一.模块概览

在本模块中,我们将了解在多个集群上安装 Istio 的不同方法。当决定在多集群场景下运行 Istio 时,有多种组合需要考虑。在高层次上,我们需要决定以下几点:

  • 单个集群或多个集群
  • 单个网络或多个网络
  • 单个控制平面或多个控制平面
  • 单个网格或多个网格

上述模式的任何组合都是可能的,然而,并非所有的模式都有意义。在本模块中,我们将重点讨论涉及多个集群的场景。

二.多集群部署

2.1 多集群部署

多集群部署(两个或更多的集群)为我们提供了更大程度的隔离和可用性,但我们付出的代价是增加了复杂性。如果场景要求高可用性(HA),我们将不得不在多个区域和地区部署集群

我们需要做出的下一个决定是,决定我们是否要在一个网络内运行集群,或者是否要使用多个网络

下图显示了一个多集群方案(集群 A、B 和 C),跨两个网络部署。

多集群服务网格图如下:

2.2 网络部署模式

当涉及到多个网络时,集群内部运行的工作负载必须使用 Istio 网关才能到达其他集群的工作负载。使用多个网络可以实现更好的容错和网络地址的扩展

多网络服务网格图如下:

2.3 控制平面部署模型

Istio 服务网格使用控制平面来配置网格内工作负载之间的所有通信。工作负载所连接的控制平面取决于其配置

在最简单的情况下,我们有一个服务网格,在一个集群中只有一个控制平面。这就是我们在本课程中一直使用的配置。

共享控制平面模型涉及多个集群,控制平面只在一个集群中运行。该集群被称为主集群,而部署中的其他集群被称为远程集群。这些集群没有自己的控制平面,相反,它们从主集群共享控制平面

共享的控制平面图如下:

另一种部署模式是,我们把所有的集群都视为由外部控制平面控制的远程集群。这使我们在控制平面和数据平面之间有了完全的分离一个典型的外部控制平面的例子是当一个云供应商在管理它

为了实现高可用性,我们应该在多个集群、区域或地区部署多个控制平面实例,如下图所示。

多个控制平面图如下:

这种模式提供了更好的可用性和配置隔离。如果其中一个控制平面变得不可用,那么停机就只限于这一个控制平面。为了改善这一点,你可以实施故障转移,并配置工作负载实例,在发生故障时连接到另一个控制平面。

为了达到最高的可用性,我们可以在每个集群内部署一个控制平面

2.4 网格部署模型

到目前为止,我们所看的所有图表和场景都是使用单一的网格。在单网格模型中,所有的服务都在一个网格中,不管它们跨越多少集群和网络。

将多个网格联合起来的部署模型被称为多网格部署在这种模式下,服务可以跨网格边界进行通信。该模型为我们提供了一个更清晰的组织边界,更强的隔离性,并允许我们重复使用服务名称和命名空间

当联合两个网格时,每个网格可以暴露一组服务和身份,所有参与的网格都可以识别这些身份。为了实现跨网格的服务通信,我们必须在两个网格之间实现信任。信任可以通过向网格导入信任包和为这些身份配置本地策略来建立

2.5 租户模式

租户是一组共享工作负载的共同访问权和权限的用户。租户之间的隔离是通过网络配置和策略完成的。Istio 支持命名空间和集群租户。请注意,我们在这里谈论的租户是软多租户,而不是硬租户当多个租户共享同一个 Istio 控制平面时,没有保证对诸如噪音邻居问题的保护

在一个网格中,Istio 使用命名空间作为租户的单位。如果使用 Kubernetes,我们可以为每个命名空间的工作负载部署授予权限。默认情况下,来自不同命名空间的服务可以通过完全限定名相互通信。

在安全模块中,我们已经学会了如何使用授权策略来提高隔离度,并限制只对适当的调用者进行访问。

在多集群部署模型中,每个集群中共享相同名称的命名空间被认为是同一个命名空间集群 A 中 default 命名空间的 Customers 服务与集群 B 中 default 命名空间中的 Customers 服务指的是同一个服务。当流量被发送到 Customers 服务时,负载均衡在两个服务的合并端点上进行,如下图所示。

多群集共享命名空间如下图所示:

为了在 Istio 中配置集群租约,我们需要将每个集群配置为一个独立的服务网格。网格可以由不同的团队控制和操作,我们可以将网格连接到一起,形成一个多网格部署。如果我们使用与之前相同的例子,在集群 A 的 default 命名空间中运行的服务 Customers 与集群 B 的 default 命名空间中的服务 Customers 所指的不是同一个服务

租户的另一个重要功能是隔离不同租户的配置。目前,Istio 并没有解决这个问题,不过,它通过在命名空间级别上的范围配置来尝试解决这个问题。

2.6 最佳多集群部署

最佳的多集群部署拓扑结构是每个集群都有自己的控制平面。对于正常的服务网格部署规模,建议你使用多网格部署,并有一个单独的系统在外部协调网格。一般建议总是在集群间使用入口网关,即使它们在同一个网络中直接的 pod 到 pod 的连接需要在多个集群之间填充终端数据,这可能会使事情变得缓慢和复杂。一个更简单的解决方案是让流量通过跨集群的入口来流动

Istio(十):istio多集群部署模式的更多相关文章

  1. k8s集群部署(3)

    一.利用ansible部署kubernetes集群环境准备 基于二进制方式部署和利用ansible-playbook实现自动化:既提供一键安装脚本,也可以分步执行安装各个组件,同时讲解每一步主要参数配 ...

