Paslaugų tinklas: Išsami Istio diegimo analizė

Šiuolaikiniame debesijos aplikacijų pasaulyje mikropaslaugų architektūros tampa vis labiau paplitusios. Nors jos siūlo tokius privalumus kaip mastelio keitimas, lankstumas ir greitesni kūrimo ciklai, jos taip pat sukelia sudėtingumą, susijusį su paslaugų komunikacija, stebimumu, saugumu ir valdymu. Paslaugų tinklas (angl. service mesh) atsiranda kaip esminis architektūrinis modelis, skirtas šiems iššūkiams spręsti. Šis išsamus vadovas gilinsis į paslaugų tinklo technologiją, ypatingą dėmesį skiriant Istio – plačiai pritaikytam atvirojo kodo paslaugų tinklo diegimui.

Kas yra paslaugų tinklas?

Paslaugų tinklas yra dedikuotas infrastruktūros sluoksnis, skirtas valdyti paslaugų tarpusavio komunikaciją mikropaslaugų architektūroje. Jis abstrahuoja sudėtingą tarpusavio paslaugų komunikaciją, suteikdamas tokias funkcijas kaip srauto valdymas, saugumas ir stebimumas, nereikalaujant keisti aplikacijos kodo. Įsivaizduokite jį kaip „sidecar“ tarpinį serverį (angl. proxy), kuris veikia šalia kiekvieno paslaugos egzemplioriaus, perimdamas ir valdydamas visą tinklo srautą.

Pagrindiniai paslaugų tinklo naudojimo pranašumai:

• Srauto valdymas: Išmanusis maršruto parinkimas, apkrovos balansavimas, pakartotiniai bandymai, grandinės pertraukimas ir gedimų įterpimas.
• Saugumas: Abipusis TLS (mTLS) autentifikavimas, autorizacijos taisyklės ir saugi paslaugų tarpusavio komunikacija.
• Stebimumas: Išsamios metrikos, trasavimas ir žurnalų rinkimas, skirti paslaugų našumui stebėti ir problemoms identifikuoti.
• Patikimumas: Pagerintas atsparumas dėl tokių funkcijų kaip pakartotiniai bandymai, laiko limitai ir grandinės pertraukimas.
• Supaprastintas kūrimas: Kūrėjai gali sutelkti dėmesį į verslo logiką, nesijaudindami dėl pagrindinės infrastruktūros sudėtingumo.

Pristatome Istio

Istio yra populiarus atvirojo kodo paslaugų tinklas, teikiantis išsamų funkcijų rinkinį mikropaslaugoms valdyti ir apsaugoti. Jis naudoja Envoy tarpinį serverį kaip savo duomenų plokštumą ir siūlo galingą valdymo plokštumą tinklui konfigūruoti ir valdyti.

Istio architektūra

Istio architektūrą sudaro du pagrindiniai komponentai:

• Duomenų plokštuma (Data Plane): Susideda iš Envoy tarpinių serverių, įdiegtų kaip „sidecar“ šalia kiekvieno paslaugos egzemplioriaus. Envoy perima visą įeinantį ir išeinantį srautą, užtikrindamas taisyklių vykdymą ir rinkdamas telemetrijos duomenis.
• Valdymo plokštuma (Control Plane): Valdo ir konfigūruoja Envoy tarpinius serverius duomenų plokštumoje. Ją sudaro keli komponentai, įskaitant:
• Istiod: Centrinis komponentas, atsakingas už paslaugų aptikimą, konfigūracijos paskirstymą ir sertifikatų valdymą. Jis pakeičia kelis komponentus iš senesnių Istio versijų (Mixer, Pilot, Citadel, Galley), supaprastindamas architektūrą.
• Envoy: Didelio našumo tarpinis serveris, kuris tarpininkauja visam srautui tarp paslaugų. Jis įgyvendina pagrindines paslaugų tinklo funkcijas, tokias kaip srauto valdymas, saugumas ir stebimumas.

Istio architektūros diagrama: (Įsivaizduokite diagramą, iliustruojančią duomenų plokštumą su Envoy tarpiniais serveriais šalia paslaugų ir valdymo plokštumą su Istiod. Tikroje implementacijoje būtų tikras paveikslėlis, bet šiame tekstiniame atsakyme tai yra aprašyta.)

