【译文连载】 理解Istio服务网格(第二章 安装)
全书目录
本文目录
1.命令行工具安装
2. Kubernetes/OpenShift安装
3. Istio安装
4.示例Java微服务安装
4.1 源码概览
4.2 编译和部署customer服务
4.3 编译和部署Preference服务
4.4 编译和部署recommendation服务
本章中,我们会介绍如何在Kubernetes上安装Istio。Istio并没有和Kubernets绑定,实际上,它合适很多种基础架构平台。但是,Kubernetes因为原生支持边车部署(sidecar deployment)概念,因此它是运行Istio的最佳平台之一。你可以使用任何版本的Kubernetes。本章中,我们将使用Minishift,这是一个可以让你的OpenShift安装并运行在本地虚拟机上的工具,而OpenShift则是一个面向开发者的Kubernetes企业发行版。
1. 命令行工具安装
作为一个开发者,你可能已有了各种工具,但为了清晰起见,我们还是给个本书所需的工具列表:
-
Minishift:这是minikube的红帽发行版
-
VirtualBox:提供虚拟机的虚拟化工具
-
Mac/Windows环境上的Docker:Docker客户端
-
Kubectl:本书中我们主要会使用oc命令行,它基本上能替代kubectl,并可互换着使用。
-
Oc:minishift oc-env 命令行会输出oc命令行的路径,因此你不用单独下载了。
-
OpenJDK:你需要能访问javac和java命令行工具
-
Maven:用于编译Java项目
-
Stern:为了方便查看日志
-
Siege:用于第四章中的Istio压力测试
-
Git:通过 git clone 命令下载示例代码
-
istioctl:会通过下文中的部署被安装
-
curl和tar:要在bash中用到
2. OpenShift/Kubernetes安装
在安装环境之前,你应该很清楚你将创建很多服务。你将安装Istio控制平面、一些支持性能指标和可视化的应用程序,以及示例应用程序服务。为此,用于运行Kubernetes的虚拟机(VM)需要有足够的资源。我们建议使用8 GB内存和3个CPU核的虚拟机,但本书中包含的示例在4 GB内存和2个CPU核虚拟机上也能成功运行。
Minishift安装好以后,你可以引导环境了,通过运行以下命令行:
#!/bin/bash
export MINISHIFT_HOME=~/minishift_1.27.0
export PATH=$MINISHIFT_HOME:$PATH
minishift profile set tutorial
minishift config set memory 8GB
minishift config set cpus 3
minishift config set vm-driver virtualbox
minishift config set image-caching true
minishift addon enable admin-user
minishift addon enable anyuid
minishift config set openshift-version v3.11.0
minishift start
然后,你可以进行环境配置了,然后就可以访问Minishift、Docker守护进程以及登录Kubernetes集群了:
eval $(minishift oc-env)
eval $(minishift docker-env)
oc login $(minishift ip):8443 -u admin -p admin
如果一切顺利,你能运行下面的命令:
oc get node
NAME STATUS AGE VERSION
localhost Ready 5m v1.11.0+d4cacc0
这时,你可以运行下面命令以访问web console:
minishift dashboard
如果遇到错误,请查看Istio Tutorial for Java Microservices网站中的步骤,甚至提交一个Github 问题。
3. Istio安装
Istio发行版中包括命令行工具、安装文件和示例应用。运行下面的命令以下载Istio 1.0.4版本并解压缩:
curl -L https://github.com/istio/istio/releases/download/1.0.4/istio-1.0.4/-osx.tar.gz | tar xzcd istio-1.0.4
现在你要开始准备OpenShift/Kubernetes环境了。Istio使用ValidatingAdmissionWebhook来校验Istio配置,使用MutatingAdmissionWebhook去自动向用户pod中插入边车代理。运行下面的命令去更新Minishift的默认配置:
minishift openshift config set --target=kube --patch '{
"admissionConfig": {
"pluginConfig": {
"ValidatingAdmissionWebhook": {
"configuration": {
"apiVersion": "v1",
"kind": "DefaultAdmissionConfig",
"disable": false
} },
"MutatingAdmissionWebhook": {
"configuration": {
"apiVersion": "v1",
"kind": "DefaultAdmissionConfig",
"disable": false
} }
} }
}'
现在开始安装Istio。在Istio发行版的根目录中,运行以下命令:
oc apply -f install/kubernetes/helm/istio/templates/crds.yaml oc apply -f install/kubernetes/istio-demo.yaml oc project istio-system
这会安装所有Istio控制平面组件,包括Pilot、Mixer(实际的Mixer pod的名称为telemetry和policy)和Citadel。还会安装一些附加服务,包括用于统计信息收集的Prometheus,用于分布式跟踪的Jaeger,用于统计信息展示的Grafana,用于服务简单可视化的Servicegraph等。这些服务会在第6章中介绍。
