單控制平面拓?fù)湎?#xff0c;多個(gè) Kubernetes 集群共同使用在其中一個(gè)集群上運(yùn)行的單個(gè) Istio 控制平面?？刂破矫娴?Pilot 管理本地和遠(yuǎn)程集群上的服務(wù)，并為所有集群配置 Envoy Sidecar 代理。

集群感知的服務(wù)路由

Istio 1.1 中引入了集群感知的服務(wù)路由能力，在單一控制平面拓?fù)渑渲孟?#xff0c;使用 Istio 的 Split-horizon EDS（水平分割端點(diǎn)發(fā)現(xiàn)服務(wù)）功能可以通過其入口網(wǎng)關(guān)將服務(wù)請(qǐng)求路由到其他集群。基于請(qǐng)求源的位置，Istio 能夠?qū)⒄?qǐng)求路由到不同的端點(diǎn)。

在該配置中，從一個(gè)集群中的 Sidecar 代理到同一集群中的服務(wù)的請(qǐng)求仍然被轉(zhuǎn)發(fā)到本地服務(wù) IP。如果目標(biāo)工作負(fù)載在其他集群中運(yùn)行，則使用遠(yuǎn)程集群的網(wǎng)關(guān) IP 來連接到該服務(wù)。

如圖所示，主集群 cluster1 運(yùn)行全套的 Istio 控制平面組件，同時(shí)集群 cluster2 僅運(yùn)行 Istio Citadel、Sidecar Injector 和 Ingress 網(wǎng)關(guān)。不需要 VPN 連接，不同集群中的工作負(fù)載之間也不需要直接網(wǎng)絡(luò)訪問。

從共享的根 CA 為每個(gè)集群的 Citadel 生成中間 CA 證書，共享的根 CA 啟用跨不同集群的雙向 TLS 通信。為了便于說明，我們將 samples/certs 目錄下 Istio 安裝中提供的示例根 CA 證書用于兩個(gè)集群。在實(shí)際部署中，你可能會(huì)為每個(gè)集群使用不同的 CA 證書，所有 CA 證書都由公共根 CA 簽名。

在每個(gè) Kubernetes 集群中（包括示例中的集群 cluster1 與 cluster2）使用以下命令為生成的 CA 證書創(chuàng)建 Kubernetes 密鑰：

kubectl create namespace istio-system kubectl create secret generic cacerts -n istio-system \--from-file=samples/certs/ca-cert.pem \--from-file=samples/certs/ca-key.pem \--from-file=samples/certs/root-cert.pem \--from-file=samples/certs/cert-chain.pem

Istio 控制平面組件

在部署全套 Istio 控制平面組件的集群 cluster1 中，按照以下步驟執(zhí)行：

1.安裝 Istio 的 CRD 并等待幾秒鐘，以便將它們提交給 Kubernetes API 服務(wù)器，如下所示：

for i in install/kubernetes/helm/istio-init/files/crd*yaml; do kubectl apply -f $i; done

2.然后開始在集群 cluster1 中部署 Istio 控制平面。

如果 helm 依賴項(xiàng)缺失或者不是最新的，可以通過 helm dep update 來更新這些依賴項(xiàng)。需要注意的是，因?yàn)闆]有使用 istio-cni，可以暫時(shí)將其從依賴項(xiàng) requirements.yaml 中去掉再執(zhí)行更新操作。具體命令如下所示：

helm template --name=istio --namespace=istio-system \ --set global.mtls.enabled=true \ --set security.selfSigned=false \ --set global.controlPlaneSecurityEnabled=true \ --set global.meshExpansion.enabled=true \ --set global.meshNetworks.network2.endpoints[0].fromRegistry=n2-k8s-config \ --set global.meshNetworks.network2.gateways[0].address=0.0.0.0 \ --set global.meshNetworks.network2.gateways[0].port=15443 \ install/kubernetes/helm/istio > ./istio-auth.yaml

請(qǐng)注意，網(wǎng)關(guān)地址設(shè)置為 0.0.0.0。這是一個(gè)臨時(shí)占位符值，在集群 cluster2 部署之后將更新為其網(wǎng)關(guān)的公共 IP 值。