Istio diegimas ir sąranka

Prieš pradedant konfigūravimą, turėsite įdiegti Istio. Štai bendra diegimo proceso apžvalga:

1. Būtinosios sąlygos:
   • Kubernetes klasteris (pvz., Minikube, kind, Google Kubernetes Engine (GKE), Amazon Elastic Kubernetes Service (EKS), Azure Kubernetes Service (AKS)).
   • kubectl komandų eilutės įrankis, sukonfigūruotas prisijungti prie jūsų Kubernetes klasterio.
   • Istio CLI įrankis (istioctl).
2. Atsisiųskite Istio: Atsisiųskite naujausią Istio versiją iš oficialios Istio svetainės.
3. Įdiekite Istio CLI: Pridėkite istioctl vykdomąjį failą prie savo sistemos PATH.
4. Įdiekite pagrindinius Istio komponentus: Naudokite istioctl install, kad įdiegtumėte pagrindinius Istio komponentus į savo Kubernetes klasterį. Galite pasirinkti skirtingus profilius skirtingiems diegimo scenarijams (pvz., default, demo, production). Pavyzdžiui: istioctl install --set profile=demo.
5. Pažymėkite vardų sritį (Namespace): Įjunkite Istio injekciją savo tikslinėje vardų srityje naudodami kubectl label namespace <namespace> istio-injection=enabled. Tai nurodo Istio automatiškai įterpti Envoy sidecar tarpinį serverį į jūsų pod'us.
6. Įdiekite savo aplikaciją: Įdiekite savo mikropaslaugų aplikaciją į pažymėtą vardų sritį. Istio automatiškai įterps Envoy sidecar tarpinį serverį į kiekvieną pod'ą.
7. Patikrinkite diegimą: Patikrinkite, ar Istio valdymo plokštumos ir duomenų plokštumos komponentai veikia tinkamai, naudodami kubectl get pods -n istio-system.

Pavyzdys: Istio diegimas Minikube aplinkoje (supaprastinta):

            istioctl install --set profile=demo -y
kubectl label namespace default istio-injection=enabled

            

              
                Copy
              
            
          

Istio konfigūracija: Srauto valdymas

Istio srauto valdymo funkcijos leidžia kontroliuoti srautą tarp jūsų paslaugų. Pagrindiniai konfigūracijos resursai yra:

• VirtualService: Apibrėžia, kaip srautas nukreipiamas į paslaugas pagal įvairius kriterijus, tokius kaip prieglobos pavadinimai, keliai, antraštės ir svoriai.
• DestinationRule: Apibrėžia taisykles, taikomas srautui, skirtam konkrečiai paslaugai, pavyzdžiui, apkrovos balansavimo algoritmus, prisijungimų telkinio nustatymus ir išskirčių aptikimą.
• Gateway: Valdo įeinantį ir išeinantį srautą į paslaugų tinklą, leisdamas kontroliuoti išorinę prieigą prie jūsų paslaugų.

VirtualService pavyzdys

Šis pavyzdys parodo, kaip nukreipti srautą į skirtingas paslaugos versijas pagal HTTP antraštes. Tarkime, turite dvi `productpage` paslaugos versijas: `v1` ir `v2`.

            
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: productpage
spec:
  hosts:
  - productpage
  gateways:
  - productpage-gateway
  http:
  - match:
    - headers:
        user-agent:
          regex: ".*Mobile.*"
    route:
    - destination:
        host: productpage
        subset: v2
  - route:
    - destination:
        host: productpage
        subset: v1

            

              
                Copy
              
            
          

Šis VirtualService nukreipia visą srautą iš vartotojų, kurių User-Agent antraštėje yra „Mobile“, į `productpage` paslaugos `v2` poaibį. Visas kitas srautas nukreipiamas į `v1` poaibį.

DestinationRule pavyzdys

Šis pavyzdys apibrėžia DestinationRule `productpage` paslaugai, nurodydamas paprastą „round-robin“ apkrovos balansavimo politiką ir apibrėždamas poaibius skirtingoms versijoms.