最后,因为我们用的是OpenShift,你可以将这些服务通过Router发布出去,这样你就不用配置复杂的节点端口了。
oc expose svc servicegraph oc expose svc grafana oc expose svc prometheus oc expose svc tracing
现在,所有Istio控制平面组件和相关服务都已经运行起来了。你可以运行下面的命令来查看它们:
oc get pods NAME grafana-59b787b9b 1/1 Running 0 3m istio-citadel-78df8c67d9 1/1 Running 0 3m istio-cleanup-secrets 0/1 Completed 0 3m istio-egressgateway-674686c846 1/1 Running 0 3m istio-galley-58f566cb66 1/1 Running 0 3m istio-grafana-post-install 0/1 Completed 0 3m istio-ingressgateway-6bbdd58f8c 1/1 Running 0 3m istio-pilot-56b487ff45 2/2 Running 0 3m istio-policy-68797d879 2/2 Running 0 3m istio-security-post-install 0/1 Completed 0 3m istio-sidecar-injector-b88dfb954 1/1 Running 0 3m istio-telemetry-68787476f4 2/2 Running 0 3m istio-tracing-7596597bd7 1/1 Running 0 3m prometheus-76db5fddd5 1/1 Running 0 3m servicegraph-fc55fc579 1/1 Running 0 3m
最后要做的是让istioctl在命令行中能运行。istioctl是Istio命令行工具,能用于手工插入istio-proxy边车代理容器,以及创建、更新和删除Istio资源。当解压Istio发行版后,会有一个/bin文件夹,其中就有istioctl二进制文件。你可以把它加入到PATH路径中。
export ISTIO_HOME=~/istio-1.0.4 export PATH=$ISTIO_HOME/bin:$PATH
现在,你能在命令行中运行istioctl命令查看它的版本了。
istioctl version Version: 1.0.4 GitRevision: a44d4c8bcb427db16ca4a439adfbd8d9361b8ed3 User: root@0ead81bba27d Hub: docker.io/istio GolangVersion: go1.10.4 BuildStatus: Clean
现在,我们去安装示例服务。
4.示例Java微服务安装
要展现Istio的能力,你需要使用一些互相交互和通信的微服务。接下来我们要用到的微服务是一个简单的客户服务网站。在这些场景中,这个网站会允许客户为网站的特定方面设置优先项(preference),而这些优先项会从一个推荐引擎中获得。微服务之间的通信流如下所示:
Customer ⇒ Preference ⇒ Recommendation
从现在开始,你要有本书用到的源代码。你可以从the Istio Tutorail for Java Microservies 网站(https://github.com/redhat-developer-demos/istio-tutorial)下载源码,转至book-1.0.4分支,如下所示:
git clone https://github.com/redhat-developer-demos/istio-tutorial.git cd istio-tutorial git checkout book-1.0.4
4.1源码概览
浏览刚才所下载的源码的istio-tutorial子目录,你会看到customer、preference和recommendation这三个目录。每个目录都包含了相关服务的源代码,这些源码会展示Istio的能力。
Customer和perference服务都是用Java Sprint Boot实现的简单直接REST服务。例如,这是customer服务的端点:
@Value("${preferences.api.url:http://preference:8080}")
private String remoteURL;
@RequestMapping("/")
public ResponseEntity<String> getCustomer(
@RequestHeader("User-Agent")
String userAgent,
@RequestHeader(value = "user-preference",
required = false)
String userPreference) {
try {
/* Carry user-agent as baggage */
tracer.activeSpan()
.setBaggageItem("user-agent", userAgent);
if (userPreference != null &&
!userPreference.isEmpty()) {
tracer.activeSpan().setBaggageItem(
"user-preference", userPreference);
}
ResponseEntity<String> responseEntity =
restTemplate.getForEntity(remoteURL, String.class);
String response = responseEntity.getBody();
return ResponseEntity.ok(String.format(
RESPONSE_STRING_FORMAT, response.trim()));
} catch (HttpStatusCodeException ex) {...
