随笔分类 - Istio
摘要:DNS 代理 除了捕获应用流量,Istio 还可以捕获 DNS 请求,以提高网格的性能和可用性。 当 Istio 代理 DNS 时,所有来自应用程序的 DNS 请求将会被重定向到 Sidecar, 因为 Sidecar 存储了域名到 IP 地址的映射。如果请求被 Sidecar 处理, 它将直接给应
阅读全文
摘要:检查 Istio Egress Gateway 是否已布署 kubectl get pod -l istio=egressgateway -n istio-system 查看现存 Istio pod信息 kubectl get pods -n istio-system NAME READY STAT
阅读全文
摘要:Istio网格中的分布式跟踪 分布式跟踪的基础概念 Span是跟踪中的原子单元 为了能够正确地创建及重组跟踪,需要完成三个任务 Incoming request spans:当某个请求进入服务时,需要检查它是否具有跟踪标头;不存在时则需要创建一个root span,否则需要创建一个child spa
阅读全文
摘要:Istio网格访问日志 网格中的访问日志来主要由数据平面的中代理程序Envoy负责生成 Envoy的TCP Proxy和HTTP Connection Manager过滤器可通过特定的extension支持访问日志 ,在功能上,它具有如下特性: 支持任意数量的访问日志 访问日志过滤器支持自定义日志格
阅读全文
摘要:环境说明 namespace:default,test pod: proxy 查看EnvoyFilter ~# kubectl -n istio-system get envoyfilter NAME AGE stats-filter-1.13 6d1h stats-filter-1.14 6d1h
阅读全文
摘要:服务级指标 Istio暴露的服务级指标用于监控服务间通信 这类指标涵盖了服务监控的四个基本需求:延迟、流量、错误和饱和度 Istio默认配置了一组服务指标(通常也可称为标准指标),并将这些指标导出至Prometheus监控系统 舍弃Mixer之后,Istio的这些服务指标则由Envoy代理通过Pro
阅读全文
摘要:代理级指标 Envoy会生成其资源级别(例如Listener、Cluster等)的指标 获取Envoy统计信息的常用方式有两程 Admin Interface的/stats或/stats/prometheus 用于接收统计信息的StatsD集群 Envoy常用的统计指标的说明 HTTP连接器相关 h
阅读全文
摘要:可观测性应用 日志、指标和跟踪是应用程序可观测性的三大支柱,前二者更多的是属于传统的“以主机为中心”的模型,而跟踪则“以流程为中心” 日志:日志是随时间发生的离散事件的不可变时间戳记录,对单体应用很有效,但分布式系统的故障通常会由多个不同组件之间的互连事件触发 ElasticStack、Splunk
阅读全文
摘要:Egress Gateway逻辑示意图 Egress Gateway 配置要点 各Sidecar Envoy上访问特定外部主机的流量,要路由至Egress Gateway Egress Gateway要将相应的流量路由至相应的外部目标 服务说明 在网格外部运行有nginx服务,有两个实例 Nginx
阅读全文
摘要:服务说明 在网格外部运行有nginx服务,有两个实例 Nginx2001:监听地址为 172.29.1.201:8091,Nginx版本为1.20 Nginx2002:监听地址为 172.29.1.202:8091,Nginx版本为1.20 Nginx2101:监听地址为 172.29.1.203:
阅读全文
摘要:WorkloadEntry 为什么需要WorkloadEntry CR? ·自v1.6开始,Istio在其流量管理功能组中引入了WorkloadEntry这一新的资源类型 WorkloadEntry CR用于抽象非Kubernetes托管的工作负载,例如虚拟机(VM)实例和裸服务器等,从而将虚拟机加
阅读全文
摘要:服务说明 在网格外部运行有nginx服务,有两个实例 Nginx2001:监听地址为 172.29.1.201:8091,Nginx版本为1.20 Nginx2002:监听地址为 172.29.1.202:8091,Nginx版本为1.20 Nginx2101:监听地址为 172.29.1.203:
阅读全文
摘要:访问网格外部目标 Sidecar Egress Listener如何处理访问外部目标的流量? 在默认“ALLOW_ANY”外部流量策略下,Sidecar Envoy支持将这些流量直接Passthrough到外部的端点之上 但这些外部目标流量无法纳入到治理体系中,实施如retry、timeout和fa
阅读全文
摘要:创建client ~# kubectl run client --image=ikubernetes/admin-box -it --rm --restart=Never --command -- /bin/sh If you don't see a command prompt, try pres
阅读全文
摘要:Sidecar CR 默认情况下,Istio会配置每一个Sidecar Envoy能够与同一网格内所有的workload实例通信,并且能够在与其代理的workload相关的所有端口上接收流量 ; 从实际通信需求来说,网格内的每个workload未必需要同当前网格内的所有其它workload通信,于是
阅读全文
摘要:Sidecar代理方式简介 Kubernetes平台上,Envoy Sidecar容器与application容器于同一个Pod中共存,它们共享NETWORK、UTS和IPC等名称空间,因此也共用同一个网络协议栈; Envoy Sidecar基于init容器(需要使用NET_ADMIN和NET_RA
阅读全文
摘要:Istio支持代理的协议 支持代理任何类型的TCP流量,包括HTTP、HTTPS、gRPC及原始TCP(raw tcp)协议 但为了提供额外的能力,比如路由和更加丰富的指标,Istio需要确定更具体的协议(应用层协议) Istio不会代理UDP协议 协议选择 Istio能够自动检测并识别HTTP和H
阅读全文
摘要:数据平面端口 控制平台端口 参考文档 https://istio.io/latest/docs/ops/deployment/requirements/#ports-used-by-istio
阅读全文
摘要:Service association(服务关联) Pod必须从属于某个Service,哪怕Pod不需要暴露任何端口 同时从属于多个Service时,这些Service不能为该类Pod的同一个端口标识使用不同的协议 Application UIDs UID 1337预留给了Sidecar Proxy
阅读全文
摘要:EnvoyFilter CR EnvoyFilter EnvoyFilter CR提供了自定义Sidecar Envoy配置的接口,其支持的配置功能包括修改指定字段的值、添加特定的过滤器甚至是新增Listener和Cluster等 常在Istio原生的各CR未能提供足够的配置机制,或者无法支持到的配
阅读全文
浙公网安备 33010602011771号