云原生技术-服务网格(Service Mesh)
用于将外部服务(非 Kubernetes 托管的服务)集成到 Istio 的服务网格中,使其能够像内部服务一样被管理和监控。服务网格是现代微服务架构的关键基础设施,Istio作为其中的代表性项目,提供了完整的企业级服务网格解决方案。,它构建在容器编排平台(如Kubernetes)之上,为微服务架构提供可靠、安全、快速的通信能力。主要组件:Istiod(Istio)、Linkerd(控制平面)等。)
·
一、服务网格基本概念
1.1 什么是服务网格?
服务网格是一个专门处理服务间通信的基础设施层,它构建在容器编排平台(如Kubernetes)之上,为微服务架构提供可靠、安全、快速的通信能力。
1.2 核心架构
数据平面(Data Plane)
-
由一组Sidecar代理组成,每个微服务实例旁都部署一个
-
负责处理所有入站和出站的网络流量
-
主要组件:Envoy、Linkerd-proxy等
控制平面(Control Plane)
-
管理和配置所有Sidecar代理
-
提供服务发现、负载均衡、证书管理等能力
-
主要组件:Istiod(Istio)、Linkerd(控制平面)等
1.3 核心特性
-
透明代理:业务代码无需感知服务网格的存在
-
可观测性:详细的指标、日志和追踪
-
流量管理:精细的流量控制能力
-
安全性:自动mTLS、认证授权
-
韧性:熔断、重试、超时、故障注入
二、服务网格的核心作用
2.1 流量管理
-
动态路由:金丝雀发布、蓝绿部署、A/B测试
-
流量镜像:将生产流量复制到测试环境
-
负载均衡:智能的负载均衡策略
-
故障恢复:自动重试、超时控制、熔断机制
2.2 可观测性
-
指标收集:延迟、错误率、流量等黄金指标
-
分布式追踪:完整的请求链路追踪
-
服务拓扑:可视化的服务依赖关系图
2.3 安全性
-
自动mTLS:服务间通信自动加密
-
细粒度策略:基于身份的策略控制
-
证书管理:自动证书轮换和管理
2.4 运维简化
-
应用与基础设施解耦:业务开发者专注于业务逻辑
-
统一的技术栈:一致的网络策略和配置
-
多语言支持:不依赖特定编程语言
三、配置命令详解(以Istio为例)
3.1 安装与基础配置
安装Istio
# 下载Istio
curl -L https://istio.io/downloadIstio | sh -
cd istio-*
export PATH=$PWD/bin:$PATH
# 将当前目录下的 bin 子目录添加到系统的 PATH 环境变量中,并使其优先级高于其他已存在的路径
# 安装Istio到Kubernetes集群
istioctl install --set profile=demo -y
# 给namespace添加标签,启用自动Sidecar注入
kubectl label namespace default istio-injection=enabled验证安装
# 检查控制平面状态
kubectl get pods -n istio-system
# 检查Sidecar注入器
kubectl get mutatingwebhookconfigurations
# 查看已安装的CRD
kubectl get crd | grep istio.io3.2 核心CRD配置命令
VirtualService - 虚拟服务
# 创建虚拟服务
kubectl apply -f - <<EOF
apiVersion: networking.istio.io/v1beta1
# 指定 Istio API 版本(v1beta1),表明这是 Istio 的流量管理资源。
kind: VirtualService
# 定义 Istio 的虚拟服务,用于控制服务间流量的路由规则。
metadata:
name: productpage
# 资源名称(productpage),需在集群内唯一
spec:
hosts:
- productpage
# 指定规则适用的目标服务(这里是 productpage)
# 可以是 Kubernetes Service 名称、DNS 名称或 Istio 的通配符(如 *.example.com)
http:
- route:
# 定义 HTTP 流量的路由规则
- destination:
host: productpage
# 目标服务(仍为 productpage,表示流量仍发往该服务)
subset: v1
# 指定子集(v1),需对应 DestinationRule 中定义的子集(如版本标签 v1)
EOF
# 查看虚拟服务
kubectl get virtualservice
kubectl describe virtualservice productpage流量路由:将所有发往 productpage 服务的 HTTP 请求路由到其 v1 版本(子集)
依赖关系:
- 需要预先存在一个
DestinationRule,定义subset: v1(通常基于 Pod 的version: v1标签)。
典型使用场景
1、金丝雀发布
- 将部分流量(如 10%)路由到
v2子集,其余保留在v1。 - 修改后的
VirtualService示例:
http:
- route:
- destination:
host: productpage
