在 Kubernetes 中部署服务网格 Istio-JavaScript中文网-JavaScript教程资源分享门户

在现代应用程序架构中，服务网格是越来越重要的一部分。服务网格可以在应用程序运行时提供对于网络、安全和流量管理的高级控制。它允许开发人员在不改变应用程序代码的情况下，对其进行升级、部署和管理。

Istio 是一个开源的服务网格，可以通过注入 sidecar 代理来实现对应用程序的控制。Istio 可以在 Kubernetes 等云原生平台上实现可视化的流量控制、路由、认证、安全和遥测。在本文中，我们将学习如何在 Kubernetes 上部署 Istio。

准备工作

在开始之前，我们需要确保 Kubernetes 集群中已经安装了 Istio 控制平面。我们可以通过 Helm 客户端在 Kubernetes 集群中安装 Istio，示例如下：

$ helm repo add istio.io https://storage.googleapis.com/istio-release/releases/1.10.0/charts

$ helm install istio-base istio.io/base -n istio-system

$ helm install istiod istio.io/istio -n istio-system --set hub="docker.io/istio" --set tag="1.10.0"

通过上述命令，我们在 Kubernetes 集群中安装了 Istio 的控制平面。

安装 Istio Sidecar 代理

Istio 使用 Envoy 作为其 Sidecar 代理。我们需要为我们的应用程序注入 Envoy 代理，以便 Istio 可以控制它们的流量。我们可以通过 YAML 文件来实现注入 Envoy 代理。

-- -------------------- ---- -------
----------- -------
----- ----------
---------
  ----- -------------
-----
  ---------
    ------------
      ---- ------
  ---------
    ---------
      -------
        ---- ------
    -----
      -----------
        - ----- ------
          ------ ---------
          ------
            - -------------- ----
          ----
            - ----- ------
              ------ ------
          -------------
            - ----- ---------
              ---------- ----------------
      --------
        - ----- ---------
          ----------
            ----- ----------------------

在上述 YAML 文件中，我们定义了一个名为 "my-deployment" 的 Deployment，并为其定义了一个名为 "my-app" 的容器。在 Deployment 中，我们将 Envoy 代理注入到容器中。

注意，我们为容器定义了一个名为 "istio-env" 的 ConfigMap，在其中定义了 Istio 的代理配置。这样，Istio 便可以通过注入 Envoy 代理，对容器进行流量控制。

流量管理

当我们成功地将 Envoy 代理注入到容器中之后，Istio 可以对容器进行流量控制。我们可以通过 YAML 文件来定义流量管理规则。

-- -------------------- ---- -------
----------- ----------------------------
----- --------------
---------
  ----- ------------------
-----
  ------
  - ----------
  ---------
  - ----------
  -----
  - ------
    - ----
        ------ ---------
    - ----
        ------ -
    ------
    - ------------
        ----- ------
        -----
          ------- ----

在上述 YAML 文件中，我们定义了一个名为 "my-virtual-service" 的 VirtualService。在 VirtualService 中，我们定义了针对 my.app.com 的 uri 形式为 /v1/users 和 / 的路由规则。根据规则，流量将会被路由到名为 "my-app" 的服务，使用端口号为 8080。

对称加密通信

Istio 也可以帮助我们加强应用程序间的通信安全性。我们可以在 Envoy 代理中定义 SSL/TLS 安全配置，从而使得应用程序间的通信得到加密保护。

首先，我们需要为我们的域名创建一个自签名的证书，示例如下：

$ openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout tls.crt -out tls.crt

将生成的证书文件 tls.crt 作为 Kubernetes Secret 存储，可以使用下面的命令来创建 Secret：

$ kubectl create secret tls my-secret --key tls.key --cert tls.crt

然后，在 YAML 文件中，我们需要在 Envoy 代理中定义 SSL/TLS 配置

-- -------------------- ---- -------
-----
  -----------
  - ----- ------
    ------ ---------
    ------
    - -------------- ----
    -------------
    - ----- ---------
      ---------- ----------------
    - ----- ---------
      ---------- --------
  --------
    - ----- ---------
      ----------
        ----- ----------------------
    - ----- ---------
      -------
        ----------- ---------

在上述 YAML 文件中，我们将证书 Secret 挂载在 Envoy 代理的容器中，以此实现 SSL/TLS 的保护。

总结

在本文中，我们学习了如何在 Kubernetes 中部署 Istio，并了解了如何实现对于应用程序的流量控制、路由、认证、安全和遥测。通过示例代码，我们也可以深入了解 Istio 的实现机制。在实际开发中，将使用 Istio 服务网格帮助我们更好地管理我们的应用程序。

来源：JavaScript中文网，转载请注明来源 https://www.javascriptcn.com/post/64eaa053f6b2d6eab3579dab