/tags/gateways/ gateways Source Themes Academic (https://sourcethemes.com/academic/)zhSun, 14 Oct 2018 00:06:31 +0800 /img/logo-wide.png /tags/gateways/ /post/istio-helm-deep-dive-gateways/ Sun, 14 Oct 2018 00:06:31 +0800 /post/istio-helm-deep-dive-gateways/ <blockquote> <p>这是《Istio Helm Chart 详解》系列的第四篇，对 Gateways Chart 进行一些介绍，并讲解一下使用 Helm 创建 Istio Gateway 的方法。</p> </blockquote> <h2 id="前言">前言</h2> <p>前面提到过，Istio 的 Helm Chart，除去用于安装之外，还有部分对 Istio 部署进行调整的能力。Gateways 一节内容，就包含了定制 Istio Ingress/Egress Gateway 的能力。</p> <p>这个 Chart 的文件结构和其他组件类似，不同的在于内容，它通过对 <code>values.yaml</code> 中定义的 Gateways 相关内容的循环遍历，生成不同的 Gateway 单元，下面将会进行讲解和试验。</p> <h2 id="values-yaml-中的变量定义"><code>values.yaml</code> 中的变量定义</h2> <pre><code class="language-yaml">gateways: enabled: true istio-ingressgateway: enabled: true labels: app: istio-ingressgateway istio: ingressgateway replicaCount: 1 autoscaleMin: 1 autoscaleMax: 5 resources: {} # limits: # cpu: 100m # memory: 128Mi #requests: # cpu: 1800m # memory: 256Mi cpu: targetAverageUtilization: 80 loadBalancerIP: &quot;&quot; serviceAnnotations: {} type: LoadBalancer #change to NodePort, ClusterIP or LoadBalancer if need be ports: ## You can add custom gateway ports - port: 80 targetPort: 80 name: http2 nodePort: 31380 - port: 443 ... </code></pre> <p>其中包含了一个层次结构：Gateways 的下级除了用于 <code>requirements.yaml</code> 使用的 <code>enabled</code> 字段之外，还包含一个数组，数组的每个元素定义了一个网关。</p> <p><code>range $key, $spec := .Values</code>：对 <code>gateways</code> 一节的<strong>局部变量</strong>进行遍历，第一层遍历的值用 <code>$key</code> 和 <code>$spec</code> 两个变量来表示键值对，根据每个键值对的定义，逐个创建资源，下面会提到的 <code>$spec</code> 引用就是相当于每个网关控制器的定义变量，<code>$key</code> 就是每个网关控制器的名称。</p> <h2 id="chart-yaml">Chart.yaml</h2> <p>元数据文件，无需赘述。</p> <h2 id="autoscale-yaml">autoscale.yaml</h2> <p>首先讲解一下头部的渲染条件：</p> <pre><code class="language-yaml">{{- range $key, $spec := .Values }} {{- if and (ne $key &quot;global&quot;) (ne $key &quot;enabled&quot;) }} {{- if and $spec.enabled $spec.autoscaleMin }} apiVersion: autoscaling/v2beta1 kind: HorizontalPodAutoscaler metadata: name: {{ $key }} namespace: {{ $spec.namespace | default $.Release.Namespace }} spec: maxReplicas: {{ $spec.autoscaleMax }} minReplicas: {{ $spec.autoscaleMin }} scaleTargetRef: apiVersion: apps/v1beta1 kind: Deployment name: {{ $key }} metrics: - type: Resource resource: name: cpu targetAverageUtilization: {{ $spec.cpu.targetAverageUtilization }} --- {{- end }} {{- end }} {{- end }} </code></pre> <p>顾名思义，这个文件是用来创建 <a href="https://kubernetes.io/docs/tasks/run-application/horizontal-pod-autoscale/" target="_blank">HPA</a> 的，但是整个文件的外层由一个 <a href="https://docs.helm.sh/chart_template_guide/#looping-with-the-range-action" target="_blank"><code>range</code></a> 语句所包围：</p> <ul> <li><code>{{- if and (ne $key &quot;global&quot;) (ne $key &quot;enabled&quot;) }}</code> 将会跳过 <code>global</code> 和 <code>enabled</code> 键。</li> <li><code>{{- if and $spec.enabled $spec.autoscaleMin }}</code>：如果前面读到的 <code>$spec</code> 变量中的 <code>enabled</code> 和 <code>autoscaleMin</code> 都是 <code>true</code>，才会进行处理。这里条件跟其它几个文件不同：只有设置了 <code>autoscaleMin</code> 的情况下才会渲染 HPA 对象。</li> </ul> <p>引用变量：</p> <ul> <li><code>$key</code>：也就是网关的名称，例如前面的 <code>istio-ingressgateway</code>。</li> <li><code>$spec.namespace</code>：可以为这一 Gateway 定义命名空间，如果没有定义，则沿用 Istio 的命名空间，也就是 <code>Release.Namespace</code>。