写点什么

使用 K8s 遇难题?Istio 来帮您!

  • 2020-05-18
  • 本文字数:3471 字

    阅读完需:约 11 分钟

使用K8s遇难题?Istio来帮您!

如果你正在使用容器,特别是 Kubernetes,那么你应该也听说过 Istio。对于初学者来说,Istio 是 Kubernetes 的服务网格(service mesh)。所谓服务网格,它是一个网络层,并且可以动态管理服务流量,然后以安全的方式进行管理。


如何充分使用 Istio,这不是一篇博客文章能阐述清楚的。因此,在本文中我将介绍一些它的特性,更重要的是,你可以通过这篇文章,了解到一些方法来自动化解决某些实际问题。


Istio 可以让你使用一组自定义 Kubernetes 资源来管理网络流量,并且可以帮助你保护和加密服务之间以及集群内外的网络流量。它全面集成了 Kubernetes API,这意味着可以使用与其他 Kubernetes 配置完全相同的方式来定义和管理 Istio 设置。

权衡利弊,再做选择

如果要开始使用 Istio,首先应该问自己为什么。Istio 提供了一些非常有价值的功能,如金丝雀发布等,但是如果不增加一些复杂性,就无法使用它们。你还需要投入一定的时间来学习它。也就是说,如果你的情况合适使用它,你可以(并且应该)在自己的集群中谨慎且逐步地采用 Istio 的功能。


如果你要从头开始构建新环境,并且经过利弊权衡决定继续使用 Istio,那么一定要从一开始就使用严格的相互 TLS 对其进行设置,并积极使用其强大的功能。具体操作请参考:


https://istio.io/docs/setup/install/kubernetes/#installation-steps


为了使一切都有价值并且具有一定的性价比,我们需要在实际应用程序的上下文中考虑 Istio,但是如果没有快速免责声明的话,最好不要这样做。如果你只需要管理少量服务(且位于单个集群内),那么引入 Istio 的性价比相对而言没有那么高。


本文中的代码示例不一定能够完全帮助你解决你的问题,但是如果你需要所有的代码以及如何使用它的详细说明都可以在 GitLab 上找到:


https://gitlab.com/ContainerSolutions/k8s-deployment-mtl/


接下来是你在 Cloud Native 旅程中可能遇到的两个常见问题,以及如何使用 Istio 来解决这些问题。

问题 1:我不相信我的测试

如果测试范围并没有完全涵盖你所更改的应用程序,那么你可能会很快采取行动进行新一轮测试,但也有可能应用程序无法正常运行了。


在理想状况下,我们都想要确保每个代码经过全面的测试,否则就不会将功能添加到应用程序中。但是现实总归是骨感的,我们常常被 ddl 追赶,可能还未编写或者更新测试,功能就得上传到项目中了。

解决方案:放慢速度

那么,如何确保我绝大多数用户不受代码中潜伏的任何错误的影响,又如何进行更改和部署新功能呢?答案是通过先将新版本部署到最少数量的用户来最大程度地减少这些小问题的辐射范围。


如果更改能够按照预期工作的话,你可以缓慢增加使用新版本的用户百分比。如果各项指标出现问题,你可以轻松回滚你的更改,然后重试。


在没有 Istio 的情况下可以在 Kubernetes 上运行金丝雀部署吗?当然没问题,但是如果要自动化这一过程,你需要完全将自己的精力放在 web 服务器代码和自定义自动化脚本方面。这样的操作方式性价比并不高。


Istio 有一些十分优雅的流量分配解决方案,我们可以使用它们在恰当的时间为合适的版本提供适当的客户端服务,并且我们只需调整其中的 1 个或 2 个参数。


为了实现这一点,你需要设置一个网关入口(Ingress gateway)、一个虚拟服务(virtual service)和一个 destination rule。这将位于一般的部署和服务之上,并为你分配流量。


apiVersion: networking.istio.io/v1alpha3kind: Gatewaymetadata:  name: http-gatewayspec:  selector:    istio: ingressgateway  servers:  - port:      number: 80      name: http      protocol: HTTP    hosts:    - "*"---apiVersion: networking.istio.io/v1alpha3kind: VirtualServicemetadata:  name: my-appspec:  hosts:    - "*"  gateways:    - http-gateway  http:  - match:    - uri:        prefix: "/my-app"    rewrite:      uri: "/"    route:      - destination:          host: my-app          subset: v1          port:            number: 80        weight: 90      - destination:          host: my-app          subset: v2          port:            number: 80        weight: 10---apiVersion: networking.istio.io/v1alpha3kind: DestinationRulemetadata:  name: my-appspec:  host: my-app  subsets:  - name: v1    labels:      version: v1.0.0  - name: v2    labels:      version: v2.0.0 
复制代码