subset: v1
weight: 90
- destination:
host: productpage
subset: v2
weight: 102、A/B 测试
- 根据 HTTP 头(如
Cookie)将流量路由到不同版本。
3、故障注入
- 在
VirtualService中添加fault或timeout规则测试容错能力。
DestinationRule - 目标规则
# 创建目标规则定义子集
kubectl apply -f - <<EOF
apiVersion: networking.istio.io/v1beta1
kind: DestinationRule
metadata:
name: productpage
spec:
host: productpage
# 指定规则适用的目标服务名称(对应 Kubernetes Service 的 metadata.name)
# Istio 会将此规则应用到所有流量发往 productpage 服务的请求
subsets:
# 定义服务的子集(版本分组),每个子集通过 labels 选择器匹配 Pod
# 子集名称(如 v1)会被 VirtualService 引用,实现精准路由
- name: v1
labels:
version: v1 # 匹配带有标签 version: v1 的 Pod
- name: v2
labels:
version: v2 # 匹配带有标签 version: v2 的 Pod
EOF用于对 Kubernetes 服务(这里是 productpage)的流量进行细粒度控制,特别是定义服务的不同版本(子集)
DestinationRule 是 Istio 的流量管理配置,主要功能包括:
- 定义子集(Subsets):基于 Pod 的标签(如
version: v1)将服务分组。 - 负载均衡策略:指定流量如何分配到子集(如轮询、随机)。
- 流量策略:配置 TLS、熔断、负载均衡等(本例未体现,但可扩展)。
实际工作原理
1、与 VirtualService 配合
DestinationRule定义子集,VirtualService通过subset字段引用这些子集,控制流量路由。
2、底层实现
- Istio Sidecar 代理(Envoy)会根据
DestinationRule的子集定义,将流量发送到匹配标签的 Pod。 - 例如,
subset: v1对应所有version=v1的productpagePod。
ServiceEntry - 服务入口
ServiceEntry 的主要功能是:
- 将外部服务纳入网格:允许网格内的服务通过 Istio 的流量管理、安全策略(如 mTLS)和可观测性功能访问外部 API(如数据库、第三方服务)。
- 控制出口流量:明确允许访问的外部服务,避免任意外部调用(增强安全性)。
- 覆盖默认行为:例如强制外部服务使用 HTTPS 或特定负载均衡策略。
# 允许访问外部服务
kubectl apply -f - <<EOF
apiVersion: networking.istio.io/v1beta1
kind: ServiceEntry
metadata:
name: external-api
spec:
hosts:
- api.external.com
# 指定外部服务的主机名(如 api.external.com)
# Istio 会拦截发往这些主机的流量,并根据规则处理(如路由、策略应用)
ports: # 定义外部服务的端口配置
- number: 443 # 目标端口
name: https # 端口名称(可任意,但建议语义化)
protocol: HTTPS # 协议类型(支持 HTTP、HTTPS、TCP、TLS 等)
# 如果外部服务使用 HTTP 但需强制 HTTPS,可通过 TLS 协议配置
resolution: DNS
# 指定如何解析主机名
# DNS:通过 DNS 解析主机名(适用于大多数外部服务)
# STATIC:直接使用端点 IP(需配合 endpoints 字段)
# NONE:不解析(通常用于 Unix 域套接字)
location: MESH_EXTERNAL
# 声明服务位于网格外部(默认值)
# MESH_INTERNAL:表示服务实际运行在网格内(但未通过 Kubernetes Service 暴露,较少用)
# 此字段影响 Istio 的某些默认行为(如是否启用双向 TLS)
EOF用于将外部服务(非 Kubernetes 托管的服务)集成到 Istio 的服务网格中,使其能够像内部服务一样被管理和监控。
实际工作原理
1、流量拦截
- 当网格内服务访问
api.external.com:443时,Istio Sidecar(Envoy)会拦截请求,并根据ServiceEntry规则处理(如直接转发或应用策略)。
2、与 VirtualService/DestinationRule 配合
- 可进一步定义路由规则或 TLS 策略:
# DestinationRule 示例:强制使用 TLS
apiVersion: networking.istio.io/v1beta1
kind: DestinationRule
metadata:
name: external-api-tls
spec:
host: api.external.com