將 Istio 部署到 cluster1，如下所示：

kubectl apply -f ./istio-auth.yaml

確保上述步驟在 Kubernetes 集群中執(zhí)行成功。

創(chuàng)建網(wǎng)關(guān)以訪問遠(yuǎn)程服務(wù)，如下所示：

kubectl create -f - <<EOF apiVersion: networking.istio.io/v1alpha3 kind: Gateway metadata:name: cluster-aware-gatewaynamespace: istio-system spec:selector:istio: ingressgatewayservers:- port:number: 15443name: tlsprotocol: TLStls:mode: AUTO_PASSTHROUGHhosts:- "*" EOF

上述網(wǎng)關(guān)配置了一個(gè)專用端口 15443 用來將傳入流量傳遞到請(qǐng)求的 SNI 標(biāo)頭中指定的目標(biāo)服務(wù)，從源服務(wù)到目標(biāo)服務(wù)一直使用雙向 TLS 連接。

請(qǐng)注意雖然該網(wǎng)關(guān)定義應(yīng)用于集群 cluster1，但因?yàn)閮蓚€(gè)集群都與同一個(gè) Pilot 進(jìn)行通信，此網(wǎng)關(guān)實(shí)例同樣也適用于集群 cluster2。

istio-remote 組件

在另一集群 cluster2 中部署 istio-remote 組件，按照以下步驟執(zhí)行：

1.首先獲取集群 cluster1 的入口網(wǎng)關(guān)地址，如下所示：

export LOCAL_GW_ADDR=$(kubectl get svc --selector=app=istio-ingressgateway \-n istio-system -o jsonpath="{.items[0].status.loadBalancer.ingress[0].ip}")

通過執(zhí)行以下命令，使用 Helm 創(chuàng)建 Istio remote 部署 YAML 文件：

helm template --name istio-remote --namespace=istio-system \ --values install/kubernetes/helm/istio/values-istio-remote.yaml \ --set global.mtls.enabled=true \ --set gateways.enabled=true \ --set security.selfSigned=false \ --set global.controlPlaneSecurityEnabled=true \ --set global.createRemoteSvcEndpoints=true \ --set global.remotePilotCreateSvcEndpoint=true \ --set global.remotePilotAddress=${LOCAL_GW_ADDR} \ --set global.remotePolicyAddress=${LOCAL_GW_ADDR} \ --set global.remoteTelemetryAddress=${LOCAL_GW_ADDR} \ --set gateways.istio-ingressgateway.env.ISTIO_META_NETWORK="network2" \ --set global.network="network2" \ install/kubernetes/helm/istio > istio-remote-auth.yaml

2.將 Istio remote 組件部署到 cluster2，如下所示：

kubectl apply -f ./istio-remote-auth.yaml

確保上述步驟在 Kubernetes 集群中執(zhí)行成功。

3.更新集群 cluster1 的配置項(xiàng) istio，獲取集群 cluster2 的入口網(wǎng)關(guān)地址，如下所示：

export REMOTE_GW_ADDR=$(kubectl get --context=$CTX_REMOTE svc --selector=app= istio-ingressgateway -n istio-system -o jsonpath="{.items[0].status.loadBalancer.ingress [0].ip}")

在集群 cluster1 中編輯命名空間 istio-system 下的配置項(xiàng) istio，替換 network2 的網(wǎng)關(guān)地址，從 0.0.0.0 變成集群 cluster2 的入口網(wǎng)關(guān)地址 ${REMOTE_GW_ADDR}。保存后，Pilot 將自動(dòng)讀取更新的網(wǎng)絡(luò)配置。

4.創(chuàng)建集群 cluster2 的 Kubeconfig。通過以下命令，在集群 cluster2 上創(chuàng)建服務(wù)賬號(hào) istio-multi 的 Kubeconfig，并保存為文件 n2-k8s-config：

