Istio 提供一种简单的方式来为已部署的服务建立网络,该网络具有负载均衡、服务间认证、监控等功能,而不需要对服务的代码做任何改动。 istio 适用于容器或虚拟机环境(特别是 k8s),兼容异构架构。 istio 使用 sidecar(边车模式)代理服务的网络,不需要对业务代码本身做任何的改动。 HTTP、gRPC、WebSocket 和 TCP 流量的自动负载均衡。 istio 通过丰富的路由规则、重试、故障转移和故障注入,可以对流量行为进行细粒度控制;支持访问控制、速率限制和配额。 istio 对出
Istio 安全(概念) 通过将一个单一应用划分为多个原子服务的方式,可以提供更好的灵活性,可扩展性以及重用服务的能力。然而微服务对安全有特殊的要求: 抵御中间人攻击,需要用到流量加密 提供灵活的服务
Istio的运维-诊断工具 涵盖官方文档的诊断工具章节 使用istioctl命令行工具 首先可以通过日志或Introspection检查各个组件,如果不足以支持问题定位,可以参考如下操作: istio
Istio的流量管理(实操一) 使用官方的Bookinfo应用进行测试。涵盖官方文档Traffic Management章节中的请求路由,故障注入,流量迁移,TCP流量迁移,请求超时,熔断处理和流量镜
Istio中的流量配置 Istio注入的容器 Istio的数据面会在pod中注入两个容器:istio-init和istio-proxy。 Istio-init istio-init会通过创建iptab
Istio的流量管理(实操三) 涵盖官方文档Traffic Management章节中的egress部分。 访问外部服务 由于启用了istio的pod的出站流量默认都会被重定向到代理上,因此对集群外部
Istio的流量管理(概念) 涵盖istio官方文章的Traffic Management章节 概述 istio的流量路由规则可以简单地控制不同服务间的流量以及API调用。Istio在服务层面提供了断
Istio的流量管理(实操二) 涵盖官方文档Traffic Management章节中的inrgess部分。 Ingress网关 在kubernetes环境中,kubernetes ingress资源
Istio多集群(1)-多控制面 参考自官方文档。 复制控制面 本节将使用多个主集群(带控制面的集群)来部署Istio多集群,每个集群都有自己的控制面,集群之间使用gateway进行通信。 由于不使用
Istio的部署模型介绍 部署模型 当配置一个生产级别的Istio时,需要解决一些问题:如网格是单集群使用,还是跨集群使用?所有的服务会放到一个完全可达的网络中,还是需要网关来连接跨网络的服务?使用一
Envoy 代理中的请求的生命周期 翻译自Envoy官方文档。 下面描述一个经过Envoy代理的请求的生命周期。首先会描述Envoy如何在请求路径中处理请求,然后描述请求从下游到达Envoy代理之后发
Istio安全-认证 认证策略 本节会介绍如何启用,配置和使用istio的认证策略,了解更多关于认证的底层概念。 首先了解istio的认证策略和相关的mutual TLS认证概念,然后使用defaul
Istio安全-证书管理 注:本章更新至1.8版本 插入现有CA证书 本节展示了管理员如何使用现有的根证书来授权istio证书,签发证书和密钥,不使用Istio自动生成的证书。 默认情况下,istio