trafficPolicy:
tls:
mode: SIMPLE # 启用 TLS3、出口网关控制
- 结合
Gateway资源,可将外部流量路由到指定的出口网关(增强安全性和审计):
# ServiceEntry 修改为通过出口网关访问
location: MESH_EXTERNAL
exportTo: ["."] # 限制作用域3.3 安全配置命令
PeerAuthentication - 对等认证
# 启用严格mTLS
kubectl apply -f - <<EOF
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
name: default
namespace: default
spec:
mtls:
mode: STRICT
EOF
# 查看对等认证策略
kubectl get peerauthenticationAuthorizationPolicy - 授权策略
# 创建拒绝所有流量的默认策略
kubectl apply -f - <<EOF
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
name: deny-all
namespace: default
spec:
{}
EOF
# 创建允许特定服务的策略
kubectl apply -f - <<EOF
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
name: allow-productpage
spec:
selector:
matchLabels:
app: productpage
rules:
- from:
- source:
principals: ["cluster.local/ns/default/sa/bookinfo-gateway"]
to:
- operation:
methods: ["GET"]
EOF3.4 监控与诊断命令
查看Sidecar状态
# 检查特定Pod的Sidecar状态
kubectl get pods -l app=productpage
istioctl proxy-status
istioctl proxy-config clusters productpage-v1-7f44c4d57c-abcde
istioctl proxy-config listeners productpage-v1-7f44c4d57c-abcde流量监控
# 查看服务网格流量指标
kubectl exec -it deploy/sleep -- curl http://prometheus:9090/api/v1/query?query=istio_requests_total
# 访问Kiali仪表板(需要先安装)
istioctl dashboard kiali四、经典配置案例详解:金丝雀发布
4.1 场景描述
我们将为一个名为reviews的服务实施金丝雀发布,逐步将流量从v1版本迁移到v2版本。
4.2 部署准备
部署两个版本的服务
# 部署v1版本
kubectl apply -f - <<EOF
apiVersion: apps/v1
kind: Deployment
metadata:
name: reviews-v1
spec:
replicas: 3
selector:
matchLabels:
app: reviews
version: v1
template:
metadata:
labels:
app: reviews
version: v1
spec:
containers:
- name: reviews
image: istio/examples-bookinfo-reviews-v1:1.16.2
ports:
- containerPort: 9080
EOF
# 部署v2版本
kubectl apply -f - <<EOF
apiVersion: apps/v1
kind: Deployment
metadata:
name: reviews-v2
spec:
replicas: 1
selector:
matchLabels:
app: reviews
version: v2
template:
metadata:
labels:
app: reviews
version: v2
spec:
containers:
- name: reviews
image: istio/examples-bookinfo-reviews-v2:1.16.2
ports:
- containerPort: 9080
EOF
# 创建Service
kubectl apply -f - <<EOF
apiVersion: v1
kind: Service
metadata:
name: reviews
spec:
selector:
app: reviews
ports:
- port: 9080
name: http
EOF4.3 目标规则配置
定义子集
kubectl apply -f - <<EOF
apiVersion: networking.istio.io/v1beta1
kind: DestinationRule
metadata:
name: reviews
spec:
host: reviews
subsets:
- name: v1
labels:
version: v1
- name: v2
labels:
version: v2
trafficPolicy:
loadBalancer:
simple: RANDOM
EOF4.4 金丝雀发布策略
阶段一:100%流量到v1(基线)
kubectl apply -f - <<EOF
apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:
name: reviews
spec:
hosts:
- reviews
http:
- route:
- destination:
host: reviews
subset: v1
weight: 100
- destination:
host: reviews
subset: v2
weight: 0
EOF阶段二:90% v1, 10% v2(小规模测试)
kubectl apply -f - <<EOF
apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:
name: reviews
spec:
hosts:
- reviews
http:
- route:
- destination:
host: reviews
subset: v1
weight: 90
- destination:
host: reviews
subset: v2
weight: 10
EOF阶段三:50% v1, 50% v2(中等规模)
kubectl apply -f - <<EOF
apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:
name: reviews
spec:
hosts:
- reviews
http:
- route:
- destination:
host: reviews
subset: v1
weight: 50
- destination:
host: reviews
subset: v2
weight: 50
EOF阶段四:100% v2(完全切换)
kubectl apply -f - <<EOF
apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:
name: reviews
spec:
hosts:
- reviews
http:
- route:
- destination:
host: reviews
subset: v1
weight: 0
- destination:
host: reviews
subset: v2
weight: 100
EOF4.5 高级流量管理
基于HTTP头的路由
kubectl apply -f - <<EOF
apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:
name: reviews
spec:
hosts:
- reviews # 目标服务名称
http:
# 第一条规则:匹配 User-Agent 包含 "Mobile" 的请求
- match:
- headers:
user-agent:
regex: .*Mobile.* # 正则匹配
route:
- destination:
host: reviews
subset: v2 # 路由到 v2
# 第二条规则:默认权重路由(剩余请求)
- route:
- destination:
host: reviews
subset: v1
weight: 80 # 80% 流量
- destination:
host: reviews
subset: v2
weight: 20 # 20% 流量
EOF实际工作原理
1、流量匹配顺序
- Istio Sidecar(Envoy)按顺序匹配
http规则:- 先检查请求头
User-Agent是否包含 "Mobile"。 - 如果匹配,则路由到
v2(跳过后续规则)。 - 否则,进入第二条规则,按权重分配流量。
- 先检查请求头
2、典型场景
- 移动端优化:将移动用户的流量路由到专门优化的
v2版本。 - 金丝雀发布:对非移动用户逐步放量(80%
v1,20%v2)。
故障注入测试
kubectl apply -f - <<EOF
apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:
name: reviews
spec:
hosts:
- reviews # 目标服务名称
http:
# 第一条规则:注入延迟故障(仅影响 50% 的请求)
# fault 故障注入配置,用于模拟服务故障(如延迟、中止)
- fault:
delay:
percentage:
value: 50 # 对 50% 的请求生效
fixedDelay: 7s # 强制延迟 7 秒
route:
- destination:
host: reviews
subset: v1 # 故障请求路由到 v1
# 第二条规则:默认路由(剩余 100% 请求)
- route:
- destination:
host: reviews
subset: v2 # 正常请求路由到 v2
EOF实际工作原理:
1、流量匹配
- 客户端请求
reviews服务时,Istio Sidecar(Envoy)会按顺序匹配http规则:- 先检查是否命中
fault规则(50% 概率)。 - 未命中的请求走第二条默认路由。
- 先检查是否命中
2、故障注入
- 如果请求被
fault规则选中(50% 概率):- Envoy 会强制延迟 7 秒后再将请求转发到
v1。 - 如果
v1的超时时间(timeout)短于 7 秒,客户端会收到504 Gateway Timeout。
- Envoy 会强制延迟 7 秒后再将请求转发到
- 剩余 50% 的请求直接路由到
v2,无延迟。
3、典型用途
- 测试弹性:验证客户端和服务是否能正确处理延迟(如重试、熔断逻辑)。
- 金丝雀测试:将故障请求路由到
v1,正常请求路由到v2,对比两者行为。
超时与重试配置
kubectl apply -f - <<EOF
apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:
name: reviews
spec:
hosts:
- reviews # 指定此VirtualService适用的目标服务reviews
http: # 定义 HTTP流量的路由规则
- route: # 指定流量的目标地址destination
- destination:
host: reviews # 目标服务名称(必须与 hosts 字段一致)
subset: v1 # 将流量路由到 reviews 服务的 v1 子集
timeout: 3s
# 设置请求的超时时间为 3 秒。如果后端服务未在 3 秒内响应,Envoy 会返回 504 Gateway Timeout
retries: # 定义重试策略
attempts: 3 # 最多重试 3 次(实际请求 = 1 次初始请求 + 3 次重试 = 最多 4 次尝试)
perTryTimeout: 2s # 每次重试的超时时间为 2 秒
retryOn: connect-failure,refused-stream,unavailable
# 触发重试的条件(支持以下值,用逗号分隔)
# connect-failure:连接后端失败(如网络错误)
# refused-stream:后端拒绝流(如 HTTP/2 错误)
# unavailable:后端返回 503 错误
EOF实际工作原理:
1、流量匹配
- 当客户端发送请求到
reviews服务(如http://reviews:9080)时,Istio Sidecar(Envoy)会根据VirtualService规则处理请求。
2、路由到子集
- 请求会被路由到
reviews服务的v1子集(需通过DestinationRule定义子集对应的 Pod 标签,例如version: v1)。
3、弹性策略应用
- 如果请求超时(超过 3 秒)或失败(符合
retryOn条件),Envoy 会重试最多 3 次(每次最多等待 2 秒)。
4.6 监控与验证
查看流量分布
# 通过Istio指标查看流量分布
kubectl exec -it deploy/sleep -- sh -c 'curl -s "http://prometheus:9090/api/v1/query?query=istio_requests_total{reporter=\"destination\",destination_service=\"reviews.default.svc.cluster.local\"}"' | jq '.data.result[].metric.destination_version'
# 查看Kiali仪表板观察流量分布
istioctl dashboard kiali检查配置状态
# 验证VirtualService配置
kubectl get virtualservice reviews -o yaml
# 检查Sidecar配置
istioctl proxy-config route $(kubectl get pod -l app=productpage -o jsonpath='{.items[0].metadata.name}') --name 9080 -o json五、总结
服务网格通过以下方式彻底改变了微服务通信:
| 传统方式 | 服务网格方式 |
|---|---|
| 在应用代码中处理网络逻辑 | 网络逻辑下沉到基础设施层 |
| 每个服务实现自己的重试、熔断 | 统一的策略管理 |
| 难以实现细粒度流量控制 | 精细的流量管理能力 |
| 监控分散,难以关联 | 统一的可观测性 |
核心价值:
-
开发者生产力:业务开发者专注于业务逻辑
-
运维标准化:统一的网络策略和运维模式
-
架构韧性:自动化的故障恢复能力
-
安全增强:零信任网络的安全模型
服务网格是现代微服务架构的关键基础设施,Istio作为其中的代表性项目,提供了完整的企业级服务网格解决方案。
魔乐社区(Modelers.cn) 是一个中立、公益的人工智能社区,提供人工智能工具、模型、数据的托管、展示与应用协同服务,为人工智能开发及爱好者搭建开放的学习交流平台。社区通过理事会方式运作,由全产业链共同建设、共同运营、共同享有,推动国产AI生态繁荣发展。
更多推荐
33
0- 0
已为社区贡献2条内容
所有评论(0)