CLUSTER_NAME="cluster2" SERVER=$(kubectl config view --minify=true -o "jsonpath={.clusters[].cluster.server}") SECRET_NAME=$(kubectl get sa istio-multi -n istio-system -o jsonpath='{.secrets[].name}') CA_DATA=$(kubectl get secret ${SECRET_NAME} -n istio-system -o "jsonpath={.data['ca\.crt']}") TOKEN=$(kubectl get secret ${SECRET_NAME} -n istio-system -o "jsonpath={.data['token']}" | base64 --decode) cat <<EOF > n2-k8s-config apiVersion: v1 kind: Config clusters:- cluster:certificate-authority-data: ${CA_DATA}server: ${SERVER}name: ${CLUSTER_NAME} contexts:- context:cluster: ${CLUSTER_NAME}user: ${CLUSTER_NAME}name: ${CLUSTER_NAME} current-context: ${CLUSTER_NAME} users:- name: ${CLUSTER_NAME}user:token: ${TOKEN} EOF

5.將集群 cluster2 加入到 Istio 控制平面。

在集群 clusterl 執(zhí)行以下命令，將上述生成的集群 cluster2 的 kubeconfig 添加到集群 cluster1 的 secret 中，執(zhí)行這些命令后，集群 cluster1 中的 Istio Pilot 將開始監(jiān)聽集群 cluster2 的服務(wù)和實(shí)例，就像監(jiān)聽集群 cluster1 中的服務(wù)與實(shí)例一樣：

kubectl create secret generic n2-k8s-secret --from-file n2-k8s-config -n istio-system kubectl label secret n2-k8s-secret istio/multiCluster=true -n istio-system

部署示例應(yīng)用

為了演示跨集群訪問，在第一個(gè) Kubernetes 集群 cluster1 中部署 sleep 應(yīng)用服務(wù)和版本 v1 的 helloworld 服務(wù)，在第二個(gè)集群 cluster2 中部署版本 v2 的 helloworld 服務(wù)，然后驗(yàn)證 sleep 應(yīng)用是否可以調(diào)用本地或者遠(yuǎn)程集群的 helloworld 服務(wù)。

1.部署 sleep 和版本 v1 的 helloworld 服務(wù)到第一個(gè)集群 cluster1 中，執(zhí)行如下命令：

kubectl create namespace app1 kubectl label namespace app1 istio-injection=enabled kubectl apply -n app1 -f samples/sleep/sleep.yaml kubectl apply -n app1 -f samples/helloworld/service.yaml kubectl apply -n app1 -f samples/helloworld/helloworld.yaml -l version=v1 export SLEEP_POD=$(kubectl get -n app1 pod -l app=sleep -o jsonpath={.items..metadata.name})

2.部署版本 v2 的 helloworld 服務(wù)到第二個(gè)集群 cluster2 中，執(zhí)行如下命令：

kubectl create namespace app1 kubectl label namespace app1 istio-injection=enabled kubectl apply -n app1 -f samples/helloworld/service.yaml kubectl apply -n app1 -f samples/helloworld/helloworld.yaml -l version=v2

3.登錄到命名空間 istio-system 下的 istio-pilot 容器中，運(yùn)行 curl localhost:8080/v1/registration | grep helloworld -A 11 -B 2 命令，如果得到如下類似的結(jié)果就說明版本 v1 與 v2 的 helloworld 服務(wù)都已經(jīng)注冊(cè)到 Istio 控制平面中了：

4.驗(yàn)證在集群 cluster1 中的 sleep 服務(wù)是否可以正常調(diào)用本地或者遠(yuǎn)程集群的 helloworld 服務(wù)，在集群 cluster1 下執(zhí)行如下命令：

kubectl exec -it -n app1 $SLEEP_POD sh

登錄到容器中，運(yùn)行 curl helloworld.app1:5000/hello。

如果設(shè)置正確，則在返回的調(diào)用結(jié)果中可以看到兩個(gè)版本的 helloworld 服務(wù)，同時(shí)可以通過查看 sleep 容器組中的 istio-proxy 容器日志來驗(yàn)證訪問的端點(diǎn) IP 地址，返回結(jié)果如下所示：

原文鏈接
本文為云棲社區(qū)原創(chuàng)內(nèi)容，未經(jīng)允許不得轉(zhuǎn)載。

總結(jié)

以上是生活随笔為你收集整理的使用Istio进行多集群部署管理(2):单控制平面Gateway连接拓扑的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。