            
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: productpage
spec:
  host: productpage
  trafficPolicy:
    loadBalancer:
      simple: ROUND_ROBIN
  subsets:
  - name: v1
    labels:
      version: v1
  - name: v2
    labels:
      version: v2

            

              
                Copy
              
            
          

Šis DestinationRule apibrėžia du poaibius, `v1` ir `v2`, remiantis `version` žyma. Jis taip pat nurodo „round-robin“ apkrovos balansavimo politiką visam srautui, skirtam `productpage` paslaugai.

Istio konfigūracija: Saugumas

Istio teikia patikimas saugumo funkcijas, įskaitant:

• Abipusis TLS (mTLS): Autentifikuoja ir šifruoja srautą tarp paslaugų, naudojant X.509 sertifikatus.
• Autorizacijos taisyklės: Apibrėžia smulkiagrūdes prieigos kontrolės taisykles paslaugoms, remiantis įvairiais atributais, tokiais kaip paslaugų tapatybės, vaidmenys ir vardų sritys.
• Autentifikacijos taisyklės: Nurodo, kaip paslaugos turėtų autentifikuoti klientus, palaikant tokius metodus kaip JWT ir mTLS.

Abipusis TLS (mTLS)

Istio automatiškai paruošia ir valdo X.509 sertifikatus kiekvienai paslaugai, pagal numatytuosius nustatymus įjungdamas mTLS. Tai užtikrina, kad visa komunikacija tarp paslaugų būtų autentifikuota ir užšifruota, apsaugant nuo pasiklausymo ir klastojimo.

AuthorizationPolicy pavyzdys

Šis pavyzdys parodo, kaip sukurti AuthorizationPolicy, kuri leidžia tik `reviews` paslaugai pasiekti `productpage` paslaugą.

            
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: productpage-access
spec:
  selector:
    matchLabels:
      app: productpage
  action: ALLOW
  rules:
  - from:
    - source:
        principals:
        - cluster.local/ns/default/sa/reviews

            

              
                Copy
              
            
          

Ši taisyklė leidžia užklausas tik iš paslaugos paskyros (service account) `reviews` `default` vardų srityje pasiekti `productpage` paslaugą. Visos kitos užklausos bus atmestos.

Istio konfigūracija: Stebimumas

Istio teikia gausias stebimumo funkcijas, įskaitant:

• Metrikos: Renka išsamias metrikas apie paslaugų našumą, pavyzdžiui, užklausų dažnį, delsą ir klaidų skaičių. Istio integruojasi su stebėjimo sistemomis, tokiomis kaip Prometheus ir Grafana.
• Trasavimas: Seka užklausas, kai jos keliauja per paslaugų tinklą, suteikdamas įžvalgų apie paslaugų priklausomybes ir delsos kliūtis. Istio palaiko paskirstyto trasavimo sistemas, tokias kaip Jaeger ir Zipkin.
• Žurnalų rinkimas: Fiksuoja prieigos žurnalus visam srautui, einančiam per paslaugų tinklą, teikdamas išsamią informaciją apie užklausas ir atsakymus.

Metrikos ir stebėjimas

Istio automatiškai renka platų metrikų spektrą, kurį galima pasiekti per Prometheus ir vizualizuoti Grafana. Šios metrikos suteikia vertingų įžvalgų apie jūsų mikropaslaugų būklę ir našumą.

Paskirstytas trasavimas

Istio paskirstyto trasavimo galimybės leidžia sekti užklausas, kai jos keliauja per kelias paslaugas, todėl lengviau identifikuoti delsos kliūtis ir priklausomybes. Pagal numatytuosius nustatymus Istio palaiko Jaeger kaip trasavimo posistemę.

Diegimo strategijos su Istio

Istio palengvina įvairių diegimo strategijų įgyvendinimą, leidžiant sklandžiai ir saugiai atnaujinti aplikacijas:

• Canary diegimai: Palaipsniui išleiskite naujas paslaugos versijas mažai vartotojų daliai, prieš išleidžiant jas visai vartotojų bazei.
• Mėlynos/Žalios spalvos diegimai: Įdiekite naują paslaugos versiją šalia esamos ir, ją kruopščiai išbandę, perjunkite srautą į naują versiją.
• A/B testavimas: Nukreipkite skirtingus vartotojus į skirtingas paslaugos versijas pagal specifinius kriterijus, leisdami testuoti skirtingas funkcijas ir variacijas.

