Istio 之ServiceEntry

时间 2020-11-30

标签 css html api 架构 app ide 测试网站 this 栏目 CSS 繁體版

原文原文链接

使用服务条目资源（ServiceEntry）能够将条目添加到 Istio 内部维护的服务注册表中。添加服务条目后，Envoy 代理能够将流量发送到该服务，就好像该服务条目是网格中的服务同样。经过配置服务条目，能够管理在网格外部运行的服务的流量。css

此外，能够配置虚拟服务和目标规则，以更精细的方式控制到服务条目的流量，就像为网格中的其余任何服务配置流量同样。html

serviceentry样例

client.yaml # istio 要注入的客户端资源文件

baidu-se.yaml # baidu ServiceEntry

baidu-dr.yaml # baidu DestinationRule

baidu-vs.yaml # baidu VirtualService

Sidercar 注入api

手动注入
# istioctl kube-inject -f xxx.yaml|kubectl apply -f -

自动注入
# kubectl label namespace default istio-injection=enabled

服务条目资源

client.yaml架构

apiVersion: apps/v1
kind: Deployment
metadata:
  name: client
spec:
  replicas: 1
  selector:
    matchLabels:
      app: client
  template:
    metadata:
      labels:
        app: client
    spec:
      containers:
      - name: busybox
        image: busybox
        imagePullPolicy: IfNotPresent
        command: ["/bin/sh","-c","sleep 3600"]

# kubectl get po
NAME                     READY   STATUS    RESTARTS   AGE
client-86bc9bd5f-mj2pq   2/2     Running   0          11m

Istio 注入后，client 就处于 Istio 服务网格之中。

baidu-se.yamlapp

apiVersion: networking.istio.io/v1beta1
kind: ServiceEntry
metadata:
  name: baidu-se
spec:
  hosts:
    - www.baidu.com
  location: MESH_EXTERNAL   # 定义网格外部仍是内部,表示服务在网格外部。一般用于指示经过API使用的外部服务。
  # location: MESH_INTERNAL # 表示服务是网格的一部分。一般用于指示在扩展服务网格以包括不受管理的基础架构时显式添加的服务
  ports:
    - name: http
      number: 80
      protocol: HTTP
  resolution: DNS


该服务条目资源定义了一个外部网站 baidu，并将它归入到 Istio 内部维护的服务注册表中。

# kubectl get se 
NAME       HOSTS             LOCATION        RESOLUTION   AGE
baidu-se   [www.baidu.com]   MESH_EXTERNAL   DNS          53m

hosts：DNS名称。能够具备通配符前缀。

ports：关联的端口。

ports.protocol：如下之一：HTTP，HTTPS，HTTP2，GRPC，MONGO，TCP或TLS。

exportTo：默认状况下使用“*”，这意味着该ServiceEntry公开给每一个命名空间。 “.”仅将其限制为当前命名空间。目前，exportTo值仅限于这两个。

