/tags/sidecar/ sidecar Source Themes Academic (https://sourcethemes.com/academic/)zhWed, 10 Apr 2019 01:18:07 +0800 /img/logo-wide.png /tags/sidecar/ /post/istio-sidecar-resource/ Wed, 10 Apr 2019 01:18:07 +0800 /post/istio-sidecar-resource/ <p>缺省情况下，Istio 在 Pod 创建之前将 <code>istio-init</code> 和 <code>istio-proxy</code> 注入到 Pod 之中，使用 <code>istio-init</code> 对 iptables 进行初始化，将业务容器的流量拦截到 <code>istio-proxy</code>，从而完成通信控制权的移交工作——应用容器的自发 Ingress 和 Egress 通信，都从 Envoy 中留过，Envoy 作为数据平面，需要接受来自控制面的 xDS 指令，据此作出通信决策。</p> <p>在 Istio 1.1 中引入了 Sidecar 资源对象，为这一拦截转发过程加入了一定的控制能力，可能给 Istio 的生产应用带来很好的效率提升。</p> <h2 id="基本结构">基本结构</h2> <p>Sidecar 资源的一级结构很简单，由三个成员构成：</p> <ul> <li><p><code>workloadSelector</code>：标签选择器，用来对 Pod 进行选择。这一字段是可选字段，如果忽略这一字段，则会对命名空间内的所有 Pod 生效。需要注意的是，一个命名空间之内，只允许存在一个不设置此字段的 Sidecar 对象。</p></li> <li><p><code>ingress</code>：一个数组，用于处理进入 Pod 的流量，如果省略这一字段，Istio 会根据业务应用的工作负载定义来设置监听过程。</p> <ul> <li><code>port</code>：必要字段，监听的端口，如果使用 Unix domain socket，则设置为 0。 <ul> <li>number</li> <li>protocal</li> <li>name</li> </ul></li> <li><code>bind</code>：监听器的绑定设置，可以是 <code>ip</code>，也可以是 <code>unix:///path/to/uds</code>，如果省略这一字段，Istio 会根据工作负载服务来自动填充。</li> <li><code>captureMode</code>：如果 <code>bind</code> 指定的是 IP 地址，这个字段可以指定是否拦截通信，如果绑定到 Unix domain socket，这一字段必须是 <code>DEFAULT</code> 或者 <code>NONE</code>。</li> <li><code>defaultEndpoint</code>：必要字段，Envoy 接收进入 Pod 的流量之后的转发目标。目标可以是 <code>127.0.0.1:PORT</code> 或者 <code>unix:///path/to/socket</code></li> </ul></li> <li><p><code>egress</code>：一个处理 Egress 流量的定义数组。</p> <ul> <li><code>port</code>：监听器的端口，如果使用 Unix domain socket，则设为 0。</li> <li><code>bind</code>：绑定到地址或 socket。</li> <li><code>captureMode</code>：同 <code>ingress</code>。</li> <li><code>hosts</code>：必要字段，用 <code>命名空间/服务 FQDN</code> 组合而成，可以是 VirtualService 或者 ServiceEntry 或者原始 Kubernetes 服务的名称，支持通配符。</li> </ul></li> </ul> <h2 id="开始之前">开始之前</h2> <p>安装 Kubernetes 集群和 Istio，这里采用 1.1.2 的 demo-auth 配置。创建新命名空间 <code>other</code>，并打标签开启自动注入：</p> <pre><code class="language-shell">$ helm template install/kubernetes/helm/istio-init \ --name istio-init --namespace istio-system | kubectl apply -f - ... $ helm template install/kubernetes/helm/istio \ --name istio --namespace istio-system \ --values install/kubernetes/helm/istio/values-istio-demo-auth.yaml | kubectl apply -f - ... $ kubectl create ns other namespace/other created $ kubectl label namespaces other istio-injection=enabled --overwrite namespace/other labeled $ kubectl label namespaces default istio-injection=enabled --overwrite namespace/default labeled </code></pre> <p>分别在 <code>default</code> 和 <code>other</code> 中启动 <code>flaskapp</code> 和 <code>sleep</code> 应用。</p> <pre><code class="language-shell">$ kubectl apply -f sleep/sleep.yaml -n default service/sleep created deployment.extensions/sleep created $ kubectl apply -f sleep/sleep.yaml -n other service/sleep created deployment.extensions/sleep created $ kubectl apply -f httpbin/httpbin.yaml -n default service/httpbin created deployment.extensions/httpbin created $ kubectl apply -f httpbin/httpbin.yaml -n other service/httpbin created deployment.extensions/httpbin created </code></pre> <p>检查一下调用关系：</p> <pre><code class="language-shell">$ kubectl exec -c sleep -it sleep-69bd44b5bb-vwpzf -- curl http://httpbin:8000/ip { &quot;origin&quot;: &quot;127.0.0.1&quot; } $ kubectl exec -c sleep -it sleep-69bd44b5bb-vwpzf -- curl http://httpbin.other:8000/ip { &quot;origin&quot;: &quot;127.0.0.1&quot; } </code></pre> <h2 id="服务的可见性">服务的可见性</h2> <p>缺省情况下，注入了 Istio 的工作负载会进行全网格的传播，假设 <code>default</code> 和 <code>other</code> 两个不相干的命名空间，<code>other</code> 中有大量的服务，而 <code>default</code> 中只有几个，因为路由传播的关系，<code>default</code> 命名空间中的工作负载，其 Sidecar 也会带上 <code>other</code> 命名空间中的路由信息。例如：</p> <pre><code class="language-shell">$ istioctl proxy-config clusters sleep-69bd44b5bb-vwpzf | grep other httpbin.other.svc.cluster.local 8000 - outbound &amp;{EDS} sleep.other.svc.cluster.local 80 - outbound &amp;{EDS} </code></pre> <p>可以看到，在 <code>default</code> 命名空间中的 Pod，保存了其它命名空间中的路由信息。这不管是对内存消耗还是路由控制来说，都会造成一定浪费，我们可以定义一个 Sidecar 资源，限制 sleep 服务只访问同一命名空间的其他服务：</p> <pre><code class="language-yaml">apiVersion: networking.istio.io/v1alpha3 kind: Sidecar metadata: name: sleep spec: workloadSelector: labels: app: sleep egress: - hosts: - &quot;default/*&quot; </code></pre> <p>提交到集群，看看效果：</p> <pre><code class="language-shell">$ kubectl apply -f sleep-egress.yaml sidecar.networking.istio.io/sleep created $ istioctl proxy-config clusters sleep-69bd44b5bb-vwpzf | grep httpbin httpbin.default.svc.cluster.local 8000 - outbound &amp;{EDS} </code></pre> <p>可以看到，httpbin 的路由只剩下了本命名空间之内的服务。再次尝试访问：</p> <pre><code class="language-shell">$ kubectl exec -c sleep -it sleep-69bd44b5bb-vwpzf -- curl http://httpbin:8000/ip { &quot;origin&quot;: &quot;127.0.0.1&quot; } $ kubectl exec -c sleep -it sleep-69bd44b5bb-vwpzf -- curl -v http://httpbin.other:8000/ip * Trying 10.245.156.252... * TCP_NODELAY set * Connected to httpbin.other (10.245.156.252) port 8000 (#0) &gt; GET /ip HTTP/1.1 &gt; Host: httpbin.other:8000 &gt; User-Agent: curl/7.61.1 &gt; Accept: */* &gt; &lt; HTTP/1.1 404 Not Found &lt; date: Wed, 10 Apr 2019 04:50:15 GMT &lt; server: envoy &lt; content-length: 0 &lt; * Connection #0 to host httpbin.other left intact </code></pre> <p>这样一来，已经无法访问 <code>httpbin.other</code> 的服务了，但是如果尝试从 <code>other</code> 到 <code>default</code> 访问的话，还是可以继续的。</p> <h2 id="sidecar-的-ingress-和-egress">Sidecar 的 Ingress 和 Egress</h2> <p>除了上面的小功能之外，Sidecar 的 <code>IstioEgressListener</code> 和 <code>IstioIngressListener</code> 都提供了很强大的功能，例如：</p> <ol> <li>Envoy 可以为应用容器所监听的 Unix socket 提供反向代理服务。</li> <li>在没有 iptables 支持的情况下，可以使用 <code>bind</code> 结合 <code>port</code> 的方式，直接指定代理方案。</li> <li>可以在容器内部为 egress 服务提供基于 Unix socket 的反向代理。</li> </ol> <p>详情可以参考官方参考文档：<a href="https://istio.io/docs/reference/config/networking/v1alpha3/sidecar/#IstioIngressListener" target="_blank">https://istio.io/docs/reference/config/networking/v1alpha3/sidecar/#IstioIngressListener</a></p> <p>中文版：<a href="https://skyao.io/learning-istio/crd/network/sidecar.html" target="_blank">https://skyao.io/learning-istio/crd/network/sidecar.html</a></p> <p>这些功能都非常有用，上面的文档中都提供了很好的应用场景，<strong>但是这些特性我只有可见性部分测试成功了(╬￣皿￣)=○</strong>，目前正在讨说法，非常希望是我错了。。</p>