如何使用Rancher 2.0在Kubernetes集群上部署Istio

目录

1. 引言
2. Rancher 2.0简介
3. Kubernetes集群简介
4. Istio简介
5. 准备工作
   • 安装Rancher 2.0
   • 创建Kubernetes集群
6. 部署Istio
   • 下载Istio
   • 安装Istio
   • 验证Istio安装
7. 配置Istio
   • 配置流量管理
   • 配置安全
   • 配置监控
8. 使用Istio
   • 部署示例应用
   • 流量管理
   • 安全配置
   • 监控和日志
9. 常见问题及解决方案
10. 总结

引言

在现代微服务架构中，服务网格（Service Mesh）已经成为管理和监控微服务通信的重要工具。Istio作为最流行的服务网格之一，提供了强大的流量管理、安全、监控和日志功能。本文将详细介绍如何使用Rancher 2.0在Kubernetes集群上部署和配置Istio。

Rancher 2.0简介

Rancher 2.0是一个开源的容器管理平台，支持多种容器编排引擎，包括Kubernetes、Docker Swarm和Mesos。Rancher 2.0提供了一个直观的用户界面，简化了Kubernetes集群的创建、管理和监控。

Kubernetes集群简介

Kubernetes是一个开源的容器编排平台，用于自动化部署、扩展和管理容器化应用。Kubernetes提供了强大的功能，如自动扩展、负载均衡、服务发现和存储管理。

Istio简介

Istio是一个开源的服务网格，提供了流量管理、安全、监控和日志功能。Istio通过注入Sidecar代理（Envoy）到每个微服务中，实现了对服务间通信的细粒度控制。

准备工作

安装Rancher 2.0

1. 安装Docker：确保在所有节点上安装了Docker。

   sudo apt-get update
   sudo apt-get install docker.io
   

2. 安装Rancher Server：

   sudo docker run -d --restart=unless-stopped -p 80:80 -p 443:443 rancher/rancher:latest
   

3. 访问Rancher UI：打开浏览器，访问https://<your-rancher-server-ip>，按照提示完成初始设置。

创建Kubernetes集群

1. 登录Rancher UI：使用管理员账户登录Rancher UI。

2. 添加集群：点击“添加集群”，选择“自定义”选项，填写集群名称和描述。

3. 配置节点：按照提示在节点上运行Rancher提供的命令，将节点加入集群。

4. 等待集群就绪：Rancher会自动配置Kubernetes集群，等待集群状态变为“Active”。

部署Istio

下载Istio

1. 下载Istio：

   curl -L https://istio.io/downloadIstio | sh -
   

2. 设置环境变量：

   export PATH=$PWD/istio-1.11.0/bin:$PATH
   

安装Istio

1. 安装Istio：

   istioctl install --set profile=demo
   

2. 验证安装：

   kubectl get pods -n istio-system
   

验证Istio安装

1. 检查Istio组件：确保所有Istio组件（如Pilot、Citadel、Galley等）都处于“Running”状态。

2. 检查Sidecar注入：部署一个示例应用，检查是否自动注入了Sidecar代理。

配置Istio

配置流量管理

1. 创建Gateway： “`yaml apiVersion: networking.istio.io/v1alpha3 kind: Gateway metadata: name: my-gateway spec: selector: istio: ingressgateway servers:

   • port: number: 80 name: http protocol: HTTP hosts:

        - "*"
     

   ”`

2. 创建VirtualService： “`yaml apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: my-virtual-service spec: hosts:

   • ”*” gateways:
   • my-gateway http:
   • match:

        - uri:
     

     prefix: /hello route: - destination: host: my-service port: number: 8080

   ”`

配置安全

1. 启用mTLS：

   apiVersion: security.istio.io/v1beta1
   kind: PeerAuthentication
   metadata:
    name: default
   spec:
    mtls:
      mode: STRICT
   

2. 创建AuthorizationPolicy： “`yaml apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: my-auth-policy spec: selector: matchLabels: app: my-app rules:

   • from:

        - source:
     

     principals: [“cluster.local/ns/default/sa/my-service-account”] to: - operation: methods: [“GET”]

   ”`

配置监控

1. 启用Prometheus：

   kubectl apply -f https://raw.githubusercontent.com/istio/istio/release-1.11/samples/addons/prometheus.yaml
   

2. 启用Grafana：

   kubectl apply -f https://raw.githubusercontent.com/istio/istio/release-1.11/samples/addons/grafana.yaml
   

使用Istio

部署示例应用

1. 部署Bookinfo应用：

   kubectl apply -f https://raw.githubusercontent.com/istio/istio/release-1.11/samples/bookinfo/platform/kube/bookinfo.yaml
   

2. 检查应用状态：

   kubectl get pods
   

流量管理

1. 配置流量分流： “`yaml apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: reviews spec: hosts:
   • reviews http:
   • route:

        - destination:
     

     host: reviews subset: v1 weight: 50 - destination: host: reviews subset: v2 weight: 50
   ”`

安全配置

1. 启用JWT认证： “`yaml apiVersion: security.istio.io/v1beta1 kind: RequestAuthentication metadata: name: jwt-auth spec: selector: matchLabels: app: my-app jwtRules:
   • issuer: “https://accounts.google.com” jwksUri: “https://www.googleapis.com/oauth2/v3/certs”
   ”`

监控和日志

1. 查看Prometheus指标：访问Prometheus UI，查看Istio的监控指标。

2. 查看Grafana仪表盘：访问Grafana UI，查看Istio的预定义仪表盘。

常见问题及解决方案

1. Sidecar注入失败：检查命名空间是否启用了自动注入，或手动注入Sidecar。

2. 流量管理不生效：检查VirtualService和DestinationRule配置是否正确。

3. 安全配置不生效：检查PeerAuthentication和AuthorizationPolicy配置是否正确。

总结

通过本文，您已经学会了如何使用Rancher 2.0在Kubernetes集群上部署和配置Istio。Istio提供了强大的流量管理、安全、监控和日志功能，帮助您更好地管理和监控微服务架构。希望本文对您有所帮助，祝您在微服务架构的旅程中取得成功！