} catch (RestClientException ex) {...}
}
异常处理部分我们暂且省略。你可以看到,这个HTTP端点只是简单地调用了由 remoteURL指定的preference服务,并将preference服务的回复加上一个固定字符串RESPONSE_STRING_FORMATI再返回。注意,这里除了Spring RestTemplate之外没用到其它库。我们没有做更多的封装比如断路器、重试、客户端侧的负载均衡等等。我们也没有添加额外的请求跟踪和镜像功能。只有最纯粹的代码!我们就是希望你写出强壮的业务逻辑代码,而不用添加对应用网络的处理代码。
在前面的例子中,我们暂时略过了异常处理部分,但这部分也是非常重要的。大多数编程语言提供了探测和处理异常的机制。当你在代码中调用一个可能会失败的函数时,你需要关注所抛出的异常并进行适当的处理。在customer HTTP端点这个例子中,你试图通过网络调用preference服务。这个调用可能会失败,因此你需要将调用代码封装进异常处理代码块。在异常处理部分,你可以做各种有趣的应对措施,比如从缓存中读取数据或调用另一个函数。有时,开发人员会在获取不到preference服务的返回时返回已缓存好的数据。
也许你已经看到下面这句跟“user-agent”有关的代码了:
tracer.activeSpan().setBaggageItem("user-agent", userAgent);
Istio允许基于HTTP头部信息做路由决策,只有你将HTTP头部信息传入去调用服务。在这个例子中,我们需要确保“user-agent”在preference和recommendation中是可见的。第三章的第29页“基于HTTP头进行路由”部分会详细介绍流量控制。
在我们的customer示例中,我们已经在pox.xml中添加了特定的 opentracing-spring-cloud-starter和jaeger-tracersolver依赖。这些依赖使得你能在Java代码中添加与OpenTracing API之间的交互逻辑。
在本书用到的例子和用户场景中,我们使用了CNCF联盟的Jaeger Tracing项目。可访问其官网去了解它的更多信息,本书第6章也会介绍Istio的可观察性。
大致浏览代码后,我们可以编译应用并在Kubernetes/OpenShift集群中的容器中运行它们了。
注意:本书主要使用oc而不是kubectl命令行工具。就像OpenShift是Kubernetes的超集一样,oc还是kubectl的超集。在几乎所有场景中,两个命令行的用法完全相同,但是,还有两个主要场景中它们有些不同。第一个有关OpenShift的项目(project)概念,它对应Kubernetes中的命名空间(namespace)。第二个跟安全有关,OpenShift中的oc login和minishift默认都是安全的。
开始部署服务之前,确保你创建了所需的项目,并应用了必要的安全权限:
oc new-project tutorial oc adm policy add-scc-to-user privileged -z default -n tutorial
这条oc adm 命令向tutorial命名空间中的default服务账号添加了privileged安全上下文限定(SCC)。
4.2编译和部署customer服务
现在,我们来编译和部署customer服务。先登录进Minishift,再使用下面的命令检查下你的登录状态:
oc status oc whoami
然后确认你的docker工具指向Minishift的Docker守护进程了:
eval $(minishift docker-env) docker images
你将看到本地Docker守护进程的仓库中的一些Istio和OpenShift镜像。转至cutomer目录,编译代码:
cd customer/java/springboot mvn clean package
现在代码编译好了。下一步是将应用打包为Docker镜像,这样你就能在Kubernetes/OpenShift中运行它了:
docker build -t example/customer .
这会将customer服务打包进一个Docker镜像。你可以运行下面的命令来查看所生成的镜像:
docker images | grep example
在cusomter/Kubernetes目录中,有两个Kubernetes资源文件Deployment.yml和Service.yml。现在我们要部署customer微服务,并插入Istio边车代理。这次我们用手工方式插入边车。运行下面的命令来插入边车代理:
istioctl kube-inject -f ../../kubernetes/Deployment.yml
检查该命令的输出,并与之前没修改过的Deployment.yml文件做对比。你会发现输出中被添加了以下内容:
- args:
- proxy
- sidecar
- --configPath
- /etc/istio/proxy
- --binaryPath
- /usr/local/bin/envoy
- --serviceCluster
- customer
- --drainDuration
- 45s
- --parentShutdownDuration
- 1m0s
- --discoveryAddress
- istio-pilot.istio-system:15007
- --discoveryRefreshDelay
- 1s
- --zipkinAddress
- zipkin.istio-system:9411
- --connectTimeout
- 10s
- --proxyAdminPort
- "15000"
- --controlPlaneAuthPolicy
- NONE
...