resolution：主机的服务发现模式

location：从网格的角度来看，应将此服务视为内部或外部服务。

验证服务条目案例

# kubectl exec -it $(kubectl get pods | grep -i client | awk '{print $1}') -- sh
 # wget -q -O - http://www.baidu.com
<!DOCTYPE html>
<!--STATUS OK--><html> <head><meta http-equiv=content-type content=text/html;charset=utf-8><meta http-equiv=X-UA-Compatible content=IE=Edge><meta content=always name=referrer><link rel=stylesheet type=text/css href=http://s1.bdstatic.com/r/www/cache/bdorz/baidu.min.css><title>百度一下，你就知道</title></head> <body link=#0000cc> <div id=wrapper> <div id=head> <div class=head_wrapper> <div class=s_form> <div class=s_form_wrapper> <div id=lg> <img hidefocus=truew.baidu.com/img/bd_logo1.png width=270 height=129> </div> <form id=form name=f action=//www.baidu.com/s class=fm> <input type=hidden name=bdorz_come value=1> <input type=hidden name=ie value=utf-8> <input type=hidden name=f value=8> <input type=hidden name=rsv_bp value=1> <input type=hidden name=rsv_idx value=1> <input type=hidden name=tn value=baidu><span class="bg s_ipt_wr"><input id=kw name=wd class=s_ipt value maxlength=255 autocomplete=off autofocus></span><span class="bg s_btn_wr"><input type=submit id=su value=百度一下 class="bg s_btn"></span> </form> </div> </div> <div id=u1> <a href=http://news.baidu.com name=tj_trnews class=mnav>新闻</a> <a href=http://www.hao123.com name=tj_tr class=mnav>hao123</a> <a href=http://map.baidu.com name=tj_trmap class=mnav>地图</a> <a href=http://v.baidu.com name=tj_trvideo class=mnav>视频</a> <a href=http://tieba.baidu.com name=tj_trtieba class=mnav>贴吧</a> <noscript> <a hrp://www.baidu.com/bdorz/login.gif?login&amp;tpl=mn&amp;u=http%3A%2F%2Fwww.baidu.com%2f%3fbdorz_come%3d1 name=tj_login class=lb>登陆</a> </noscript> <script>document.write('<a href="http://www.baidu.com/bdorz/login.gif?login&tpl=mn&u+ encodeURIComponent(window.location.href+ (window.location.search === "" ? "?" : "&")+ "bdorz_come=1")+ '" name="tj_login" class="lb">登陆</a>');</script> <a href=//www.baidu.com/more/ name=tj_briicon class=bri style="display: bloc">更多产品</a> </div> </div> </div> <div id=ftCon> <div id=ftConw> <p id=lh> <a href=http://home.baidu.com>关于百度</a> <a href=http://ir.baidu.com>About Baidu</a> </p> <p id=cp>&copy;2017&nbsp;Baidu&nbsp;<a href=http://www.baidu.com/duty/>使用百度前必读</a>&nbsp; <a href=http://jianyi.baidu.com/ class=cp-feedback>意见反馈</a>&nbsp;京ICP证030173号&nbsp; <img src=//www.baidu.com/img/gs.gif> </p> </div> </div> </div> </body> </html>

对刚才编写的 ServiceEntry 资源作一些改动ide

baidu-se-gai.yaml测试

...
  #resolution: DNS
  resolution: STATIC # 静态
  endpoints:
    - address: 10.10.10.10  # 自定义一个内网的ip

验证网站

# kubectl exec -it $(kubectl get pods | grep -i client | awk '{print $1}') -- sh
Defaulting container name to busybox.
Use 'kubectl describe pod/client-86bc9bd5f-mj2pq -n default' to see all of the containers in this pod.
/ # wget -q -O - http://www.baidu.com
wget: server returned error: HTTP/1.1 503 Service Unavailable

出现此问题的缘由是，serviceentry 一直都在发挥做用，前面没报错的缘由是默认指定的域名解析是基于DNS的。而调整后，设置了静态域名解析的方式，并随意给了一个内网IP来标识baidu。kubectl apply serviceentry后此配置马上就被应用在网格内（client）的 envoy，那么在网格内访问baidu的时候，流量就被路由到了所指定的 10.10.10.10去了。

精细的流控

使用 service entry 使用场景有哪些？这里假设一个场景，好比工做过程当中须要调用外部合做方服务，该服务跟你的集群毫无关系，甚至对方服务能够布置在美国。可是经过服务条目，你能够将对方服务归入到本身的 Istio 网格以内，就像它自己存在你的集群以内同样，就好像你作了内网拦截同样。并且服务条目能够结合虚拟服务（virtual service）、目的地规则（destination rule）作更加精细的流量控制，不只如此，还能够作失败注入、重试等功能。ui

baidu-se.yamlthis

apiVersion: networking.istio.io/v1beta1
kind: ServiceEntry
metadata:
  name: baidu-se
spec:
  hosts:
    - www.baidu.com
  location: MESH_EXTERNAL
  ports:
  - name: http
    number: 80
    protocol: HTTP
  resolution: DNS

#  kubectl get se
NAME       HOSTS             LOCATION        RESOLUTION   AGE
baidu-se   [www.baidu.com]   MESH_EXTERNAL   DNS          67m
# kubectl exec -it $(kubectl get pods | grep -i client | awk '{print $1}') -- sh
Defaulting container name to busybox.
Use 'kubectl describe pod/client-86bc9bd5f-mj2pq -n default' to see all of the containers in this pod.
/ # wget -q -O - http://www.baidu.com
<!DOCTYPE html>
<!--STATUS OK--><html> <head><meta http-equiv=content-type content=text/html;charset=utf-8><meta http-equiv=X-UA-Compatible content=IE=Edge><meta content=always name=referrer><link rel=stylesheet type=text/css href=http://s1.bdstatic.com/r/www/cache/bdorz/baidu.min.css><title>百度一下，你就知道</title></head> <body link=#0000cc> <div id=wrapper> <div id=head> <div class=head_wrapper> <div class=s_form> <div class=s_form_wrapper> <div id=lg> <img hidefocus=truew.baidu.com/img/bd_logo1.png width=270 height=129> </div> <form id=form name=f action=//www.baidu.com/s class=fm> <input type=hidden name=bdorz_come value=1> <input type=hidden name=ie value=utf-8> <input type=hidden name=f value=8> <input type=hidden name=rsv_bp value=1> <input type=hidden name=rsv_idx value=1> <input type=hidden name=tn value=baidu><span class="bg s_ipt_wr"><input id=kw name=wd class=s_ipt value maxlength=255 autocomplete=off autofocus></span><span class="bg s_btn_wr"><input type=submit id=su value=百度一下 class="bg s_btn"></span> </form> </div> </div> <div id=u1> <a href=http://news.baidu.com name=tj_trnews class=mnav>新闻</a> <a href=http://www.hao123.com name=tj_tr class=mnav>hao123</a> <a href=http://map.baidu.com name=tj_trmap class=mnav>地图</a> <a href=http://v.baidu.com name=tj_trvideo class=mnav>视频</a> <a href=http://tieba.baidu.com name=tj_trtieba class=mnav>贴吧</a> <noscript> <a hrp://www.baidu.com/bdorz/login.gif?login&amp;tpl=mn&amp;u=http%3A%2F%2Fwww.baidu.com%2f%3fbdorz_come%3d1 name=tj_login class=lb>登陆</a> </noscript> <script>document.write('<a href="http://www.baidu.com/bdorz/login.gif?login&tpl=mn&u+ encodeURIComponent(window.location.href+ (window.location.search === "" ? "?" : "&")+ "bdorz_come=1")+ '" name="tj_login" class="lb">登陆</a>');</script> <a href=//www.baidu.com/more/ name=tj_briicon class=bri style="display: bloc">更多产品</a> </div> </div> </div> <div id=ftCon> <div id=ftConw> <p id=lh> <a href=http://home.baidu.com>关于百度</a> <a href=http://ir.baidu.com>About Baidu</a> </p> <p id=cp>&copy;2017&nbsp;Baidu&nbsp;<a href=http://www.baidu.com/duty/>使用百度前必读</a>&nbsp; <a href=http://jianyi.baidu.com/ class=cp-feedback>意见反馈</a>&nbsp;京ICP证030173号&nbsp; <img src=//www.baidu.com/img/gs.gif> </p> </div> </div> </div> </body> </html>

baidu-dr.yaml

apiVersion: networking.istio.io/v1beta1
kind: DestinationRule
metadata:
  name: baidu-dr
spec:
  host: www.baidu.com
  trafficPolicy: # 流量策略,包括：负载平衡策略、链接池大小、异常检测
    loadBalancer: # 默认LB策略
      simple: ROUND_ROBIN                    # ROUND_ROBIN-循环,LEAST_CONN-最小链接,RANDOM-随机,PASSTHROUGH-只连

# kubectl get dr
NAME       HOST            AGE
baidu-dr   www.baidu.com   54m

baidu-vs.yaml

apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:
  name: baidu-vs
spec:
  hosts:
    - www.baidu.com
  http:
  - route:
    - destination:
        host: www.baidu.com
        port:
          number: 80
        #subset: tls-origination
    timeout: 1ms

# kubectl get vs
NAME       GATEWAYS   HOSTS             AGE
baidu-vs              [www.baidu.com]   54m

再次测试

# kubectl exec -it $(kubectl get pods | grep -i client | awk '{print $1}') -- sh
Defaulting container name to busybox.
Use 'kubectl describe pod/client-86bc9bd5f-mj2pq -n default' to see all of the containers in this pod.
/ # wget -q -O - http://www.baidu.com
wget: server returned error: HTTP/1.1 408 Request Timeout

👌！通过简单的测试能够对网格外部服务进行精细的流控