从虚拟服务的权重字段中可以看到,Istio 将根据指定的值在应用程序的两个版本之间分配流量。这些值的总和必须为 100%,否则,API 将拒绝应用该定义。


然后,你(或者理想情况下,在“持续集成/连续交付”流水线中手动执行一个或多个步骤)将调整权重,以将新版本推广给更多用户,直到所有请求由新版本满足为止,并且以前的版本可以停止维护。


通过使用 Istio 的故障注入功能来模拟网络中断和实际流量性能下降,还可以将 Istio 集成到您的集成测试策略中。


如果在生产中进行测试的想法给你留下了心理阴影,那一定是你的做法有所欠缺。例如,尝试在你的虚拟服务规范中添加以下代码片段以添加一些混乱,然后再找一篇文章来看看怎么用 Istio 解决这样的混乱。


spec:  hosts:  - my-app  http:  - fault:      delay:        fixedDelay: 7s        percent: 100   route:    - destination:        host: ratings        subset: v2
复制代码

问题 2:市场策略无法确定发布版本

通常,业务需要针对实际用户测试应用程序的多个版本。但是有时实在无法搞清楚是哪种营销策略可以带来最佳转化率,或者哪种设计选择可以带来最佳的客户留存率。


使用 Kubernetes,你可以将流量分为两个版本,但是要想从练习中获得任何有价值的见解,则再次需要一大堆自定义代码来获取相关信息,并以非技术同事可以理解的方式对其进行处理。

解决方案:使用 Istio 进行 A/B 测试

Istio 的流量分配规则可以再次解决这一问题,它与 Prometheus 和 Grafana 的紧密集成可以帮助你获取直观的 A/B 测试的结果。一般而言,根据传入数据包内容的某些部分,几乎有无数种方法来决定哪些用户可以获取你的应用程序的版本。


在这一示例中,我们将使用 User-Agent 字段为不同的浏览器提供不同的版本。


apiVersion: networking.istio.io/v1alpha3kind: VirtualServicemetadata:  name: my-appspec:  hosts:    - "*"  gateways:    - http-gateway  http:  - match:    - headers:        user-agent:          regex: ".*Chrome.*"      uri:        prefix: "/my-app"    rewrite:      uri: "/"    route:      - destination:          host: my-app          subset: v1          port:            number: 80  - match:    - headers:        user-agent:          regex: ".*Mozilla.*"      uri:        prefix: "/my-app"    rewrite:      uri: "/"    route:      - destination:          host: my-app          subset: v2          port:            number: 80
复制代码


从上面的代码中可以看到,使用 Firefox 的用户将获得应用程序的版本 1,而 Chrome 用户将获得版本 2。如果浏览器的“User-Agent”字段不包含“mozilla”或“chrome”,则他们都将不会获得任一版本。


要为其他客户提供服务,您需要添加一条默认路由,我将作为练习留给你。(嘿嘿)


如果你不想安装其他浏览器,只是想尝试一下,则可以使用带有头部标志的 curl 伪装成所需的任何浏览器,例如:


curl /my-app -H "User-Agent: Chrome"
复制代码


通过更改 user-agent 的值,你可以从命令行测试所有不同的路由。

总结

以上两种情况大概能让你体验到 Istio 强大功能的冰山一角。正如上文所说,如果没有 Istio,你依然可以进行金丝雀部署和 A/B 测试,只是你必须自己实现流量分配。但这大大增加了开发部署的复杂性,实属性价比低之选。


我希望这篇文章可以让你对 Istio 的实际应用有很好的理解,并且十分期待你自己尝试一下。如果你想了解更多关于 Istio 的信息,可以访问它们的官网,上面有许多有用的资料:https://istio.io/