image: docker.io/istio/proxyv2:1.0.4
imagePullPolicy: IfNotPresent
name: istio-proxy
其中你能看到第二个容器被插入了,其名称为istio-proxy。现在可以创建新的部署和Kubernetes服务了:
oc apply -f <(istioctl kube-inject -f ../../kubernetes/Deployment.yml) -n tutorial oc create -f ../../kubernetes/Service.yml -n tutorial
新的pod被创建出来了:
oc get pods NAME READY STATUS RESTARTS AGE customer-6564ff969f-jqkkr 2/2 Running 0 2m
因为插入了一个istio-proxy边车容器,所以你在READY列看到了“2/2”。你还可以用其它命令去查看更多信息,比如:
oc get deployment customer -o yaml oc describe pod customer-6564ff969f-jqkkr oc logs customer-6564ff969f-jqkkr -c customer
注意oc logs命令中的 –c customer 参数,因为pod中存在两个容器,因此你需要指定待查看日志的容器名称。
因为customer服务要在Kubernetes/OpenShift集群外被访问,因此需要添加route对象,使用下面的命令:
oc expose service customer curl customer-tutorial.$(minishift ip).nip.io
这里我们用的是nip.io服务。在curl命令行的输出中,你将看到以下错误,因为preference和recommendation服务还没有被部署:
customer => I/O error on GET request for "http://preference:8080": preference: Name or service not known现在你可以部署本例中的其它服务了。
4.3编译和部署Preference服务
跟编译和部署customer服务的方法一样,本节中你会编译、打包和部署preference服务:
cd preference/java/springboot mvn clean package docker build -t example/preference:v1 .
然后为preference服务插入Istio边车代理,并创建服务对象:
oc apply -f <(istioctl kube-inject -f ../../kubernetes/Deployment.yml) -n tutorial oc create -f ../../kubernetes/Service.yml
现在,再次使用curl工具去访问customer服务:
curl customer-tutorial.$(minishift ip).nip.io
你依然会看到错误,但这次有些不同:
customer => 503 preference => I/O error on GET request for"http://recommendation:8080": recommendation: Name or...
这个错误是因为preference服务访问不到recommendation服务。因此,下一步中,我们需要编译和部署recommendation服务。
4.4编译和部署recommendation服务
要让这些服务都运行起来的最后一步是部署recommendation服务。为了尝试不同的做法,我们采用recommendation服务的Vert.x代码。跟前述方法一样,采用以下步骤来编译、打包和部署recommendation服务:
cd recommendation/java/vertx mvn clean package docker build -t example/recommendation:v1 . oc apply -f <(istioctl kube-inject -f ../../kubernetes/Deployment.yml) -n tutorial oc create -f ../../kubernetes/Service.yml oc get pods -w
查看输出中READY列为“2/2”。再次用curl访问customer服务,你会看到更好的结果了:
curl customer-tutorial.$(minishift ip).nip.io customer => preference => recommendation v1 from '66b7c9779c': 1
成功了!三个服务之间的调用链如愿正常工作了。如果你运行curl多次,你会看到最后面的数字依次递增。66b7c9779c是recommendation服务的pod的UID。它由Java代码从HOSTNAME环境变量中获取到。从代码角度看,pod其实就是一个计算机,代码运行在其中。
运行下面的命令去查看pod的名称:
oc get pod -l app=recommendation NAME READY STATUS RESTARTS AGE recommendation-v1-66b7c9779c 2/2 Running 0 2m
现在三个服务之间的调用没问题了,接下来,我们将继续讨论Istio的更多核心能力,以及解决服务之间各种问题的强大能力。
书籍英文版下载链接为 https://developers.redhat.com/books/introducing-istio-service-mesh-microservices/,作者 Burr Sutter 和 Christian Posta。
本中文译稿版权由本人所有。水平有限,错误肯定是有的,还请海涵。
感谢您的阅读,欢迎关注我的微信公众号:
