Istio服務(wù)網(wǎng)格實(shí)例精解

第1篇  基 礎(chǔ) 知 識
第1章  服務(wù)網(wǎng)格簡介 3
1.1  云計算基礎(chǔ)知識 3
1.1.1  云計算的選項(xiàng)和分類 3
1.1.2  云計算的優(yōu)勢 6
1.2  了解微服務(wù)架構(gòu) 8
1.3  了解Kubernetes 13
1.4  關(guān)于服務(wù)網(wǎng)格 16
1.4.1  使用服務(wù)網(wǎng)格的理由 16
1.4.2  Kubernetes實(shí)例解析 18
1.4.3  重試機(jī)制、斷路、超時和截止時間 24
1.4.4  藍(lán)/綠部署和金絲雀部署 25
1.5  小結(jié) 29
第2章  Istio入門 31
2.1  Istio簡介 31
2.2  探索Istio的替代方案 32
2.2.1  Kuma 32
2.2.2  Linkerd 32
2.2.3  Consul 33
2.2.4  AWS App Mesh 33
2.2.5  OpenShift Service Mesh 33
2.2.6  F5 NGINX Service Mesh 34
2.3  準(zhǔn)備工作站以安裝Istio 34
2.3.1  系統(tǒng)和硬件需求 34
2.3.2  安裝minikube和Kubernetes命令行工具 35
2.4  安裝Istio 38
2.4.1  下載安裝文件 38
2.4.2  查看安裝包 39
2.4.3  使用istioctl執(zhí)行安裝 39
2.4.4  檢查安裝結(jié)果 40
2.4.5  為示例應(yīng)用程序啟用Istio 41
2.4.6  Sidecar注入 43
2.4.7  Istio網(wǎng)關(guān) 48
2.5  可觀察性工具 53
2.5.1  kiali 54
2.5.2  Jaeger 56
2.5.3  Prometheus 57
2.5.4  Grafana 58
2.6  Istio架構(gòu) 59
2.7  小結(jié) 60
第3章  理解Istio控制平面和數(shù)據(jù)平面 63
3.1  探索Istio控制平面的組件 63
3.1.1  istiod 64
3.1.2  Istio operator和istioctl 67
3.1.3  Istio agent 71
3.2  Istio控制平面的部署模型 72
3.2.1  具有本地控制平面的單個集群 73
3.2.2  具有單一控制平面的主集群和遠(yuǎn)程集群 74
3.2.3  具有外部控制平面的單個集群 75
3.3  Envoy探索 76
3.3.1  Envoy的顯著特征 76
3.3.2  HTTP過濾器 79
3.3.3  偵聽器過濾器 84
3.3.4  通過xDS API進(jìn)行動態(tài)配置 85
3.3.5  可擴(kuò)展性 87
3.4  小結(jié) 88
 
第2篇  Istio實(shí)戰(zhàn)
第4章  管理應(yīng)用程序流量 91
4.1  技術(shù)要求 91
4.1.1  設(shè)置環(huán)境 92
4.1.2  創(chuàng)建EKS集群 92
4.1.3  設(shè)置kubeconfig和kubectl 94
4.1.4  部署Sockshop應(yīng)用程序 94
4.2  使用Kubernetes Ingress資源管理入口流量 95
4.2.1  了解Kubernetes Ingress資源管理機(jī)制 95
4.2.2  使用Istio網(wǎng)關(guān)控制器處理Ingress資源 98
4.2.3  添加Ingress規(guī)則 100
4.3  使用Istio網(wǎng)關(guān)管理Ingress 102
4.3.1  創(chuàng)建網(wǎng)關(guān) 102
4.3.2  創(chuàng)建虛擬服務(wù) 103
4.4  流量路由和金絲雀版本 107
4.4.1  流量路由 107
4.4.2  定義目的地規(guī)則 108
4.5  流量鏡像 111
4.6  將流量路由到集群外部的服務(wù) 113
4.7  通過HTTPS公開入口 115
4.7.1  創(chuàng)建證書 115
4.7.2  配置Istio網(wǎng)關(guān) 116
4.7.3  允許HTTP重定向到HTTPS 118
4.7.4  為多個主機(jī)啟用HTTPS 119
4.7.5  為CNAME和通配符記錄啟用HTTPS 121
4.8  使用Istio管理出口流量 123
4.8.1  使用ServiceEntry 123
4.8.2  使用Egress網(wǎng)關(guān) 124
4.9  小結(jié) 127
第5章  管理應(yīng)用程序彈性 129
5.1  使用故障注入實(shí)現(xiàn)應(yīng)用程序彈性 129
5.1.1  HTTP延遲 130
5.1.2  HTTP中止 134
5.2  使用超時和重試實(shí)現(xiàn)應(yīng)用程序彈性 137
5.2.1  超時 137
5.2.2  重試 140
5.3  使用負(fù)載均衡構(gòu)建應(yīng)用程序彈性 143
5.3.1  循環(huán) 143
5.3.2  RANDOM 144
5.3.3  LEAST_REQUEST 145
5.3.4  定義多個負(fù)載均衡規(guī)則 146
5.4  速率限制 147
5.5  斷路器和異常值檢測 150
5.6  小結(jié) 152
第6章  確保微服務(wù)通信的安全 155
6.1  理解Istio安全架構(gòu) 155
6.2  使用雙向TLS進(jìn)行身份驗(yàn)證 158
6.2.1  服務(wù)到服務(wù)的身份驗(yàn)證 159
6.2.2  使用網(wǎng)格外的客戶端進(jìn)行身份驗(yàn)證 164
6.3  配置RequestAuthentication 165
6.4  配置RequestAuthorization 172
6.5  小結(jié) 178
第7章  服務(wù)網(wǎng)格可觀察性 179
7.1  理解可觀察性 179
7.2  使用Prometheus抓取指標(biāo) 181
7.2.1  安裝Prometheus 182
7.2.2  部署示例應(yīng)用程序 183
7.3  自定義Istio指標(biāo) 187
7.3.1  Istio指標(biāo)、維度和值 187
7.3.2  向Istio指標(biāo)添加維度 189
7.3.3  創(chuàng)建新的Istio指標(biāo) 192
7.4  使用Grafana可視化遙測信息 194
7.4.1  安裝Grafana 194
7.4.2  創(chuàng)建警報 196
7.5  實(shí)現(xiàn)分布式跟蹤 201
7.5.1  Jaeger簡介 201
7.5.2  安裝和配置Jaeger 202
7.5.3  檢查跟蹤信息 203
7.6  小結(jié) 208
第3篇  縮放、擴(kuò)展和優(yōu)化
第8章  將Istio擴(kuò)展到跨Kubernetes的多集群部署 213
8.1  技術(shù)要求 213
8.1.1  設(shè)置Kubernetes集群 214
8.1.2  設(shè)置OpenSSL 215
8.1.3  其他Google Cloud步驟 215
8.2  在多集群部署中建立互信 216
8.3  多網(wǎng)絡(luò)上的primary-remote配置 219
8.3.1  建立兩個集群之間的信任 220
8.3.2  部署Envoy虛擬應(yīng)用程序 228
8.3.3  測試虛擬應(yīng)用程序的流量分布 229
8.4  同一網(wǎng)絡(luò)上的primary-remote配置 230
8.5  不同網(wǎng)絡(luò)上的primary-primary配置 234
8.5.1  構(gòu)建多個主集群 235
8.5.2  通過Envoy虛擬服務(wù)進(jìn)行部署和測試 237
8.6  同一網(wǎng)絡(luò)上的primary-primary配置 238
8.6.1  執(zhí)行清理操作 239
8.6.2  在兩個集群上安裝Istio 240
8.7  小結(jié) 242
第9章  擴(kuò)展Istio數(shù)據(jù)平面 243
9.1  技術(shù)要求 243
9.2  關(guān)于可擴(kuò)展性 244
9.3  使用EnvoyFilter自定義數(shù)據(jù)平面 246
9.4  Wasm基礎(chǔ) 249
9.5  使用Wasm擴(kuò)展Istio數(shù)據(jù)平面 253
9.5.1  Proxy-Wasm簡介 253
9.5.2  Proxy-Wasm ABI規(guī)范 254
9.5.3  Proxy-Wasm SDK 256
9.5.4  在Istio中部署Wasm 261
9.6  小結(jié) 265
第10章  為非Kubernetes工作負(fù)載部署Istio服務(wù)網(wǎng)格 267
10.1  技術(shù)要求 267
10.2  了解混合架構(gòu) 270
10.3  為混合架構(gòu)設(shè)置服務(wù)網(wǎng)格 272
10.3.1  設(shè)置概述 272
10.3.2  在虛擬機(jī)上設(shè)置演示應(yīng)用程序 275
10.3.3  在集群中設(shè)置Istio 277
10.3.4  配置Kubernetes集群 277
10.3.5  在虛擬機(jī)上設(shè)置Istio 280
10.3.6  將虛擬機(jī)工作負(fù)載納入網(wǎng)格中 282
10.4  小結(jié) 285
第11章  Istio故障排除和操作 287
11.1  理解Istio組件之間的交互 287
11.1.1  探索Istiod端口 287
11.1.2  探索Envoy端口 289
11.2  檢查和分析Istio配置 290
11.3  使用訪問日志排除錯誤 294
11.3.1  啟用訪問日志 294
11.3.2  訪問日志的內(nèi)容解析 296
11.3.3  使用響應(yīng)標(biāo)志 297
11.4  使用調(diào)試日志排除錯誤 299
11.4.1  更改Istio數(shù)據(jù)平面的調(diào)試日志 299
11.4.2  更改Istio控制平面的日志級別 300
11.5  調(diào)試Istio代理 302
11.6  了解Istio的最佳實(shí)踐 303
11.6.1  檢查控制平面的攻擊媒介 304
11.6.2  檢查數(shù)據(jù)平面的攻擊媒介 304
11.6.3  保護(hù)服務(wù)網(wǎng)格 304
11.7  使用OPA Gatekeeper自動執(zhí)行最佳實(shí)踐 306
11.7.1  安裝和配置OPA Gatekeeper 307
11.7.2  配置約束 308
11.7.3  定義強(qiáng)制執(zhí)行端口命名約定的約束 311
11.8  小結(jié) 314
第12章  總結(jié)和展望 317
12.1  技術(shù)要求 317
12.2  使用OPA Gatekeeper實(shí)施工作負(fù)載部署最佳實(shí)踐 319
12.3  將本書知識應(yīng)用到Online Boutique示例應(yīng)用程序中 320
12.3.1  為示例應(yīng)用程序啟用服務(wù)網(wǎng)格 321
12.3.2  配置Istio來管理應(yīng)用程序流量 323
12.3.3  配置Istio來管理應(yīng)用程序彈性 327
12.3.4　配置Istio來管理應(yīng)用程序安全 330
12.4  Istio的認(rèn)證和學(xué)習(xí)資源 336
12.5  了解eBPF 338
12.6  小結(jié) 340
附錄A  其他服務(wù)網(wǎng)格技術(shù) 343
A.1  Consul Connect 343
A.1.1  在minikube上安裝Consul Connect 343
A.1.2  部署示例應(yīng)用程序 347
A.1.3  零信任網(wǎng)絡(luò) 348
A.1.4  流量管理和路由 350
A.2  Gloo Mesh 357
A.3  Kuma 359
A.3.1  下載并安裝Kuma 359
A.3.2  在Kuma網(wǎng)格中部署envoydemo和curl 361
A.3.3  使用Kuma GUI查看網(wǎng)格狀態(tài) 362
A.3.4  啟用mTLS 362
A.3.5  創(chuàng)建流量控制策略 364
A.3.6  流量管理和路由 365
A.3.7  通過加權(quán)路由策略實(shí)現(xiàn)負(fù)載均衡 368
A.3.8  創(chuàng)建新網(wǎng)格 368
A.3.9  創(chuàng)建Kuma內(nèi)置網(wǎng)關(guān) 369
A.3.10  定義網(wǎng)關(guān)路由 370
A.4  Linkerd 374
A.4.1  安裝Linkerd 374
A.4.2  在Linkerd中部署envoydummy和curl 376
A.4.3  零信任網(wǎng)絡(luò) 377
A.4.4  通過策略實(shí)現(xiàn)細(xì)粒度的訪問控制 380
A.4.5  Linkerd其他功能簡介 381