值得一提的是,Rancher 2.3 Preview2版本上开始支持Istio,用户可以直接在 UI 界面中启动 Istio 并且可以为每个命名空间注入自动 sidecar。此外,Rancher 简化 Istio 的安装和配置,内置了一个支持 Kiali 的仪表盘,用于流量和遥测的可视化,然后用 Jaeger 进行追踪,甚至还有自己的 Prometheus 和 Grafana(与用于高级监控的实例不同)。这一切让部署和管理 Istio 变得简单而快速。


有关发行说明和安装步骤,请访问 GitHub:


https://github.com/rancher/rancher/releases/tag/v2.3.0-alpha5


2020-05-18 18:01705

评论

发布
暂无评论
发现更多内容

AI简报-视频超分BasicVSR

AIWeker

人工智能 深度学习 视频超分 5月月更 AI简报

百问百答第39期:如何区分docker容器中的进程名称?

博睿数据

智能运维 Bonree Server 博睿数据

《Mybatis 手撸专栏》第9章:细化XML语句构建器,完善静态SQL解析

小傅哥

源码分析 小傅哥 源码学习 手写Mybatis 源码实践

等保二级和等保三级的三大区别讲解-行云管家

行云管家

网络安全 等保 等级保护 等保2.0 等保二级

更全、更精准,美创科技实现Caché数据库M语言精细化审计

美创科技

cache 数据安全 数据库审计

为应用赋能!博云容器云产品族正式发布

BoCloud博云

容器 云原生 容器云

玩转集群配置中心,一文带你了解 Taier 控制台

袋鼠云数栈

国产CPU产业链的逻辑架构

Finovy Cloud

gpu 云服务器

签约喜报 | 美秧集签约旺链科技,一物一码防伪溯源驱动品牌新增长

旺链科技

区块链 产业区块链 大米溯源

Python:什么是callable?

Ken

Python Callable

阿里云首家通过《可信云·云成本优化工具能力要求》评估,云原生企业 IT 成本治理方案助力企业 FinOps 落地

阿里巴巴云原生

阿里云 云原生 工具

Wallys/ Network_Card/2x 2 5G /High power Radio card

wallys-wifi6

QCA9882 802.11AX

数字人民币智慧学生证来了,对于特定群体硬钱包或大有可为

CECBC

TreeMap源码分析-新增

zarmnosaj

5月月更

数据库厂家有哪些?排名怎么样?

行云管家

数据库 IT运维 运维审计 数据库审计

Wallys/Network_Card/QCA9880/ 2x2 2.4G/5G FCC/CE

wallys-wifi6

802.11AX QCN9880

大数据培训数仓指标体系搭建

@零度

大数据开发

leetcode 75. Sort Colors 颜色分类

okokabcd

LeetCode 排序

集成底座内外网访问配置说明

agileai

k8s 集成底座 企业服务总线 身份管理平台 主数据平台

前端监控的搭建步骤,别再一头雾水了!

杨成功

架构 大前端 5月月更

敏捷实践 | 做优先级排序时使用最多的三个模型

LigaAI

敏捷开发 优先级

从“预见”到“遇见” | SAE 引领应用步入 Serverless 全托管新时代

阿里巴巴云原生

阿里云 Serverless 云原生 SAE

HttpRunner v4.0 正式发布:一文了解 v4.0 的前世、今生与未来

debugtalk

性能测试 HTTP 接口测试 测试工具 开源软件

推荐书籍-《持续行动-从想到到做到》

消失的子弹

书籍推荐

web前端培训js 私有属性的 6 种实现方式

@零度

web前端开发

【直播预告】如何写好技术文章?开源技术写作入门与实践

TiDB 社区干货传送门

互联网通信安全之终端数据保护

融云 RongCloud

netty系列之:在netty中使用TCP协议请求DNS服务器

程序那些事

Java Netty 程序那些事 5月月更

IOS技术分享| iOS快速生成开发文档(一)

anyRTC开发者

ios objective-c 音视频 移动开发 appledoc

网络攻击盯上民生领域,应对DDoS和APT攻击,如何有效防御?

郑州埃文科技

IP地址 网络资产保护 网络攻击防御

使用K8s遇难题?Istio来帮您!_文化 & 方法_Rancher_InfoQ精选文章