Istio控制平面组件原理解析 朱经惠 2018.08.25 Service Mesh Meetup #3 深圳站关于我 • 朱经惠，ETC车宝平台工程师。 • 喜欢开源，个人开源项目”Jaeger PHP Client”。 • 喜欢研究源码，对NSQ，Jaeger，Istio（控制平面）等go语言开源项目进行 过研究。 • 除了代码还喜欢爬山和第二天睡醒后全身酸疼的感觉。目录Pil uv1版本和v2版本之间的区别 u建立缓存配置 u触发配置生效方式v1版本和v2版本之间的区别 V1 HTTP1 REST JSON/YAML 弱类型 轮询 SDS/CDS/RDS/LDS 奠定控制平面基础 V2 HTTP2 GRPC Proto3 强类型 Push SDS/CDS/RDS/LDS/HDS/ADS/KDS 和Google强强联手 官方博客：The universal secretName: istio.default证书过期 üroot-cert.pem 实际有效期1年，没有找到更新方式，手动更新？ ücert-chain.pem 和 key.pem 实际有效期90天，程序控制有效期45天 ü证书过期会被重新生成并挂载到/etc/certs ü触发envoy热启动ü方案一： • 把重新生成证书时间改为凌晨http://www.servicemesher.com

1.1. RED HAT OPENSHIFT SERVICE MESH Red Hat OpenShift Service Mesh 是一个提供对服务网格（service mesh）的行为信息和操作控制的平 台，它为用户提供了一个连接、管理和监控微服务应用程序的统一方法。 术语 服务网格（service mesh）代表在分布式微服务架构中组成应用程序的微服务网络，以及这些微服务 间的交互。当服务 提供了一个方便的方法来创建一个部署的服务网络，它可提供发现、负 载平衡、服务对服务验证、故障恢复、指标和监控的功能。服务网格还提供更复杂的操作功能，其中包括 A/B 测试、canary 发行版本、速率限制、访问控制以及端到端验证。 1.2. 获取支持 如果您在执行本文档所述的某个流程时遇到问题，请访问红帽客户门户。您可通过该客户门户： 搜索或浏览红帽知识库，了解有关红帽产品的技术支持文章。 提交问题单给红帽支持。 Kiali 观察控制台只支持 Chrome 、Edge 、Firefox 或 SDomain 浏览器的最新的两个版本。 1.3.2. 支持的 Mixer 适配器 此发行版本只支持以下 Mixer 适配器： 3scale Istio Adapter Red Hat OpenShift Service Mesh 在服务网络间提供了实现关键功能的统一方式： 流量管理 流量管理 - 控制服务间的流量和

Container Platform 4.2 Web 控制台 在OpenShift Container Platform 4.2中使用Web控制台 Last Updated: 2020-08-21 OpenShift Container Platform 4.2 Web 控制台 在OpenShift Container Platform 4.2中使用Web控制台 法律通告 法律通告 Copyright the property of their respective owners. 摘要 摘要 本文档提供了有关使用和定制 OpenShift Container Platform 4.2 Web 控制台的信息。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 访问WEB控制台 控制台 1.1. 了解和访问WEB控制台 第 第 2 章 章 使用 使用 OPENSHIFT CONTAINER PLATFORM DASHBOARD 获 获取集群信息 取集群信息 2.1. 关于 OPENSHIFT CONTAINER PLATFORM 仪表板页 第 第 3 章 章 在 在OPENSHIFT CONTAINER PLATFORM中配置 中配置WEB控制台 控制台

CONTAINER PLATFORM 中的 中的 DNS OPERATOR 6.1. DNS OPERATOR 6.2. 更改 DNS OPERATOR MANAGEMENTSTATE 6.3. 控制 DNS POD 放置 6.4. 查看默认 DNS 6.5. 使用 DNS 转发 6.6. DNS OPERATOR 状态 6.7. DNS OPERATOR 日志 6.8. 设置 COREDNS SYSCTL 17.1. 配置调优 CNI 17.2. 其他资源 第 第 18 章 章 在裸机集群中使用流控制 在裸机集群中使用流控制传输协议 传输协议 (SCTP) 18.1. 支持 OPENSHIFT CONTAINER PLATFORM 上的流控制传输协议 (SCTP) 18.2. 启用流控制传输协议 (SCTP) 83 83 85 85 90 90 92 92 92 92 93 . 18.3. 验证流控制传输协议 (SCTP) 已启用 第 第 19 章 章 使用 使用 PTP 硬件 硬件 19.1. 关于 PTP 硬件 19.2. 关于 PTP 19.3. OPENSHIFT CONTAINER PLATFORM 节点上的 LINUXPTP 概述 19.4. 使用 CLI 安装 PTP OPERATOR 19.5. 使用 WEB 控制台安装 PTP OPERATOR

Container Platform 项目。CLI 适用于以下情况： 直接使用项目源代码。 编写 OpenShift Container Platform 操作脚本。 受带宽资源限制，无法使用 Web 控制台。 CLI 使用 oc 命令可用： 有关安装和设置的信息，请参阅 CLI 入门。 $ oc 第 第 1 章 章 概述 概述 5 第 2 章 CLI 入门 2.1. Git。如需了解工作站操作系统的说明，请参阅官方 Git 文档。 2.3. 安装 CLI 如果集群管理员启用了下载链接，则下载 CLI 的最简单方法是访问 web 控制台中的 About 页面： CLI 的安装选项会因您的操作系统而异。 要使用 CLI 登录，请从 Web 控制台的 Command Line 页面收集您的令牌，该页可通过 Help 菜单的 Command Line Tools 访问。令牌是隐藏的，因此您必须点击 可以从红帽客户门户下载。使用您的红帽帐户登录后，您必须 有一个活跃的 OpenShift Enterprise 订阅才能访问下载页面： 从红帽客户门户网站下载 CLI 另外，如果集群管理员启用了它，您可以在 web 控制台的 About 页面中下载并解压缩 CLI。 教程 教程视频 视频： ： 以下视频将引导您完成此过程： 单击此处观看 然后，使用 ZIP 程序解压存档，并将 oc 二进制文件移到 PATH 的目录中。要查看您的

VIRTUALIZATION 入 入门 门 3.1. 规划和安装 OPENSHIFT VIRTUALIZATION 3.2. 创建和管理虚拟机 3.3. 后续步骤 第 第 4 章 章 WEB 控制台概述 控制台概述 4.1. 概述页面 4.2. 目录页面 4.3. VIRTUALMACHINES 页面 4.4. 模板页 4.5. 数据源页 4.6. MIGRATIONPOLICIES 页面 第 章 章 安装 安装 6.1. 为 OPENSHIFT VIRTUALIZATION 准备集群 6.2. 为 OPENSHIFT VIRTUALIZATION 组件指定节点 6.3. 使用 WEB 控制台安装 OPENSHIFT VIRTUALIZATION 6.4. 使用 CLI 安装 OPENSHIFT VIRTUALIZATION 6.5. 卸载 OPENSHIFT VIRTUALIZATION 拟机 机 10.1. 创建虚拟机 10.2. 编辑虚拟机 10.3. 编辑引导顺序 10.4. 删除虚拟机 10.5. 导出虚拟机 10.6. 管理虚拟机实例 10.7. 控制虚拟机状态 10.8. 访问虚拟机控制台 10.9. 使用 SYSPREP 自动执行 WINDOWS 安装 10.10. 解决故障节点来触发虚拟机故障切换 10.11. 安装 QEMU 客户机代理和 VIRTIO

主机级别的服务，包括端口 9100-9101 上的节点导出器。 TCP/UDP 30000-32767 Kubernetes 节点端口 协议 协议 端口 端口 描述 描述 表 表 1.2. 要通 要通过 过控制平面的所有机器 控制平面的所有机器 协议 协议 端口 端口 描述 描述 TCP 6443 Kubernetes API 表 表 1.3. control plane 机器到 机器到 control plane 模式，必须为 API 路由启用 Server Name Indication（SNI）。 无状态负载平衡算法。这些选项根据负载均衡器的实现而有所不同。 重要 重要 不要为 API 负载均衡器配置会话持久性。 OpenShift Container Platform 4.6 在裸机上安装 在裸机上安装 8 在负载均衡器的前端和后台配置以下端口： 表 表 1.4. API 负载 负载均衡器 果使用 SSL Bridge 模式，您必须为 Ingress 路由启用Server Name Indication（SNI）。 建议根据可用选项以及平台上托管的应用程序类型，使用基于连接的或者基于会话的持久 性。 在负载均衡器的前端和后台配置以下端口： 表 表 1.5. 应 应用程序入口 用程序入口负载 负载均衡器 均衡器 端口 端口 后端机器（池成 后端机器（池成员 员） ） 内部 内部

