū)和密鑰輪換機(jī)制 173
7.2　剖析認(rèn)證機(jī)制 173
7.2.1　認(rèn)證架構(gòu) 174
7.2.2　雙向TLS認(rèn)證 175
7.2.3　認(rèn)證策略 175
7.3　使用認(rèn)證策略 175
7.3.1　Istio默認(rèn)認(rèn)證策略 177
7.3.2　認(rèn)證策略示例 177
7.3.3　雙向認(rèn)證策略檢查 180
7.4　使用自定義CA證書(shū)和密鑰 181
7.4.1　準(zhǔn)備證書(shū)和密鑰 181
7.4.2　插入證書(shū)和密鑰 184
7.4.3　檢查新證書(shū) 185
7.5　使用cert-manager管理網(wǎng)關(guān)證書(shū) 186
7.5.1　生成簽名密鑰對(duì) 186
7.5.2　將簽名密鑰對(duì)保存為Secret 186
7.5.3　部署cert-manager 186
7.5.4　創(chuàng)建引用Secret的Issuer 187
7.5.5　獲得簽名證書(shū) 187
7.5.6　檢查證書(shū)與密鑰 188
7.5.7　部署自定義網(wǎng)關(guān) 189
7.5.8　定義Kubernetes服務(wù) 192
7.5.9　創(chuàng)建虛擬服務(wù) 194
7.6　剖析授權(quán)機(jī)制 196
7.6.1　啟用全局授權(quán) 197
7.6.2　Istio授權(quán)策略 197
7.6.3　授權(quán)策略示例 199
7.6.4　診斷授權(quán)策略 201
7.7　本章總結(jié) 206
第8章　Mixer的控制與觀測(cè) 207
8.1　Mixer架構(gòu)設(shè)計(jì) 207
8.2　剖析適配器機(jī)制 209
8.2.1　屬性及表達(dá)式 209
8.2.2　配置模型 212
8.2.3　處理程序 212
8.2.4　示例 213
8.2.5　規(guī)則 214
8.3　指標(biāo)數(shù)據(jù)收集 214
8.3.1　metric模板 214
8.3.2　Prometheus適配器的配置 215
8.3.3　監(jiān)控指標(biāo) 216
8.3.4　配置Istio收集指標(biāo) 218
8.3.5　查詢Istio指標(biāo) 220
8.3.6　可視化Istio指標(biāo) 221
8.4　集成日志數(shù)據(jù)收集 222
8.4.1　logentry模板 223
8.4.2　stdio適配器的配置 224
8.4.3　配置Istio日志 225
8.4.4　查看日志 226
8.4.5　安裝EFK軟件棧 227
8.4.6　為Fluentd適配器配置Istio資源 231
8.4.7　通過(guò)Kibana查看日志 232
8.5　啟用基于Zipkin或Jaeger的分布式跟蹤 234
8.5.1　Istio跟蹤采樣率 235
8.5.2　部署應(yīng)用示例 236
8.5.3　啟用Zipkin 238
8.5.4　啟用Jaeger 238
8.6　啟用速率限制策略 240
8.6.1　配額模板 240
8.6.2　速率限制配置 241
8.6.3　部署應(yīng)用示例 243
8.7　啟用黑白名單策略 244
8.7.1　list適配器及模板 245
8.7.2　部署應(yīng)用示例 246
8.7.3　部署適配器示例 246
8.7.4　校驗(yàn)白名單策略 247
8.8　本章總結(jié) 248
高級(jí)篇
第9章　Istio穩(wěn)定性與運(yùn)維 250
9.1　Istio功能模塊的穩(wěn)定性與常見(jiàn)問(wèn)題 250
9.1.1　可能的請(qǐng)求錯(cuò)誤排查 252
9.1.2　證書(shū)有效期管理 254
9.1.3　使用SDS動(dòng)態(tài)管理證書(shū) 257
9.2　Istio流量管理相關(guān)運(yùn)維 258
9.2.1　路由規(guī)則對(duì)應(yīng)用程序不生效 258
9.2.2　Sidecar是否注入 258
9.2.3　Istio配置參數(shù)優(yōu)化 259
9.2.4　Envoy 無(wú)法連接 HTTP1.0 260
9.2.5　檢查Envoy與Pilot狀態(tài)差異 260
9.3　Istio組件升級(jí)與回滾 261
9.3.1　升級(jí)安裝文件 261
9.3.2　CRD升級(jí) 262
