介绍

Istio是一个开源的服务网格平台，用于连接、安全管理和监控微服务应用程序。它提供了一套强大的功能，帮助开发人员和运维团队在复杂的微服务架构中简化网络通信和管理任务。

以下是Istio的一些主要特性和功能：

1. 服务连接与发现：Istio通过Envoy代理注入到每个微服务中，自动处理服务之间的网络通信。它提供了灵活的服务发现功能，让服务能够动态地发现和相互通信，无需硬编码服务地址。

2. 流量管理：Istio允许对流量进行细粒度的控制和管理。您可以使用Istio进行流量路由、流量均衡、A/B测试、金丝雀发布等操作，从而实现高度可控的流量管理策略。

3. 负载均衡：Istio通过Envoy代理提供了强大的负载均衡功能，可以智能地将流量分发到不同的后端服务实例上，以实现负载均衡和故障转移。

4. 网络策略与安全性：Istio提供了丰富的网络策略和安全性功能，包括服务间认证、访问控制、流量加密和身份验证等。它可以确保服务之间的安全通信，并提供细粒度的访问控制和授权机制。

5. 监控与跟踪：Istio集成了各种监控和跟踪工具，如Prometheus、Grafana和Jaeger，以提供全面的服务监控和故障排查能力。您可以通过Istio的可视化仪表板和日志来监控和分析微服务的性能和行为。

6. 故障注入与恢复：Istio提供了故障注入的能力，可以模拟各种故障场景，如延迟、错误响应等，以测试和验证应用程序的容错性。同时，它也支持自动故障恢复，能够自动处理服务的故障，并在可能的情况下实现自动重试和故障切换。

7. 配置管理：Istio提供了一种集中式的配置管理机制，使得对服务的配置更加灵活和可控。您可以使用Istio来管理服务的路由规则、重试策略、超时设置等，而无需对服务代码进行修改。

总之，Istio为构建和管理微服务应用程序提供了一套功能丰富的工具和机制，帮助简化了微服务架构中的网络通信。

架构

Istio的整体架构由多个组件组成，每个组件都扮演着特定的角色，并协同工作以提供完整的服务网格功能。下面是Istio的主要组件及其职责：

1. 控制平面（Control Plane）：

   • Pilot：负责流量管理，包括服务发现、负载均衡、流量路由和故障恢复等。
   • Citadel：处理服务间的安全通信，提供服务之间的身份验证和流量加密功能。
   • Galley：负责配置和验证管理，将配置信息传递给Envoy代理。

2. 数据平面（Data Plane）：

   • Envoy代理：每个部署的微服务都与一个Envoy代理一起工作。它是Istio的数据平面的核心，负责实际的网络代理和流量转发。Envoy代理拦截进出微服务的所有网络通信，并执行各种功能，如流量管理、安全策略执行、跟踪和监控等。

3. 配置存储后端（Configuration Store）：

   • 使用外部的配置存储后端（如Kubernetes配置存储），存储Istio的配置信息，包括路由规则、策略、密钥和证书等。

4. 监控与追踪：

   • Prometheus：用于收集和存储微服务的指标和度量信息。
   • Grafana：提供可视化仪表板，用于监控和分析微服务的性能。
   • Jaeger：用于分布式追踪和故障排查，记录和分析微服务之间的调用链路。

工作流程

Istio的工作流程如下：

1. 部署Istio控制平面组件（Pilot、Citadel和Galley）。
2. 在每个微服务中部署Envoy代理，通过注入代理来实现。
3. 控制平面中的Pilot获取服务的注册和发现信息，并生成配置规则。
4. Pilot将配置规则下发给各个Envoy代理。
5. Envoy代理根据规则进行流量管理、负载均衡和安全策略执行。
6. Envoy代理将监控指标和追踪数据发送到相应的组件（如Prometheus和Jaeger）。
7. 管理人员使用Istio的管理界面或命令行工具配置和管理服务网格。

通过这种架构，Istio提供了对微服务之间的流量、安全性、监控和管理的全面控制和可视化。它提供了服务网格所需的核心功能，使得微服务应用程序更容易构建、部署和管理。

1. Citadel：
   Citadel 是 Istio 控制平面的一部分，负责处理服务间的安全通信。它主要职责包括：

• 为每个微服务生成和管理身份证书，用于进行服务间的身份验证。
• 管理和分发身份证书到每个 Envoy 代理，以确保安全通信的建立。
• 提供基于证书的流量加密，确保服务间的通信在传输过程中是安全的。
• 集成了身份和访问管理系统（如Kubernetes RBAC），以实现细粒度的访问控制策略。

2. Galley：
   Galley 是 Istio 控制平面的组件之一，主要用于配置和验证管理。其主要功能包括：

• 接收和验证从配置存储后端（如 Kubernetes 配置存储）中获取的配置信息。
• 将配置信息转换为适用于 Envoy 代理的格式，并将其下发给各个 Envoy 代理。
• 对配置进行验证和策略检查，以确保配置的一致性和正确性。
• 提供 Istio 配置的同步机制，以确保所有 Envoy 代理都具有相同的配置。

在 Istio 的工作流程中，Citadel 负责处理服务间的安全通信，确保身份验证和流量加密。Galley 则负责配置和验证管理，确保配置的正确性和一致性，并将配置信息下发给各个 Envoy 代理。这两个组件与 Pilot 一起协同工作，共同构建和管理完整的 Istio 服务网格。

安装

Istio 是一个开源的服务网格，它提供了微服务间的智能路由、流量管理、策略执行和遥测数据收集等功能。在 Istio 架构中，istio-ingressgateway 和 istiod 是两个不同的组件，它们各自承担着不同的职责：

1. istio-ingressgateway：

   • Ingress Gateway 是 Kubernetes 的一个 API 对象，它允许外部流量进入集群。
   • Istio 的 Ingress Gateway 是一个特殊的 Envoy 代理，它被配置为处理进入服务网格的外部流量。
   • 它通常用于控制进入集群的 HTTP/HTTPS 流量，并可以提供 SSL 终止、请求路由、负载均衡等功能。
   • Ingress Gateway 可以配置多个端口，用于不同的服务或协议。

2. istiod：

   • Istiod 是 Istio 控制平面的一个组件，它合并了 Istio 控制平面的多个组件（如 Pilot、Galley、Citadel）到一个单一的二进制文件中。
   • Istiod 负责管理服务网格的配置，包括服务发现、流量管理规则、安全策略等。
   • 它与数据平面的 Envoy 代理通信，提供必要的配置信息，以便 Envoy 能够正确地处理流量。
   • Istiod 还负责证书管理、策略执行和遥测数据的收集。

在 Istio 1.5 及以后的版本中，Istio 的控制平面被重新设计为一个单一的二进制文件，即 istiod，以简化安装和维护[³][⁵]。而 istio-ingressgateway 作为数据平面的一部分，负责处理进入服务网格的外部请求。

总结来说，istio-ingressgateway 主要负责外部流量的入口，而 istiod 则是控制平面的核心，负责整个服务网格的配置和管理工作。

Istio 中的各组件端口及功能详解

https://zhuanlan.zhihu.com/p/513805794