摘要： Hashicorp发布了可以更好地集成Consul与Kubernetes的新特性。这些特性包括支持使用官方提供的Helm Chart在Kubernetes上安装Consul、Kubernetes服务与Consul自动同步、外部Consul代理自动加入Kubernetes集群、支持Envoy和注入器，使用户可以使用Connect保护Pod。

Hashicorp发布了可以更好地集成Consul（一个服务网格和KV存储）与Kubernetes的新特性。这些特性包括支持使用官方提供的Helm Chart在Kubernetes上安装Consul、Kubernetes服务与Consul自动同步、外部Consul代理自动加入Kubernetes集群、支持Envoy和注入器，使用户可以使用Connect保护pod。这些新特性可以为Kubernetes集群之间的跨集群通信提供便利，或者用在异构工作负载和环境里。

作为集成的一部分，Hashicorp将重点放在了增强而不是替换Kubernetes上。他们利用了核心的Kubernetes工作流组件，如服务、ConfigMaps和Secrets，在这些核心原语之上进行构建。这使得像Consul目录同步这样的特性可以将外部服务转换为一等的Kubernetes服务。

现在，Consul有一个官方提供的Helm Chart，可以安装在Kubernetes中，使得完整的Consul设置在几分钟内就可以完成。这个设置可以是服务器集群，也可以是客户端代理，或者两者兼而有之。

在克隆并检出最新标记的版本后，你可以使用下面的命令安装Chart：

$ helm install .

这会安装一个包含三个节点的、完全自引导的服务器集群，每个Kubernetes节点上运行一个Consul代理。然后，你可通过从一个服务器pod转发端口8500来查看Consul UI：

$ kubectl port-forward consul-server-0 8500:8500

Helm Chart是完全可配置的，允许禁用组件、更改镜像、暴露UI服务、配置资源和存储类。有关详细信息，请查看可配置选项的完整列表。通过调整配置，你可以部署一个仅限客户端的集群，如果你的Consul服务器运行在Kubernetes集群之外，那么这个集群会非常有用，配置示例如下所示：

global:
  enabled: false

client:
  enabled: true
  join:
    - "provider=aws tag_key=... tag_value=..."

Join配置将使用云的auto-join特性来发现并加入先前已存在的Consul服务器代理。

Auto-join特性增强了，它可以利用Kubernetes API发现正在运行Consul代理的pod。这代替了使用静态IP地址或DNS来实现加入。

Consul将使用用于kubectl身份验证的标准kubeconfig文件进行Kubernetes身份验证。它会在标准位置搜索这个文件。连接之后，你可以命令Consul基于标签自动加入：

$ consul agent -retry-join 'provider=k8s label_selector="app=consul,component=server"'

这个命令将要求代理从Kubernetes中查询带有标签app=consul和component=server的pod。如果没有发现pod，则Consul将定期重试此命令。这可以供Kubernetes集群之外的代理使用。

Kubernetes服务现在已经自动同步到Consul目录。Consul用户可以通过Consul DNS或HTTP API发现这些服务。它使用标准的Kubernetes工具来注册服务，这就是说，如果将服务移动到新的pod或者服务伸缩，那么Consul目录会保持最新。这还允许非Kubernetes工作负载通过Consu连接到Kubernetes服务。

目前，这个同步过程只包括NodePort服务、LoadBalancer服务和具有外部IP集的服务。下面是一个标准LoadBalancer服务配置的示例：

apiVersion: v1
kind: Service
metadata:
  name: consul-ui
spec:
  ports:
  - name: http
    port: 80
    targetPort: 8500
  selector
    app: consul
    component: server
    release: consul
  type: LoadBalancer

一旦运行，你就可以在Kubernetes之外查询服务：

# From outside of Kubernetes
$ dig consul-ui.service.consul.

;; QUESTION SECTION:
;consul-ui.service.consul. IN A

;; ANSWER SECTION:
consul-ui.service.consul. 0 IN A 35.225.88.75

;; ADDITIONAL SECTION:
consul-ui.service.consul. 0 IN TXT "external-source=kubernetes"

为了可以在Consul UI中区分它们，外部注册的服务会有一个Kubernetes图标。

最后，Consul服务可以注册成一等的Kubernetes服务。这使得Kubernetes用户可以通过Kubernetes API连接到它们。但是，这需要在Kubernetes中配置Consul DNS。这个同步过程可以通过Helm Chart来运行：

syncCatalog:
  enabled: true

还有其他的选项可以用于更深层次的配置。这个功能也是开源的，是consult -k8s项目的一部分。现在，有了原生Kubernetes注入器，你可以使用Connect保护你的pod。Connect借助自动TLS加密和基于身份的认证实现了安全的服务到服务通信。这样，运行Envoy的Connect sidecar（一个Connect代理）就可以自动注入到pod，实现Kubernetes配置自动化。如果pod有适当的注解，则Envoy将自动配置、启动，并能够通过Connect接受和建立连接。下面是一个为入站流量配置了Connect的Redis服务器示例：

apiVersion: apps/v1
kind: Deployment
metadata:
  name: redis
spec:
  replicas: 1
  selector:
    matchLabels:
      app: redis
  template:
    metadata:
      labels:
        app: redis
      annotations:
        "consul.hashicorp.com/connect-inject": "true"
    spec:
      containers:
        - name: redis
          image: "redis:4.0-alpine3.8"
          args: [ "--port", "6379" ]
          ports:
            - containerPort: 6379
              name: tcp

然后，我们可以配置一个Redis UI通过Connect与Redis通信。该UI将被配置为与本地主机端口通信，从而通过代理进行连接。注入器还将向容器中注入任何必要的环境变量。

apiVersion: apps/v1
kind: Deployment
metadata:
  name: redis-ui
spec:
  replicas: 1
  selector:
    matchLabels:
      app: redis-ui
  template:
    metadata:
      labels:
        app: redis-ui
      annotations:
        "consul.hashicorp.com/connect-inject": "true"
        "consul.hashicorp.com/connect-service-upstreams": "redis:1234"
    spec:
      containers:
      - name: redis-ui
        image: rediscommander/redis-commander
        env:
        - name: REDIS_HOSTS
          value: "local:127.0.0.1:1234"
        - name: K8S_SIGTERM
          value: "1"
        ports:
        - name: http
          containerPort: 8081

Kubernetes Connect注入器可以使用Helm Chart运行。每个客户端代理都需要为Envoy代理启用gRPC。

connectInject:
  enabled: true

client:
  grpc: true

这些新特性简化了在Kubernetes上运行Consul的过程。此外，Hashicorp认为，借助自动加入和同步功能，可以简化在集成非Kubernetes工作负载的环境中的运行。除了这些新特性之外，Hashicorp还在努力将Terraform和Vault与Kubernetes集成，并计划在未来几个月内发布。

查看英文原文：
https://www.infoq.com/news/2018/11/consul-kubernetes

创作场景

Hashicorp 发布 Consul 服务网格与 Kubernetes 集成新特性