23 小时前 / 懒人yp
背景对于服务的可见性,在 Istio 设计之初,是没有特别考虑的,或者说,Istio 一开始的假定,就是建立在如下这个前提下的: Istio中的每个服务都可以访问Mesh中的任意服务 即在服务发现/请求转发这个层面,对服务访问的可见性不做任何限制,而通过安全机制来解决服务间调用权限的问题,如RBAC的使用。在这个思想的指导下,Pilot组件是需要将全量的服务信息(服务注册信息和服务治理信息)下发到 Sidecar,这样Sidecar才能在做到不管服务要请求的目标是哪个服务,都可以做到正确的路由。 这个机制在 demo 和小规模使用时不是问题,但是,在实际项......
2 天前 / 玲珑南书
编辑:小君君(才云)、bot(才云) 技术校对:星空下的文仔(才云)、四石(才云) 北美时间 2019 年 3 月 19 日,Istio v1.1 正式发布。 继 1.0 版本发布后,Istio 先后发布了 6 个补丁来完善相关功能。8 个月后,1.1 版本终于现世,引起了国内外用户的强烈关注。 Istio 是一种降低云原生部署复杂性的解决方案,可以让不同需求的微服务行为在 Service Mesh 里被当作一个整体看待,极大减轻了开发团队的压力。在 Service Mesh 中,它可以实现应对各种网络状况、提供快速确认机制、在不同认证的网络下保护服务流量、提供组织性策略等功能。这......
2 天前 / 崔秀龙
Weighted ClusterIstio支持在多个cluster之间设置权重,通过设置不同的subset和weight,可以实现很多丰富的功能,如大家熟悉的各种灰度发布(金丝雀发布/蓝绿部署/ABTest)等都是由此变化而来。 下面的例子熟悉Istio的同学应该都不陌生: apiVersion: networking.istio.io/v1alpha3kind: VirtualServicemetadata:name: reviews-routespec:hosts:- reviews.prod.svc.cluster.localhttp:- route:- destination:host: reviews.prod.svc.cluster.localsubset: v2weight: 25- destination:host: reviews.prod.svc.cluster.localsubset: v1weight: 75这......
4 天前 / 懒人yp
作者:Venil Noronha 译者:邱世达 审阅:孙海洲 原文:https://venilnoronha.io/hand-crafting-a-sidecar-proxy-like-istio sidecar代理模式是一个重要的概念,它允许Istio为服务网格中运行的服务提供路由、度量、安全和其他功能。 在这篇文章中,我将解释为Istio提供支持的关键技术,同时还将向您展示一种构建简单的HTTP流量嗅探sidecar代理的方法。 引言服务网格的实现通常依赖于sidecar代理,这些代理使得服务网格能够控制、观察和加密保护应用程序。sidecar代理是反向代理,所有流量在到达目标服务之前流过它。代理将分析流......
7 天前 / 懒人yp
引子这几天拜读了灵雀云出品的一篇文章:《从“鸿沟理论”看云原生》,其中有两段关于 Istio 的陈述,我深感赞同: 在 Control Plane,Istio 是最具光环的明星级项目。它正在引领 Service Mesh 创造出一个全新的市场,不过从传播周期看现在还没有跨过技术鸿沟,处于 Early adopters 阶段。 在开源领域,并不存在对Istio有实质性威胁的竞品。可能在经历了 Kubernetes 之后,以及 Istio 早期迅猛的发展和在社区中巨大的影响力之下,很少有开源项目愿意在 Control Plane 和 Istio 正面交锋。 按照我对 Istio 的理解,正如该文所说,正处于鸿沟一侧......
8 天前 / 懒人yp
作者: 钟华,腾讯云容器团队高级工程师,热衷于容器、微服务、service mesh、istio、devops 等领域技术 Istio 作为 Service Mesh 领域的集大成者, 提供了流控, 安全, 遥测等模型, 其功能复杂, 模块众多, 有较高的学习和使用门槛, 本文会对istio 1.1 的各组件进行分析, 希望能帮助读者了解istio各组件的职责、以及相互的协作关系. 1. istio 组件构成以下是istio 1.1 官方架构图: 虽然Istio 支持多个平台, 但将其与 Kubernetes 结合使用,其优势会更大, Istio 对Kubernetes 平台支持也是最完善的, 本文将基于Istio + Kubernetes 进行展开. 如......
9 天前 / 微服务蜂巢
背景 Pilot是Isito的控制面组件,提供服务发现和配置管理功能。因为Istio使用Envoy作为数据面,因此Pilot实现了Envoy所定义的xDS API,作为xDS Server向Envoy提供服务信息和配置信息。本文讲解Pilot xDS API的一些细节,并介绍Mesher对接Pilot的一些实践。 Mesher脱胎于go-chassis,一个go语言的微服务SDK,提供了路由、负载均衡、容错熔断、限流等微服务治理核心能力,Mesher直接在代码层面引用go-chassis的核心能力,并在此基础上构建了作为网络代理的功能。Mesher的架构中,一些关键功能都做了接口定义和插件化的实现,包括控制面的服务发......
