红帽全球峰会第 4 章 Istio 辅助模式
Istio ambient 模式引入了一个 Red Hat OpenShift Service Mesh 构架,而无需 sidecar 注入。这个模式旨在简化操作并减少资源使用量。ambient 模式使用共享节点级别的代理,而是将 sidecar 代理注入每个应用程序 pod,而是为第 4 层(L4)功能使用共享节点级别代理,以及可选的专用代理,用于第 7 层(L7)功能。
Istio 辅助模式只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议(SLA)支持,且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。
有关红帽技术预览功能支持范围的更多信息,请参阅技术预览功能支持范围。
4.1. 关于 Istio 辅助模式
要了解 Istio 辅助模式架构,请参阅以下定义:
- ZTunnel 代理
- 为节点上所有工作负载管理安全、透明传输控制协议(TCP)连接的每个节点代理。它在第 4 层(L4)上运行,从应用程序 pod 卸载 mutual Transport Layer Security (mTLS)和 L4 策略强制。
- Waypoint 代理
- 每个服务帐户或命名空间运行的可选代理,以提供高级第 7 层(L7)功能,如流量管理、策略强制和可观察性。您可以选择性地应用 L7 功能,以避免每个服务的 sidecar 开销。
- Istio CNI 插件
- 将流量重定向到每个节点上的 Ztunnel 代理,启用透明拦截器,而无需修改应用程序 pod。
Istio 辅助模式具有以下优点:
- 简化 删除管理 sidecar 注入所需的操作,从而降低网格采用和操作的复杂性。
-
使用每个节点 Ztunnel 代理 减少资源消耗,该代理提供 L4 服务网格功能以及减少每个 pod 资源开销的可选
方法代理。 增量采用,使工作负载与 L4 功能(如 mutual Transport Layer Security (mTLS))加入网格,以及稍后添加的可选
方法代理使用 L7 服务网格功能,如 HTTP (L7)流量管理。注意L7 功能需要部署
waypoint代理,这会为所选服务带来最少的额外开销。- 增强安全性,为所有网格工作负载使用 mTLS 提供安全、零信任网络基础。
ambient 模式是一个较新的架构,可能涉及与传统 sidecar 模式不同的操作注意事项。
虽然定义良好的发现选择器允许服务网格以 ambient 模式部署,但这个场景还没有经过全面验证。为了避免潜在的冲突,只有在没有现有 Red Hat OpenShift Service Mesh 安装的集群中安装 Istio ambient 模式。ambient 模式仍是一个技术预览功能。
Istio ambient 模式与使用 Red Hat OpenShift Service Mesh 2.6 或更早版本的集群不兼容。您不能安装或将其一起使用。
4.1.1. 安装 Istio 辅助模式
您可以使用所需的网关 API 自定义资源定义(CRD)在 OpenShift Container Platform 4.19 或更高版本上安装 Istio ambient 模式,以及 Red Hat OpenShift Service Mesh 3.1.0 或更高版本。
先决条件
- 您已在 OpenShift Container Platform 4.19 或更高版本上部署了集群。
- 您已在 OpenShift Container Platform 集群中安装了 OpenShift Service Mesh Operator 3.1.0 或更高版本。
-
根据安装方法,您可以通过 Web 控制台以具有
cluster-admin角色的用户身份或使用oc login命令登录 OpenShift Container Platform 集群。 -
您已将 OVN-Kubernetes Container Network Interface (CNI)配置为使用本地网关模式,方法是在 Cluster Network Operator 的
gatewayConfig规格中将routingViaHost字段设置为true。如需更多信息,请参阅"配置网关模式"。
流程
安装 Istio control plane:
运行以下命令来创建
istio-system命名空间:oc create namespace istio-system
$ oc create namespace istio-systemCopy to Clipboard Copied! Toggle word wrap Toggle overflow 创建名为
istio.yaml的Istio资源,类似以下示例:配置示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 重要您必须将
profile字段设置为ambient,并将.spec.values.pilot.trustedZtunnelNamespace值配置为与安装ZTunnel资源的命名空间匹配。运行以下命令来应用
Istio自定义资源(CR):oc apply -f istio.yaml
$ oc apply -f istio.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 运行以下命令,等待 Istio control plane 包含
Ready状态条件:oc wait --for=condition=Ready istios/default --timeout=3m
$ oc wait --for=condition=Ready istios/default --timeout=3mCopy to Clipboard Copied! Toggle word wrap Toggle overflow
安装 Istio Container Network Interface (CNI):
运行以下命令来创建
istio-cni命名空间:oc create namespace istio-cni
$ oc create namespace istio-cniCopy to Clipboard Copied! Toggle word wrap Toggle overflow 创建名为
istio-cni.yaml的IstioCNI资源,类似以下示例:配置示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 将
profile字段设置为ambient。运行以下命令来应用
IstioCNICR:oc apply -f istio-cni.yaml
$ oc apply -f istio-cni.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 运行以下命令,等待
IstioCNIpod 包含Ready状态条件:oc wait --for=condition=Ready istios/default --timeout=3m
$ oc wait --for=condition=Ready istios/default --timeout=3mCopy to Clipboard Copied! Toggle word wrap Toggle overflow
安装 Ztunnel 代理:
运行以下命令,为 Ztunnel 代理创建
ztunnel命名空间:oc create namespace ztunnel
$ oc create namespace ztunnelCopy to Clipboard Copied! Toggle word wrap Toggle overflow ztunnel项目的命名空间名称必须与 Istio 配置中的trustedZtunnelNamespace参数匹配。创建名为
ztunnel.yaml的Ztunnel资源,类似以下示例:配置示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 运行以下命令来应用
ZtunnelCR:oc apply -f ztunnel.yaml
$ oc apply -f ztunnel.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 运行以下命令,等待
Ztunnelpod 包含Ready状态条件:oc wait --for=condition=Ready ztunnel/default --timeout=3m
$ oc wait --for=condition=Ready ztunnel/default --timeout=3mCopy to Clipboard Copied! Toggle word wrap Toggle overflow
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}