在 Windows 上安装 OpenShift CLI 4.4.6.3. 在 macOS 上安装 OpenShift CLI 4.4.7. 使用 CLI 登录到集群 4.4.8. 使用 Web 控制台登录到集群 4.4.9. OpenShift Container Platform 的 Telemetry 访问 4.4.10. 后续步骤 4.5. 使用自定义在 AWS 上安装集群 4.5 在 Windows 上安装 OpenShift CLI 4.5.7.3. 在 macOS 上安装 OpenShift CLI 4.5.8. 使用 CLI 登录到集群 4.5.9. 使用 Web 控制台登录到集群 4.5.10. OpenShift Container Platform 的 Telemetry 访问 4.5.11. 后续步骤 4.6. 使用自定义网络在 AWS 上安装集群 Windows 上安装 OpenShift CLI 4.6.12.3. 在 macOS 上安装 OpenShift CLI 4.6.13. 使用 CLI 登录到集群 4.6.14. 使用 Web 控制台登录到集群 4.6.15. OpenShift Container Platform 的 Telemetry 访问 4.6.16. 后续步骤 4.7. 在受限网络中的 AWS 上安装集群 4

并为管理⼯具提供检查点状态的简单⽅法。 此外， Kubernetes control plane 所⽤的API 与开发⼈员和⽤户可⽤的API相同。⽤户可以使⽤ their own API 编写⾃⼰ 的控制器，例如 scheduler ，这些API可由通⽤ command-line tool 定位。 这种 design 使得许多其他系统可以构建在Kubernetes上。 Kubernetes不是什么？ 。实际上，它消除了编制的需要。编制的技术定义，就是执⾏定义的⼯作流： ⾸先执⾏A，然后B，然后执⾏C。相反，Kubernetes由⼀组独⽴、可组合的控制进程组成，这些控制进程可将当前状 态持续地驱动到所需的状态。 如何从A到C不要紧，集中控制也不需要；这种做法更类似于编排 。 这使系统更易⽤、更 强⼤，更具弹性和可扩展性。 译者按：编排和编制：https://wenku.baidu.co Kubernetes的含义是什么？K8S呢？ Kubernetes源⾃希腊语，意思是舵⼿或⻜⾏员 ，是governor（掌舵⼈） 和cybernetic（控制论） 的根源。 K8s是将8 个字⺟“ubernete”替换为“8”的缩写。 译者按：控制论简介（讲解了什么是 governor&cybernetic）：https://wenku.baidu.com/view/1d97762c0066f5335a812157

为 OPENSHIFT VIRTUALIZATION 组件指定节点 4.3. 使用 WEB 控制台安装 OPENSHIFT VIRTUALIZATION 4.4. 使用 CLI 安装 OPENSHIFT VIRTUALIZATION 4.5. 启用 VIRTCTL 客户端 4.6. 使用 WEB 控制台卸载 OPENSHIFT VIRTUALIZATION 4.7. 使用 CLI 卸载 OPENSHIFT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.5. 管理虚拟机实例 8.6. 控制虚拟机状态 8.7. 访问虚拟机控制台 8.8. 使用 SYSPREP 自动执行 WINDOWS 安装 8.9. 解决故障节点来触发虚拟机故障切换 8.10. 在虚拟机上安装 QEMU 客户机代理 8.11. 查看虚拟机的 Platform 集群 中，以启用虚拟化任务。这些任务包括： 创建和管理 Linux 和 Windows 虚拟机 通过各种控制台和 CLI 工具连接至虚拟机 导入和克隆现有虚拟机 管理虚拟机上附加的网络接口控制器和存储磁盘 在节点间实时迁移虚拟机 增强版 web 控制台提供了一个图形化的门户界面 来管理虚拟化资源以及 OpenShift Container Platform 集群容器和基础架构。