</li> <li><code>$spec.autoscaleMax</code> 和 <code>$spec.autoscaleMin</code>，Gateway 伸缩的上下限。</li> <li><code>cpu.targetAverageUtilization</code>：伸缩指标，目标平均 CPU 占用率。</li> </ul> <h2 id="rbac-资源">RBAC 资源</h2> <p>同样的，这里定义了每个网关所对应的 <code>ServiceAccount</code>、<code>ClusterRole</code> 以及 <code>ClusterRoleBinding</code>，用于 RBAC。</p> <p>Gateway 角色需要对 <code>thirdpartyresources</code>、<code>virtualservices</code>、<code>destinationrules</code> 以及 <code>gateways</code> 几种资源进行读写。</p> <p>看 <code>meta.name</code> 的定义可以看出，每个网关都会有自己的 RBAC 资源，命名规则为 <code>[网关名称]-[Istio 所在的命名空间]</code>。</p> <p>另外 ServiceAccount 中引用了全局变量 <code>imagePullSecrets</code>。</p> <h2 id="deployment-yaml"><code>deployment.yaml</code></h2> <p>这个模板用于 <code>Deployment</code> 的创建过程。这个部署运行的主要服务进程和 Ingress Chart 一样，是 <a href="https://istio.io/docs/reference/commands/pilot-agent/" target="_blank">pilot-agent</a>。</p> <h3 id="全局变量">全局变量</h3> <ul> <li>priorityClassName</li> <li>hub</li> <li>tag</li> <li>istioNamespace</li> <li>proxy.envoyStatsd</li> <li>controlPlaneSecurityEnabled</li> <li>defaultResources</li> <li>nodeaffinity</li> </ul> <h3 id="变量使用细节">变量使用细节</h3> <ul> <li><code>$spec.labels</code>：这里可以看出，我们可以使用在 <code>values.yaml</code> 中定义标签 <code>labels</code> 的方式，为新的 Deployment 指定标签。<strong>标签将同时出现在 Deployment 和下面的 Pod 中。</strong>，从而定义 <code>Gateway</code> 资源时，可以用标签来指定对应的控制器。</li> <li><code>$spec.replicaCount</code>：可以指定初始副本数量。</li> <li><code>$spec.ports</code>：在 <code>ports</code> 中定义的各种端口，会在容器中进行发布。</li> <li>Gateway 名称在这里还作为 <code>--serviceCluster</code> 的值，这一参数在 Sidecar 中一般取值为 <code>istio-proxy</code>。</li> <li>如果定义了 <code>global.istioNamespace</code>，会使用 <code>[服务名].[命名空间]</code> 的方式定义 <code>zipkin</code>、<code>istio-pilot</code> 的服务地址。</li> <li>根据 <code>global.proxy.envoyStatsd</code> 设置 <code>statsd</code> 地址。</li> <li>如果 Gateway 定义中包含了资源限制的内容，则会在这里进行包含，否则只会使用缺省资源限制。</li> <li><code>$spec.additionalContainers</code> 中还可以定义该 Pod 中额外的容器。</li> <li>如果有加载额外 tls secret 的需求，可以定义在 <code>$spec.secretVolume</code> 中。</li> <li>如果有加载额外 Configmap 的需求，可以定义在 <code>$spec.configVolumes</code> 中。</li> </ul> <h2 id="service-yaml">service.yaml</h2> <ul> <li>和其他元素一样，Service 也是使用循环的方式逐个建立的。</li> <li>服务名称同样也是直接使用 <code>$key</code>。</li> <li>端口、命名空间、标签和 Deployment 模板一致。</li> <li><code>$spec.serviceAnnotations</code> 用于生成服务注解。</li> <li><code>selector</code> 的定义<strong>也和标签定义一致</strong>。</li> <li>如果定义了 <code>$spec.loadBalancerIP</code>，这里会给服务的 <code>loadBalancerIP</code> 赋值。</li> <li>如果定义了 <code>.type</code>，则将服务类型进行修改。</li> </ul> <h2 id="测试一下">测试一下</h2> <p>在 <code>values.yaml</code> 的 <code>gateways</code> 一节加入这样一段：</p> <pre><code class="language-yaml"> istio-myingress: enabled: true namespace: default labels: app: istio-ingressgateway istio: myingress replicaCount: 1 autoscaleMax: 5 resources: {} cpu: targetAverageUtilization: 80 loadBalancerIP: &quot;&quot; serviceAnnotations: {} type: NodePort ports: - port: 80 targetPort: 80 name: http-myingress </code></pre> <p>然后用命令行生成对应的安装文件：</p> <pre><code class="language-bash">$ helm template istio --name istio -f \ values-new-gateway.yaml --namespace \ istio-system &gt; istio-myingress.yaml </code></pre> <p>生成的 yaml，用编辑器打开，使用正则表达式 <code>source:.