12 天前 / 懒人yp
作者:Nicolas Frankel译者:罗广明原文:https://www.exoscale.com/syslog/istio-vs-hystrix-circuit-breaker/ 编者按本文作者由浅及深,从核心问题的引入到具体模式的代码实现,阐述了微服务两种断路器模式的实现原理、优缺点以及二者的比较。 前言不可否认的是,在过去的几年里,Docker和Kubernetes等技术已经彻底改变了我们对软件开发和部署的理解。 但是,尽管软件开发行业的快速发展促使开发人员采用最新的技术,但是后退一步,更好地查看支持这些技术的已建立的模式是很重要的。 断路器模式是微服务体系结构中广泛采用的模式之一。我......
14 天前 / 懒人yp
作者:陈洪波 快速开始:https://micro-mesh/examples/adapter/auth 源码传送门。 研究Istio下构建简洁的微服务架构,对Istio的研究也更深入,自定义Mixer Adapter必不可少,以下结合使用场景做一个自定义适配器的实践分享。 背景 结合https://github.com/hb-go/micro-mesh的实践场景,需要在 ingressgateway与 API service间加入认证&鉴权(JWT&RBAC),自然考虑Istio提供的安全方案,但使用JWT做认证鉴权在后端是无状态的,这样在使用场景上有一定限制,如: 密码修改、终端连接限制等场景下无法踢除 访问控制策略无法实时生效 默认方案只是......
21 天前 / 懒人yp
作者:Luke Bond译者:李琪原文地址:https://blog.aquasec.com/istio-kubernetes-service-mesh 2017年5月,谷歌面向大规模容器化应用管理的开源项目Istio正式发布了。此后经过快速的发展,于2018年7月发布了里程碑式的1.0版本。本文的主要内容包括:Istio是什么、Istio的工作原理以及落地方式。在本系列的后续文章中我们还会深入了解Istio的安全和流量管理功能。 Istio是什么?从过去几年发布的大量开源项目中我们可以总结出谷歌内部构建、部署与管理大型分布式容器化应用的方案。而Istio就是这个方案的最后一步——管理应用程序。了解Istio在谷......
22 天前 / 懒人yp
作者:Rinor Maloku译者:殷龙飞审校:孙海洲原文:https://medium.com/google-cloud/back-to-microservices-with-istio-p1-827c872daa53 Istio 是一个由Google,IBM和Lyft团队合作开发的开源项目,它提供了基于微服务的应用程序复杂性的解决方案,仅举几例: 流量管理:超时,重试,负载均衡, 安全性:最终用户身份验证和授权, 可观察性:跟踪,监控和记录。 所有这些都可以在应用程序层中解决,但是您的服务不再是“微型”,相对于提供业务价值的资源,实现这些的所有额外工作都是公司资源的压力。我们来举个例子: PM:添加反馈功能需......
29 天前 / 彭路强
[TOC] 架构 介绍完整的 yaml 文件参见 pilot-yaml。 Dockerfile 12345FROM istionightly/base_debugADD pilot-discovery /usr/local/bin/ADD cacert.pem /cacert.pemENTRYPOINT ["/usr/local/bin/pilot-discovery"]启动命令行 12# ps -ef -www|grep pilot$/usr/local/bin/pilot-discovery discovery命令行帮助 123456789# kubectl exec -ti istio-pilot-f9d78b7b9-fmhfb -n istio-system -c discovery -- /usr/local/bin/pilot-discovery --helpUsage: pilot-discovery [command]Available Commands: discovery Start Istio proxy discov......
31 天前 / 懒人yp
互联网服务离不开用户认证。JSON Web Token(后简称JWT)是一个轻巧,分布式的用户授权鉴权规范。和过去的session数据持久化的方案相比,JWT有着分布式鉴权的特点,避免了session用户认证时单点失败引起所有服务都无法正常使用的窘境,从而在微服务架构设计下越来越受欢迎。然而JWT单点授权,分布鉴权的特点也给我们带来了一个问题,即服务端无法主动回收或者BAN出相应的Token,使得即使某个服务主动封禁了一个用户时,这个用户同样可以使用之前的JWT来从其他服务获取资源。本文我们将阐述利用Istio Mixer Adapter的能力,来将所有请求在服务网格的入......
69 天前 / 头条机器人
崔秀龙,HPE 软件分析师,Kubernetes 权威指南作者之一,Kubernetes、Istio 项目成员。 本文根据崔秀龙在 2019 广州 Service Mesh Meetup#5 分享整理,完整的分享 PPT 获取方式见文章底部。 本文内容收录在崔秀龙的新书:《深入浅出 Istio - Service Mesh 快速入门与实践》的第十章,该书将于近期由博文视点出版发行,敬请关注。 Service Mesh 概念在 Linkerd 落地之后,让一直漂浮在空中的微服务治理方案有了一个明确的落地点,给微服务架构的具体实现指出了一个清晰的方向,围绕这一概念逐步开始形成新的技术生态,在业界造成不少震动。这种......
74 天前 / 懒人yp
Envoy 是 Istio Service Mesh 中默认的 Sidecar,Istio 在 Enovy 的基础上按照 Envoy 的 xDS 协议扩展了其控制平面,在讲到 Envoy xDS 协议之前还需要我们先熟悉下 Envoy 的基本术语。下面列举了 Envoy 里的基本术语及其数据结构解析,关于 Envoy 的详细介绍请参考 Envoy 官方文档,至于 Envoy 在 Service Mesh(不仅限于 Istio) 中是如何作为转发代理工作的请参考网易云刘超的这篇深入解读 Service Mesh 背后的技术细节 以及理解 Istio Service Mesh 中 Envoy 代理 Sidecar 注入及流量劫持,本文引用其中的一些观点,详细内容不再赘述。 基本......