9.3.3　控制平面升級(jí) 262
9.3.4　數(shù)據(jù)平面Sidecar升級(jí) 263
9.3.5　升級(jí)中的影響分析 264
9.4　本章總結(jié) 267
第10章　Istio定制與擴(kuò)展 268
10.1　Mixer適配器擴(kuò)展 268
10.2　實(shí)現(xiàn)適配器 270
10.3　編譯與打包適配器 283
10.4　Istio CNI插件 287
10.4.1　安裝配置Istio CNI插件 288
10.4.2　運(yùn)行機(jī)制 289
10.4.3　驗(yàn)證CNI插件鏈配置 292
10.4.4　驗(yàn)證iptables是否已修改 293
10.5　從Kubernetes擴(kuò)展到虛擬機(jī) 294
10.5.1　網(wǎng)格擴(kuò)展 294
10.5.2　生成Istio的配置cluster.env 297
10.5.3　生成DNS配置文件kubedns 297
10.5.4　獲取Istio服務(wù)賬戶密鑰 298
10.5.5　在虛擬機(jī)上進(jìn)行配置 298
10.5.6　部署應(yīng)用示例到網(wǎng)格擴(kuò)展 300
10.6　擴(kuò)展Envoy過(guò)濾器 307
10.6.1　定義Envoy過(guò)濾器 307
10.6.2　部署示例應(yīng)用 310
10.7　集成外部Zipkin兼容服務(wù) 312
10.7.1　集成部署 312
10.7.2　使用原生Zipkin 314
10.7.3　使用Zipkin兼容服務(wù) 315
10.8　本章總結(jié) 316
第11章　Knative:基于Istio的無(wú)服務(wù)器計(jì)算 317
11.1　Knative架構(gòu)解析 317
11.1.1　Knative > Kubernetes + Istio 318
11.1.2　Knative的設(shè)計(jì) 319
11.1.3　安裝Knative 320
11.2　Knative Build運(yùn)行機(jī)制 321
11.2.1　Knative Build資源定義 322
11.2.2　創(chuàng)建Knative Build示例 322
11.2.3　驗(yàn)證使用Knative Build構(gòu)建的鏡像 326
11.3　Knative Eventing運(yùn)行機(jī)制 327
11.3.1　架構(gòu)設(shè)計(jì) 327
11.3.2　創(chuàng)建Knative Eventing示例 329
11.3.3　驗(yàn)證事件 331
11.4　基于Istio實(shí)現(xiàn)Serving組件 331
11.4.1　Knative Serving的設(shè)計(jì) 331
11.4.2　基于Serving實(shí)現(xiàn)source-to-
　URL部署 333
11.5　在Istio上部署配置Knative 336
11.6　基于Knative Serving的自動(dòng)伸縮 337
11.6.1　路由與自動(dòng)伸縮 338
11.6.2　自動(dòng)伸縮機(jī)制 340
11.6.3　自動(dòng)伸縮算法 341
11.6.4　基于Serving實(shí)現(xiàn)自動(dòng)伸縮示例 343
11.6.5　使用藍(lán)綠部署路由和管理流量 345
11.7　本章總結(jié) 348
第12章　多集群管理 349
12.1　服務(wù)網(wǎng)格的未來(lái) 350
12.2　多集群部署管理 351
12.3　單控制平面VPN連接拓?fù)? 351
12.3.1　前提約束 352
12.3.2　拓?fù)浼軜?gòu) 352
12.3.3　啟用雙向TLS通信 354
12.3.4　部署本地控制平面 354
12.3.5　安裝istio-remote 356
12.3.6　部署示例應(yīng)用 359
12.4　單控制平面Gateway連接拓?fù)? 361
12.4.1　集群感知的服務(wù)路由 361
12.4.2　Istio控制平面組件 362
12.4.3　istio-remote組件 363
12.4.4　部署示例應(yīng)用 365
12.5　多控制平面 366
12.5.1　部署控制平面 366
12.5.2　設(shè)置DNS 368
12.5.3　部署示例應(yīng)用 369
12.5.4　跨集群的版本路由 371
12.6　本章總結(jié) 374
......