服务网格istio概念应知应会

一、背景

最近架构组基于istio开发了服务网格（Service Mesh）平台，借此机会把相关的背景知识做一次学习和记录，方便回头查看。

初版的效果：

二、istio

官方手册：https://istio.io/latest/zh/docs/concepts/what-is-istio/

1、Service Mesh简介

istio作为实现Service Mesh的一个开源项目，首先要对Service Mesh有了解。

在过去的几年中，微服务架构已成为软件设计中流行的样式。在这种架构中，我们将应用程序分解为可独立部署的服务。这些服务通常是轻量级的，多语言的，并且通常由各种职能团队进行开发部署。当某些服务数量增加，难以管理且越来越复杂时，微服务架构将一直有效。但这也在管理安全性，网络流量控制和可观察性等各个方面带来了挑战。

Service Mesh可以很好地帮助应对这些挑战。

• Service Mesh 用于描述组成应用程序的微服务及其之间的交互。随着服务数量的增加和复杂性的增加，扩展和管理变得越来越困难。Service Mesh可以为微服务架构提供服务发现，负载均衡，故障恢复，指标和监视。
• Service Mesh 通常还能够满足更复杂的需求，例如A/B测试，金丝雀发布，速率限制，访问控制和端到端身份验证。
• Service Mesh 提供了一种轻松创建服务网络的方式，该网络具有负载均衡，服务到服务的身份验证，监视等功能，而微服务代码更改很少或没有更改。

2、为什么使用 Istio？

Istio 提供了对整个服务网格的行为洞察和操作控制的能力，以及一个完整的满足微服务应用各种需求的解决方案。

Istio 提供一种简单的方式来为已部署的服务建立网络，该网络具有负载均衡、服务间认证、监控等功能，而不需要对服务的代码做任何改动。想要让服务支持 Istio，只需要在您的环境中部署一个特殊的 sidecar 代理，使用 Istio 控制平面功能配置和管理代理，拦截微服务之间的所有网络通信：

• HTTP、gRPC、WebSocket 和 TCP 流量的自动负载均衡。
• 通过丰富的路由规则、重试、故障转移和故障注入，可以对流量行为进行细粒度控制。
• 可插入的策略层和配置 API，支持访问控制、速率限制和配额。
• 对出入集群入口和出口中所有流量的自动度量指标、日志记录和跟踪。
• 通过强大的基于身份的验证和授权，在集群中实现安全的服务间通信。
• Istio 旨在实现可扩展性，满足各种部署需求。

核心功能
Istio 在服务网络中统一提供了许多关键功能：

流量管理

通过简单的规则配置和流量路由，您可以控制服务之间的流量和 API 调用。Istio 简化了断路器、超时和重试等服务级别属性的配置，并且可以轻松设置 A/B测试、金丝雀部署和基于百分比的流量分割的分阶段部署等重要任务。

通过更好地了解您的流量和开箱即用的故障恢复功能，您可以在问题出现之前先发现问题，使调用更可靠，并且使您的网络更加强大——无论您面临什么条件。

安全

Istio 的安全功能使开发人员可以专注于应用程序级别的安全性。Istio 提供底层安全通信信道，并大规模管理服务通信的认证、授权和加密。使用Istio，服务通信在默认情况下是安全的，它允许您跨多种协议和运行时一致地实施策略——所有这些都很少或根本不需要应用程序更改。

虽然 Istio 与平台无关，但将其与 Kubernetes（或基础架构）网络策略结合使用，其优势会更大，包括在网络和应用层保护 pod 间或服务间通信的能力。

可观察性

Istio 强大的跟踪、监控和日志记录可让您深入了解服务网格部署。通过 Istio 的监控功能，可以真正了解服务性能如何影响上游和下游的功能，而其自定义仪表板可以提供对所有服务性能的可视性，并让您了解该性能如何影响您的其他进程。

Istio 的 Mixer 组件负责策略控制和遥测收集。它提供后端抽象和中介，将 Istio 的其余部分与各个基础架构后端的实现细节隔离开来，并为运维提供对网格和基础架构后端之间所有交互的细粒度控制。

所有这些功能可以让您可以更有效地设置、监控和实施服务上的 SLO。当然，最重要的是，您可以快速有效地检测和修复问题。

平台支持

Istio 是独立于平台的，旨在运行在各种环境中，包括跨云、内部部署、Kubernetes、Mesos 等。您可以在 Kubernetes 上部署 Istio 或具有 Consul 的 Nomad 上部署。Istio 目前支持：

在 Kubernetes 上部署的服务
使用 Consul 注册的服务
在虚拟机上部署的服务

集成和定制

策略执行组件可以扩展和定制，以便与现有的 ACL、日志、监控、配额、审计等方案集成。

好文推荐：

https://www.cnblogs.com/xishuai/p/microservices-and-service-mesh.html（微服务（Microservices）和服务网格（Service Mesh）架构概念整理）

https://www.kubernetes.org.cn/5556.html（详解Istio实践之熔断和限流工作原理）

https://blog.csdn.net/luanpeng825485697/article/details/84560659（istio简介和基础组件原理（服务网格Service Mesh））

https://blog.csdn.net/chenhaifeng2016/article/details/78609208（深度剖析Service Mesh服务网格新生代Istio）

https://zhuanlan.zhihu.com/p/101723832（微服务之服务治理：Envoy 全局 gRPC 限速服务 lyft/ratelimit 详解）

https://www.jianshu.com/p/bed143a1c886（istio 简介）

https://servicemesh.es/