Canary diegimo pavyzdys

Naudodami Istio srauto valdymo funkcijas, galite lengvai įgyvendinti canary diegimą. Pavyzdžiui, galite nukreipti 10% srauto į naują savo paslaugos versiją ir 90% į senąją. Jei naujoji versija veikia gerai, galite palaipsniui didinti srauto procentą, kol ji apdoros visas užklausas.

Istio geriausios praktikos

Norėdami efektyviai išnaudoti Istio, apsvarstykite šias geriausias praktikas:

• Pradėkite nuo mažų dalykų: Pradėkite diegti Istio nekritinėje aplinkoje ir palaipsniui plėskite jo apimtį.
• Stebėkite viską: Naudokite Istio stebimumo funkcijas paslaugų našumui stebėti ir galimoms problemoms identifikuoti.
• Apsaugokite savo tinklą: Įjunkite mTLS ir įgyvendinkite smulkiagrūdes autorizacijos taisykles, kad apsaugotumėte savo paslaugas.
• Automatizuokite diegimą: Automatizuokite Istio diegimą ir konfigūravimą naudodami įrankius, tokius kaip Kubernetes operatoriai ir CI/CD konvejeriai.
• Atnaujinkite Istio: Reguliariai atnaujinkite Istio į naujausią versiją, kad pasinaudotumėte klaidų pataisymais, saugumo pataisomis ir naujomis funkcijomis.
• Supraskite Istio komponentus: Nors Istiod viską supaprastina, būtina gerai išmanyti VirtualServices, DestinationRules, Gateways ir AuthorizationPolicies.
• Vardų sričių izoliavimas: Įgyvendinkite vardų sričių izoliavimą, kad logiškai atskirtumėte savo paslaugas ir išvengtumėte neautorizuotos prieigos.

Istio alternatyvos ir svarstymai

Nors Istio yra lyderiaujantis paslaugų tinklas, egzistuoja ir kitų galimybių, kurių kiekviena turi savo stipriąsias ir silpnąsias puses:

• Linkerd: Lengvasvoris paslaugų tinklas, parašytas Rust kalba, žinomas dėl savo paprastumo ir našumo.
• Consul Connect: Paslaugų tinklas, sukurtas ant HashiCorp Consul pagrindo, siūlantis paslaugų aptikimo, konfigūravimo ir saugumo funkcijas.
• Kuma: Universalus paslaugų tinklas, kuris gali veikti Kubernetes ir kitose platformose, paremtas Envoy.

Tinkamo paslaugų tinklo pasirinkimas priklauso nuo jūsų specifinių reikalavimų ir aplinkos. Atsižvelkite į tokius veiksnius kaip:

• Sudėtingumas: Istio konfigūravimas ir valdymas gali būti sudėtingas, o Linkerd paprastai yra paprastesnis.
• Našumas: Linkerd yra žinomas dėl mažos delsos ir mažo resursų suvartojimo.
• Integracija: Consul Connect gerai integruojasi su kitais HashiCorp įrankiais.
• Funkcijos: Istio siūlo išsamų funkcijų rinkinį, įskaitant pažangias srauto valdymo ir saugumo galimybes.

Išvada

Paslaugų tinklo technologija, ypač Istio, suteikia galingą sprendimą mikropaslaugų architektūroms valdyti ir apsaugoti. Abstrahuodamas sudėtingą paslaugų tarpusavio komunikaciją, Istio leidžia kūrėjams sutelkti dėmesį į verslo logiką ir suteikia operacijų komandoms galimybę efektyviai valdyti ir stebėti savo aplikacijas. Nors Istio gali būti sudėtingas, jo gausios funkcijos ir galimybės daro jį vertingu įrankiu organizacijoms, pereinančioms prie debesijos technologijų. Laikydamiesi geriausių praktikų ir atidžiai apsvarstydami savo specifinius reikalavimus, galite sėkmingai įdiegti Istio ir atskleisti visą savo mikropaslaugų potencialą.