Istio基本概念及部署

一、Istio架构及组件

Istio服务网格在逻辑上分为数据平面和控制平面。

• 控制平面：使用全新的部署模式：Istiod，这个组件负责处理Sidecar注入，证书颁发，配置管理等功能，替代原有组件，降低复杂度，提高易用性。

       - Polit：策略组件，为proxy提供服务发现、智能路由、错误处理等

       - Citadel：安全组件，提供证书下发、加密通信、控制访问

       - Galley：配置管理、验证、分发

• 数据平面： 有一组proxy组成，这些proxy 负责所有微服务网络通信，实现高效转发和策略。使用envoy实现，envoy是一个基于C++实现的L4/L7proxy转发器，是Istio在数据平面唯一的组件。

二、Istio基本概念

istio有四个配置资源，落地所有流量管理需求：

• VirtualService(虚拟服务)：实现服务请求路由规则的功能
• DestinationRule(目标规则)：实现目标服务的负载均衡、服务发现、故障处理和故障注入的功能。
• Gateway(网关)：让服务网格内的服务，可以被全世界看到。
• ServiceEntry(服务入口)：允许管理网格外的服务流量

三、 Istioctl下载

Istio 1.23 支持以下这些 Kubernetes 版本： 1.27, 1.28, 1.29, 1.30。

1.21-1.23.2之间貌似有bug，Sidercar创建pod会失败：

官网地址：Istio

下载地址：https://github.com/istio/istio/releases

经过测试：k8s-1.28.1 匹配istio1.20.0最合适。

最新版下载：

# curl -L https://istio.io/downloadIstio | sh -
下载指定版本：

# curl -L https://istio.io/downloadIstio | ISTIO_VERSION=1.20.0 TARGET_ARCH=x86_64 sh -

# cp /opt/istio-1.20.0/bin/istioctl /usr/bin

也可以设置变量：

# export PATH="$PATH:/opt/istio-1.20.0/bin"

四、查看配置文件使用的名称

#Ambient 配置文件旨在帮助您开始使用 Ambient 模式。ambient
#根据 IstioOperator API 的默认设置来启用组件。 建议用于生产部署和多集群网格 中的主集群。default
#这一配置具有适度的资源需求，旨在展示 Istio 的功能。 它适合运行 Bookinfo 应用程序和相关任务demo
#不部署任何内容。可以作为自定义配置的基本配置文件。empty
#与默认配置文件相同，但只安装了控制平面组件。 它允许您使用单独的配置文件 配置控制平面和数据平面组件minimalopenshift
#预览文件包含的功能都属于实验性阶段。该配置文件是为了探索 Istio 的新功能。 确保稳定性、安全性和性能（使用风险需自负）。preview
#用于配置一个从集群， 这个从集群由外部控制平面管理， 或者由多集群网格的 主集群中的控制平面管理remotestable#说明
https://istio.io/latest/zh/docs/setup/additional-setup/config-profiles/#:~:text=%E6%9C%AC%E9%A1%B5%E9%9D%A2%E6%8F%8F%E8%BF%B0%E4%BA%86%E5%9C%A8%20%E5%AE%89%E8%A3%85%20Istio%20%E6%97%B6%E6%89%80%E8%83%BD%E5%A4%9F%E4%BD%BF%E7%94%A8%E7%9A%84%E5%86%85%E7%BD%AE%E9%85%8D%E7%BD%AE%E6%96%87%E4%BB%B6%E3%80%82%20%E8%BF%99%E4%BA%9B%E9%85%8D%E7%BD%AE%E6%96%87%E4%BB%B6%E6%8F%90%E4%BE%9B%E4%BA%86%E5%AF%B9%20Istio%20%E6%8E%A7%E5%88%B6%E5%B9%B3%E9%9D%A2%E5%92%8C%20Istio,%E6%95%B0%E6%8D%AE%E5%B9%B3%E9%9D%A2%20Sidecar%20%E7%9A%84%E5%AE%9A%E5%88%B6%E5%86%85%E5%AE%B9%E3%80%82%20%E6%82%A8%E5%8F%AF%E4%BB%A5%E4%BB%8E%E5%85%B6%E4%B8%AD%E4%B8%80%E4%B8%AA%20Istio%20%E5%86%85%E7%BD%AE%E9%85%8D%E7%BD%AE%E6%96%87%E4%BB%B6%E5%BC%80%E5%A7%8B%E5%85%A5%E6%89%8B%EF%BC%8C%20%E7%84%B6%E5%90%8E%E6%A0%B9%E6%8D%AE%E6%82%A8%E7%9A%84%E7%89%B9%E5%AE%9A%E9%9C%80%E6%B1%82%E8%BF%9B%E4%B8%80%E6%AD%A5%20%E8%87%AA%E5%AE%9A%E4%B9%89%E9%85%8D%E7%BD%AE%E6%96%87%E4%BB%B6%E3%80%82

五、部署

自定义参数使用--set：

此 API 中的配置参数能用命令行选项 --set 独立设置。 例如，要在 default 配置档中启动调试日志特性，使用这个命令：

$ istioctl install --set values.global.logging.level=debug

其他方法参见：

Istio / 定制安装配置

安装命令：

# /istio-1.20.0/bin/istioctl install

这里使用默认安装：

# istioctl install

这里是镜像下载不下来，可以手动下载，然后tag成需要的镜像即可：

# docker pull dhub.kubesre.xyz/istio/pilot:1.20.0

# docker tag dhub.kubesre.xyz/istio/pilot:1.20.0 docker.io/istio/pilot:1.20.0

# docker pull dhub.kubesre.xyz/istio/proxyv2:1.20.0

# docker tag dhub.kubesre.xyz/istio/proxyv2:1.20.0

# #生成部署清单：

# istioctl manifest generate > generate.yaml

## 卸载

# istioctl manifest generate | kubectl delete -f -

六、Sidercar注入

手动注入《默认命名空间》：

或者;

# istioctl kube-inject -f httpbin-nodeport.yaml |kubectl apply -f -

自动注入：

# kubectl label namespace crm istio-injection=enabled   关闭：enabled改成disabled

# kubectl apply -f httpbin-gateway.yaml

IngressGateway NodePort访问地址：http://x.x.x.x:port

示例：

# kubectl label namespace crm istio-injection=enabled

如果是现有应用的容器，要么删除重建，要么重新部署。就会生效。

# kubectl apply -f httpbin-gateway.yaml

从gateway访问：

从httpbin进行访问：

访问流程图：

用户-->NodePort-->IngressGateway-->istio-proxy<-->httpbin

查看：

七、istio与k8s集成流程