*?gateways</code> 进行搜索，会看到生成的内容符合之前的描述，在 <code>Default</code> 命名空间中出现了新的 ServiceAccount、ClusterRole、ClusterRoleBinding 资源，因为删除了 <code>autoscaleMin</code>，所以不会产生 HPA 对象，同时服务类型也改成了 NodePort。</p> <p>仔细看看会发现其中有一些问题：</p> <ul> <li>Pilot、Statsd 等依赖服务的地址还在本命名空间，没有引用 <code>istio-system</code> 中的服务。</li> <li>ClusterRoleBinding 引用的 ServiceAccount 还是指向了 <code>istio-system</code> 中的 ServiceAccount，但是很明显，这是不存在的。</li> </ul> <p>这两点结合起来，足够给这个 Gateway 控制器判了死刑，是不可能正常工作的。如果用这一个文件安装 Istio，这个 Gateway 对应的 Pod 日志一定会出现错误。要修正错误，有三个方式：</p> <ul> <li>不再定义 <code>namespace</code>。</li> <li>修正 Chart。</li> <li>修改渲染后的 YAML 文件。</li> </ul> <p>所以这里妥协一下，删掉 <code>namespace</code> 一行，使用缺省设置，重新渲染安装。</p> <p>安装完成以后，按照<a href="https://preliminary.istio.io/zh/docs/tasks/traffic-management/ingress/" target="_blank">控制 Ingress 流量</a>一文的介绍，安装 <code>httpbin</code> 服务，并为其设置 Gateway 和 VirtualService（注意替换其中的域名），其中的 Gateway Selector 使用我们新建的网关 <code>myingress</code>：</p> <pre><code class="language-yaml">apiVersion: networking.istio.io/v1alpha3 kind: Gateway metadata: name: httpbin-gateway spec: selector: istio: myingress servers: - port: number: 80 name: http protocol: HTTP hosts: - &quot;httpbin.example.rocks&quot; --- apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: httpbin spec: hosts: - &quot;httpbin.example.rocks&quot; gateways: - httpbin-gateway http: route: - destination: port: number: 8000 host: httpbin </code></pre> <p>创建这两个资源之后，使用 curl 访问 Ingress 服务，会看到正确的结果返回，例如：</p> <pre><code class="language-bash">$ curl httpbin.example.rocks/ip { &quot;origin&quot;: &quot;10.232.0.37&quot; } </code></pre> <h2 id="再来一次">再来一次</h2> <p>前面的测试我们模拟了从头部署 Istio 的方式，如果是一个现存的 Istio 部署，又应该怎样新建网关？</p> <p>根据前面的分析，可以得出引用的所有全局变量：</p> <ul> <li>priorityClassName</li> <li>hub</li> <li>tag</li> <li>istioNamespace</li> <li>proxy</li> <li>controlPlaneSecurityEnabled</li> <li>defaultResources</li> <li>nodeaffinity</li> <li>imagePullSecrets</li> </ul> <p>如果保证这些变量的完整性，并且和正在运行的 Istio 一致；同时关掉其它的不必要的组件渲染，应该就可以达到效果。这样写一个 <code>values.yaml</code>：</p> <pre><code class="language-yaml">global: hub: docker.io/istio tag: 1.0.2 proxy: envoyStatsd: enabled: true host: istio-statsd-prom-bridge port: 9125 imagePullPolicy: IfNotPresent controlPlaneSecurityEnabled: false imagePullSecrets: # - private-registry-key defaultResources: requests: cpu: 10m priorityClassName: &quot;&quot; sidecarInjectorWebhook: enabled: false security: enabled: false ingress: enabled: false mixer: enabled: false pilot: enabled: false grafana: enabled: false prometheus: enabled: false servicegraph: enabled: false tracing: enabled: false galley: enabled: false kiali: enabled: false certmanager: enabled: false gateways: enabled: true istio-ingressgateway: enabled: false istio-egressgateway: enabled: false istio-newingress: enabled: true labels: app: istio-ingressgateway istio: newingress replicaCount: 1 # autoscaleMin: 1 autoscaleMax: 5 resources: {} cpu: targetAverageUtilization: 80 loadBalancerIP: &quot;&quot; serviceAnnotations: {} type: LoadBalancer ports: - port: 80 targetPort: 80 name: http-newingress </code></pre> <p>重新渲染并执行。</p> <p>修改 httpbin Gateway 定义，将 Selector 变更为 <code>istio: newingress</code>，提交后使用 CURL 进行验证，会发现新的 Gateway 已经生效。</p> <h2 id="小结">小结</h2> <p>目前的 Gateway 管理还无法让人满意，多命名空间或者按需调度方面的功能还有很大缺憾；但是借用 Helm Chart 进行大块功能管理的方式还是一个有趣而且可能有效的尝试。</p>