云原生之路06之Istio服务网格快速入门

第九章 Istio服务网格快速入门

云原生业界定义和技术发展趋势

• CNCF(云原生计算基金会)对云原生定义：云原生技术有利于各组织在公有云，私有云和混合云等新型动态环境中，构建和运行可弹性扩展的应用。
• 云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明API
  
• 趋势：服务治理与业务逻辑逐步解耦，服务治理能力下沉到基础设施，服务网格以基础设施的方式提供无侵入的连接控制、安全、可监测、灰度发布等治理概念，如华为ASM、谷歌GCP。

服务网格

• 微服务源自服务化架构设计理念，与敏捷开发DevOps理念的结合：微——>小，快，独。
• 经过三代技术演进，随着云计算发展到云原生阶段，服务网格（Service Mesh）则成为承载微服务架构理念的新一代云原生技术形态
• 服务网格是一种云原生的，应用层的网络技术
  • 云原生：面向弹性，微服务化，去中心化业务场景
  • 应用层：以应用为中心，关注应用的发布，监控，恢复等（3）网络：关注应用组件之间的接口，流量，数据，访问安全等。

Istio已日趋成为服务网格标准

Istio项目发展历程：多个头部云厂商参与，已经商业Ready

• 在Google、IBM、RedHat等开源巨头成熟的项目运作与社区治理机制下快速发展
  
  

Istio已日趋成为服务网格标准

• Istio是一种云原生的，应用层的，网络技术，用于解决组成应用的组件之间的连接，安全，策略，可观察性等问题。
  
• （1）容器和微服务共同的轻量，敏捷的特点，微服务运行在容器中日益流行
• （2）k8s在容器编排领域成为事实标准
• （3）Istio提供Service Mesh方式无侵入微服务治理能力，成为微服务治理的趋势
• （4）Istio和k8s紧密结合，基于k8s构建，补齐了k8s的治理能力，提供了端到端的微服务运行治理平台。
• 对于云原生应用，采用k8s构建微服务部署和集群管理能力，采用Istio构建服务治理能力，将逐渐成为应用微服务转型的标准配置。

Istio服务网络架构及使用场景介绍

Istio概念初识

• 核心组件：Pilot、Citadel、Galley
• 基本资源：Gateway，Virtual Service和Destination Rule
  

Istio技术架构

逻辑划分：

• （1）数据平面：由一组智能代理（Envoy）组成，被部署为sidecar
• （2）控制平面：管理并配置代理来进行流量路由
  核心组件：
• （1）Pilot：为Envoy sidecar提供服务发现，用于智能路由的流量管理功能（例如：A/B测试，金丝雀发布等）以及弹性功能（超时，重试，熔断器等）
• （2）Citadel：通过内置的身份和证书管理，可以支持强大的服务到服务已经最终用户的身份验证
• （3）Galley：Istio的配置验证，提取，处理和分发组件

Istio功能特性

• 流量管理：负载均衡，动态路由，灰度发布，故障注入
• 可观察性：调用链，访问日志，监控
• 策略控制：限流，ACL，配额，计费
• 认证安全：认证，授权，审计
  

核心理念：

• （1）非侵入式Sidecar注入技术，将数据面组件注入应用所在的容器，通过劫持应用流量来进行功能实现，应用无感知
• （2）北向API基于K8s CRD实现，完全声明式，标准化
• （3）数据面与控制面通过xDS gRPC标准化协议通信，支持订阅模式

核心特性：

• （1）服务&流量质量：熔断，故障注入，丰富的负载均衡算法，限流，健康检查，灰度发布，蓝绿部署等
• （2）流量与访问可视化：提供应用级别的监控，分布式调用链，访问日志等
• （3）安全连接：通过MTLS，认证，鉴权等安全措施帮助企业在零信任的网络中运行应用。

Istio应用场景

• 灰度发布：版本升级平滑过渡的一种方式，金丝雀发布，蓝绿发布等
• 流量管理：负载均衡，连接池管理，熔断，故障注入等
• 访问可视化：监控数据采集，运行指标分析，应用拓扑和调用链展示等
• 应用场景：电商应用，政企业务，视频业务等。