目前,云平台已经令使用了它们的公司受益匪浅。
但不可否认的是,上云会给 DevOps 团队带来压力。
为了可移植性,开发人员必须使用微服务来构建应用,同时运维人员也正在管理着极端庞大的混合云和多云的部署环境。
而 Istio 正是为了帮助你来进行连接、保护、控制和观察服务。
从较高的层面来说,Istio 有助于降低这些部署的复杂性,并减轻开发团队的压力。
它是一个完全开源的服务网格,作为透明的一层接入到现有的分布式应用程序里。
它也是一个平台,拥有可以集成任何日志、遥测和策略系统的 API 接口。
Istio 多样化的特性使您能够成功且高效地运行分布式微服务架构,并提供保护、连接和监控微服务的统一方法。
服务网格是什么
Istio 解决了开发人员和运维人员所面临的从单体应用向分布式微服务架构转变的挑战。
了解它是如何做到这一点的可以让我们更详细地理解 Istio 的服务网格。
服务网格用来描述组成这些应用程序的微服务网络以及它们之间的交互。
随着服务网格的规模和复杂性不断的增长,它将会变得越来越难以理解和管理。
它的需求包括服务发现、负载均衡、故障恢复、度量和监控等。
服务网格通常还有更复杂的运维需求,比如 A/B 测试、金丝雀发布、速率限制、访问控制和端到端认证。
Istio 提供了对整个服务网格的行为洞察和操作控制的能力,以及一个完整的满足微服务应用各种需求的解决方案。
为什么要使用 Istio?
通过负载均衡、服务间的身份验证、监控等方法,Istio 可以轻松地创建一个已经部署了服务的网络,而服务的代码只需很少更改甚至无需更改。
通过在整个环境中部署一个特殊的 sidecar 代理为服务添加 Istio 的支持,而代理会拦截微服务之间的所有网络通信,然后Istio使用其控制平面的功能来配置和管理这些代理服务,这包括:
- 为 HTTP、gRPC、WebSocket 和 TCP 流量自动负载均衡。
- 通过丰富的路由规则、重试、故障转移和故障注入对流量行为进行细粒度控制。
- 可插拔的策略层和配置 API,支持访问控制、速率限制和配额。
- 集群内(包括集群的入口和出口)所有流量的自动化度量、日志记录和追踪。
- 在具有强大的基于身份验证和授权的集群中实现安全的服务间通信。
Istio 为可扩展性而设计,可以满足不同的部署需求。
它是通过流量的拦截和规则的配置来实现流量控制的,整体架构图如下所示:
核心特性
Istio 以统一的方式提供了许多多服务网络访问的关键功能:
流量管理
Istio 简单的规则配置和流量路由允许您控制服务之间的流量和 API 调用过程。
Istio 简化了服务级属性(如熔断器、超时和重试)的配置,并且让它轻而易举的实现重要功能(如 A/B 测试、金丝雀发布和按流量百分比划分的分阶段发布)。
有了更好的对流量的可观测性和开箱即用的故障恢复特性,您就可以在问题产生之前捕获它们,无论面对什么情况都可以使调用更可靠,网络更健壮。
安全
Istio 的安全功能使开发人员能够专注于应用程序级别的安全性。
Istio 提供底层安全通信通道,并大规模管理服务通信的身份验证、授权和加密。
使用 Istio,服务通信在默认情况下是安全的,让您可以跨不同的协议和运行时一致地实施策略,而所有这些都几乎不需要更改应用程序。
虽然 Istio 是独立于平台的,但是将它与 Kubernetes(或基础设施)网络策略一起使用,确可以获得更大的收益,
例如能够在网络和应用程序层保护 pod 到 pod 或服务到服务的通信。
可观察性
Istio 强大的追踪、监控和日志特性让您能够深入的了解服务网格部署。
通过 Istio 的监控能力,可以真正的了解到服务的性能是如何影响上游和下游的;而它的定制 Dashboard 提供了对所有服务性能的可视化能力,并让您看到它如何影响其他进程。
Istio 的 Mixer 组件负责策略控制和遥测数据收集。
它提供了后端抽象和中介,将一部分 Istio 与后端的基础设施实现细节隔离开来,并为运维人员提供了对网格与后端基础实施之间交互的细粒度控制。
所有这些特性都使您能够更有效地设置、监控和加强服务的 SLO。当然,至少是也可以帮助您快速有效地检测到并修复出现的问题。
平台支持
Istio 在设计上是独立于具体平台的,例如可以在各种环境中运行,包括跨云、内部环境、Kubernetes、Mesos 等等。
您可以在 Kubernetes 或是装有 Consul 的 Nomad 环境上部署 Istio。
Istio 目前支持:
- Kubernetes 上的服务部署。
- 基于 Consul 的服务注册。
- 服务运行在独立的虚拟机/物理机上。
整合和定制
Istio 的策略实施组件可以扩展和定制,与现有的 ACL、日志、监控、配额、审查等解决方案集成。