  2. 第3篇K8S集群部署

      一.利用ansible部署kubernetes准备: 集群介绍 本系列文档致力于提供快速部署高可用k8s集群的工具,并且也努力成为k8s实践.使用的参考书:基于二进制方式部署和利用ansible- ...

  3. RocketMQ的高可用集群部署

    RocketMQ的高可用集群部署 标签(空格分隔): 消息队列 部署 1. RocketMQ 集群物理部署结构 Rocket 物理部署结构 Name Server: 单点,供Producer和Cons ...

  4. k8s集群部署(2)

    一.利用ansible部署kubernetes准备阶段 1.集群介绍 基于二进制方式部署k8s集群和利用ansible-playbook实现自动化:二进制方式部署有助于理解系统各组件的交互原理和熟悉组 ...

  5. (十)RabbitMQ消息队列-高可用集群部署实战

    原文:(十)RabbitMQ消息队列-高可用集群部署实战 前几章讲到RabbitMQ单主机模式的搭建和使用,我们在实际生产环境中出于对性能还有可用性的考虑会采用集群的模式来部署RabbitMQ. Ra ...

  6. Dubbo入门到精通学习笔记(二十):MyCat在MySQL主从复制的基础上实现读写分离、MyCat 集群部署(HAProxy + MyCat)、MyCat 高可用负载均衡集群Keepalived

    文章目录 MyCat在MySQL主从复制的基础上实现读写分离 一.环境 二.依赖课程 三.MyCat 介绍 ( MyCat 官网:http://mycat.org.cn/ ) 四.MyCat 的安装 ...

  7. kafka 集群部署 多机多broker模式

    kafka 集群部署 多机多broker模式 环境IP : 172.16.1.35   zookeeper   kafka 172.16.1.36   zookeeper   kafka 172.16 ...

  8. RabbitMQ消息队列(十)-高可用集群部署实战

    前几章讲到RabbitMQ单主机模式的搭建和使用,我们在实际生产环境中出于对性能还有可用性的考虑会采用集群的模式来部署RabbitMQ. RabbitMQ集群基本概念 Rabbit模式大概分为以下三种 ...

  9. 一脸懵逼学习Hadoop分布式集群HA模式部署(七台机器跑集群)

    1)集群规划:主机名        IP      安装的软件                     运行的进程master    192.168.199.130   jdk.hadoop      ...

  10. Scala进阶之路-Spark独立模式(Standalone)集群部署

    Scala进阶之路-Spark独立模式(Standalone)集群部署 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 我们知道Hadoop解决了大数据的存储和计算,存储使用HDFS ...

随机推荐

  1. Linux Ubuntu配置国内源

    配置国内源 因为众所周知的原因,国外的很多网站在国内是访问不了或者访问极慢的,这其中就包括了Ubuntu的官方源. 所以,想要流畅的使用apt安装应用,就需要配置国内源的镜像. 市面上Ubuntu的国 ...

  2. vue3探索——使用ref与$parent实现父子组件间通信

    在vue3中,可以使用vue3的API defineExpose()函数结合ref或者$parent,实现父子组件数据的传递. 子组件向父组件传递数据defineExpose()和ref 子组件:通过 ...

  3. k8s之持久卷NFS

    一.简介 NFS网络存储卷,Kubernetes原生支持NFS作为Kubernetes的持久存储卷之一.NFS可以实现Pod的跨界点的数据持久性. 首先需要创建一个nfs 服务器,作为存储服务器: 将 ...

  4. 实训篇-Html-超链接a标签使用

    <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title> ...

  5. burp suite历程-安装burp suite

    安装时,捯饬了快一上午,不是jdk高了就是装上后不好使了,后来看了下以下文章,安装成功,特此记录以备不时之需: 内容拷贝至链接:https://juejin.cn/post/6844904111867 ...

  6. 《C# in depth》第5章C#5.0中的更改(十三)——異步枚舉器

    一.異步枚舉 异步枚举器(Async Enumerator)是指一种异步迭代器,可以用于处理异步数据源.它允许我们以异步的方式逐个读取数据源中的元素. 在传统的同步枚举器中,当我们遍历一个集合时,程序 ...

  7. 2FA(双因素身份验证)之手机令牌(TOTP)逻辑

    2FA(双因素身份验证)之手机令牌(TOTP)逻辑 纯猜测,没试过,有空试 分为移动端.客户端以及网页端 Steam那种属于APP是网页,客户端是网页,网页端也是网页,挺抽象的 关键点: 时间一致(时 ...

  8. 剑指offer51(Java)-数组中的逆序对(困难)

    题目: 在数组中的两个数字,如果前面一个数字大于后面的数字,则这两个数字组成一个逆序对.输入一个数组,求出这个数组中的逆序对的总数. 示例1: 输入: [7,5,6,4] 输出: 5 限制: 0 &l ...

  9. 云企业网CEN-TR打造企业级私有网络

    简介: 为了满足企业大规模.多样化的组网和网络管理需求,云企业网(CEN)提出了转发路由器TR(Transit Router)的概念.在每个地域内创建一个转发路由器,可以连接大量VPC.VBR,作为您 ...

  10. 如何定位并修复 HttpCore5 中的 HTTP2 流量控制问题

    ​简介:开篇吹一波阿里云性能测试服务 PTS,PTS 在 2021 年 5 月份已经上线了对 HTTP2 协议的支持(底层依赖 httpclient5),在压测时会通过与服务端协商的结果来决定使用 H ...