/tags/galley/ galley Source Themes Academic (https://sourcethemes.com/academic/)zhSat, 27 Oct 2018 15:50:59 +0800 /img/logo-wide.png /tags/galley/ /post/istio-helm-deep-dive-galley/ Sat, 27 Oct 2018 15:50:59 +0800 /post/istio-helm-deep-dive-galley/ <h2 id="前言">前言</h2> <p><a href="https://istio.io/docs/reference/commands/galley/" target="_blank">Galley</a> 是 Istio 的配置管理组件，根据<a href="https://preliminary.istio.io/zh/docs/concepts/what-is-istio/#galley" target="_blank">官方文档</a>的描述：</p> <blockquote> <p>Galley 代表其他的 Istio 控制平面组件，用来验证用户编写的 Istio API 配置。随着时间的推移，Galley 将接管 Istio 获取配置、 处理和分配组件的顶级责任。它将负责将其他的 Istio 组件与从底层平台（例如 Kubernetes）获取用户配置的细节中隔离开来。</p> </blockquote> <h2 id="values-yaml-中的相关变量">values.yaml 中的相关变量</h2> <pre><code class="language-yaml">galley: enabled: true replicaCount: 1 image: galley </code></pre> <p>这里看到，Galley 的相关变量只有启用、副本数量以及镜像三个。</p> <ul> <li><code>enabled</code>：负责在 <code>requirements.yaml</code> 中标识是否启用 Galley 组件。</li> <li><code>replicaCount</code>：负责在 <code>deployment.yaml</code> 中定义副本数量。</li> <li><code>image</code>：负责在 <code>deployment.yaml</code> 中定义镜像。</li> </ul> <h2 id="rbac-相关内容">RBAC 相关内容</h2> <p>这里可以看到 Galley 使用 Service Account <code>istio-galley-service-account</code> 的身份运行。全局变量中如果定义了 <code>imagePullSecrets</code>，则会在 <code>serviceaccount.yaml</code> 中进行引用。</p> <p><code>clusterrole.yaml</code> 模板中定义了 Galley 所需使用的系统资源：</p> <ul> <li>对 <code>admissionregistration.k8s.io</code> 组中的 <code>validatingwebhookconfigurations</code> 类型的完全控制。</li> <li><code>config.istio.io</code>： Mixer CRD 的所有资源的读取权限。</li> <li>对 <code>istio-galley</code> Deployment 和 Endpoint 的读取权限。</li> </ul> <p><code>clusterrolebinding.yaml</code> 将上面的两个对象连接起来完成授权。</p> <h2 id="service-yaml">service.yaml</h2> <p>这里看到为 Galley 开放了两个端口：443 是一个 https 端口，用来提供验证服务；而 9093 是一个用来进行 Galley 自身服务监控的 http 端口。</p> <p>该文件只引用了 <code>Release</code> 内置变量。</p> <h2 id="deployment-yaml">deployment.yaml</h2> <p>这里以 <a href="https://istio.io/docs/reference/commands/galley/" target="_blank">Galley</a> 为主进程创建了一个 Deployment 对象。</p> <p>在 <code>annotation</code> 一节中将 <code>sidecar.istio.io/inject</code> 设置为 <code>false</code> 来防止自动注入 Sidecar。</p> <h3 id="全局变量">全局变量</h3> <ul> <li>Chart</li> <li>Release</li> <li>global.priorityClassName</li> <li>global.hub</li> <li>global.tag</li> <li>global.imagePullPolicy</li> <li>模板 nodeaffinity</li> <li>global.defaultResources</li> </ul> <h3 id="变量使用细节">变量使用细节</h3> <ul> <li>部署在 Istio 所属命名空间中。</li> <li>使用 <code>_helpers.tpl</code> 中定义的模板给 App 标签赋值。</li> <li>使用 Chart 和 Release 变量生成 Deployment 标签。</li> <li>Chart 变量 <code>replicaCount</code> 确定副本数量。</li> <li>如果定义了 <code>global.priorityClassName</code>，则设置到 Pod 上，提高组件在集群内的优先级。</li> <li>使用 global.hub + image + global.tag 的方式设置镜像名称。</li> <li>如果 Chart 变量设置了 <code>resource</code>，则使用独立的资源限制，否则使用缺省的 <code>global.defaultResources</code>。</li> <li>使用缺省的节点亲和性定义。</li> </ul> <h3 id="加载卷">加载卷</h3> <p>加载了一个名为 <code>istio.istio-galley-service-account</code> 的 Secret，注意这个资源的类型为 <code>istio.io/key-and-cert</code>，说明是由 Citadel 生成的，其中包含了几个证书，供 <code>--caCertFile</code>、<code>--tlsCertFile</code> 和 <code>--tlsKeyFile</code> 用来提供 https 服务。</p> <p>另外加载了一个 ConfigMap，其中的配置文件供 <code>--webhook-config-file</code> 参数使用，作为 Webhook 的参数。这个 ConfigMap 是由模板 <code>configmap.yaml</code> 和 <code>validatingwehookconfiguration.yaml.tpl</code> 生成的，后面将会进行讲解。</p> <h2 id="configmap-yaml-以及-validatingwehookconfiguration-yaml-tpl">configmap.yaml 以及 validatingwehookconfiguration.yaml.tpl</h2> <p><code>configmap.yaml</code> 模板中并没有实质内容，主要内容存在于 <code>validatingwehookconfiguration.yaml.tpl</code> 之中。</p> <p>这个模板中定义了一个 <a href="https://docs.okd.io/latest/rest_api/apis-admissionregistration.k8s.io/v1beta1.ValidatingWebhookConfiguration.html#object-schema" target="_blank"><code>ValidatingWebhookConfiguration</code></a> 类型的资源。这种资源用于在不改变资源的情况下，对其进行校验并发出接受或拒绝的决策。</p> <h3 id="引用全局变量">引用全局变量</h3> <ul> <li><code>Chart</code> 和 <code>Release</code>：用于生成标签和命名空间。</li> <li><code>global.configValidation</code>：如果这一变量为 True，才会生成后续内容。</li> </ul> <h3 id="webhook">Webhook</h3> <p><code>webhooks</code> 一节定义了两个元素，分别用于 Pilot 和 Mixer 的校验。以 Mixer 部分为例。</p> <p><code>clientConfig</code> 一节，定义了这个 Webhook 会调用的校验服务，标准情况下会使用 Istio 所在的命名空间的 <code>istio-galley</code>，URL 相对路径为 <code>/admitmixer</code>，其中的 <code>rules</code> 内容，定义了针对 <code>config.istio.io/v1alpha2</code> 的一系列对象的创建和更新操作进行校验，如果校验失败，则拒绝创建（<code>failurePolicy: Fail</code>）。</p> <h2 id="结论">结论</h2> <p>Galley 目前的文档非常少，主要在<a href="https://istio.io/zh/docs/reference/commands/galley/" target="_blank">参考</a>和<a href="https://istio.io/zh/help/ops/setup/validation/" target="_blank">运维指南</a>部分有一点介绍，但 Istio 的配置难度是很著名的，因此推测随着项目的推进和普及，Galley 会持续的增强，并提供更多这方面的文档。</p>