Alauda Service Mesh
  • Русский

    • Установка узлового агента Istio CNI

    Узловой агент Istio CNI используется для настройки перенаправления трафика для podов в mesh. Он запускается как DaemonSet, на каждом узле, с повышенными привилегиями. Узловой агент Istio CNI можно использовать в двух режимах data plane Istio.

    Для режима sidecar data plane узловой агент Istio CNI является необязательным. Он устраняет необходимость запуска привилегированных init-контейнеров в каждом podе в mesh, заменяя эту модель одним привилегированным podом узлового агента на каждом узле Kubernetes.

    Узловой агент Istio CNI обязателен в режиме ambient data plane.

    В этом документе рассматривается использование узлового агента Istio CNI как необязательной части режима sidecar data plane.

    TIP

    Если вы создаете service mesh в кластере OpenShift, Istio CNI включен по умолчанию, поэтому вам не нужно выполнять шаги, описанные в этом документе.

    Содержание

    Предварительные требованияСреды, в которых необходимо использовать Istio CNIСреды, в которых можно использовать Istio CNIСреды, в которых нельзя использовать Istio CNIУстановка узлового агента Istio CNIУстановка с компонентом ServiceMesh Istio CNIДополнительная конфигурацияПроверкаОбработка внедрения init containerИспользование и проверкаСостояние гонки и меры по его устранениюСм. также

    Предварительные требования

    Среды, в которых необходимо использовать Istio CNI

    • Huawei Cloud CCE
    • Среды с высокими требованиями к безопасности. (Например, среды, в которых запрещено использовать разрешения NET_ADMIN и NET_RAW в рабочих нагрузках)

    Среды, в которых можно использовать Istio CNI

    • Любой кластер Kubernetes, в котором включена поддержка CNI

    Среды, в которых нельзя использовать Istio CNI

    • Кластеры, в которых отключена поддержка Kubernetes CNI (только среды разработки, такие как KIND)

    Установка узлового агента Istio CNI

    Сначала установите service mesh как обычно. После установки пока не добавляйте никаких сервисов (то есть не выполняйте внедрение Sidecar). Затем выполните следующие шаги для установки и настройки Istio CNI.

    Установка с компонентом ServiceMesh Istio CNI

    В большинстве сред базовый кластер Istio с включенным компонентом istioCni можно установить с помощью следующих команд:

    apiVersion: asm.alauda.io/v1alpha1
kind: ServiceMesh
spec:
  componentConfig:
    - name: istioCni
      group: istio
      cni:
        namespace: kube-system
    1. istioCni требуется для установки узлового агента Istio CNI.
    2. Обычно устанавливается в пространстве имен kube-system.

    Дополнительная конфигурация

    apiVersion: asm.alauda.io/v1alpha1
kind: ServiceMesh
spec:
  componentConfig:
    - name: istioCni
      group: istio
      cni:
        namespace: kube-system
        # Advanced configuration
        values:
          logLevel: info
          cniBinDir: ""
          cniConfDir: /etc/cni/net.d
          cniConfFileName: ""
          cniNetnsDir:
          excludeNamespaces:
            - istio-system
            - kube-system
          chained: true
          provider: default
    CAUTION

    При использовании OpenShift или Multus CNI:

    • cni.values.chained должно быть false.
    • cnivalues.provider должно быть multus.
    1. Уровень логирования. (По умолчанию: info)
    2. Каталог двоичных файлов CNI. (По умолчанию: /opt/cni/bin)
    3. Каталог конфигурации CNI. (По умолчанию: /etc/cni/net.d)
    4. Файл конфигурации, в который будет вставлена конфигурация плагина istioCni; по умолчанию это будет первый найденный файл в cniConfiDir.
    5. Этот каталог должен существовать на узле; если его нет, обратитесь к документации вашего container runtime, чтобы определить подходящий путь. (По умолчанию: /var/run/netns, в minikube/docker/others может быть /var/run/docker/netns)
    6. Развертывать конфигурационные файлы как цепочку плагинов (значение true) или как отдельные файлы в каталоге conf (значение false).
    7. Пользовательская конфигурация зависит от CNI provider, возможные значения: default и multus. (По умолчанию: default)

    Проверка

    NOTE

    Убедитесь, что все podы узлового агента CNI находятся в состоянии Running, прежде чем переходить к следующему шагу.

    # Adjust the -nkube-system part if the Istio CNI agent is installed in another namespace:
kubectl -nkube-system get po -lk8s-app=istio-cni-node

    Обработка внедрения init container

    По умолчанию Istio использует webhook для внедрения контейнера istio-init для прозрачного перехвата трафика. Чтобы использовать Istio CNI вместо контейнера istio-init, необходимо настроить ресурс ServiceMesh следующим образом:

    apiVersion: asm.alauda.io/v1alpha1
kind: ServiceMesh
spec:
  istioConfig:
    cni:
      enabled: true
      provider: default
    1. Нужно ли включать Istio CNI вместо контейнера istio-init. (По умолчанию: false)
    2. CNI provider. Должно быть multus, если используется Multus CNI. (По умолчанию: default)

    Использование и проверка

    После установки и настройки используйте обычный процесс внедрения без каких-либо дополнительных изменений.

    После того как компонент Istio CNI установлен и правильно настроен, в podах будут выполнены следующие изменения:

    • Контейнер istio-init больше не будет присутствовать (прозрачный перехват трафика будет выполняться узловым агентом Istio CNI).
    • Вместо него Istio внедрит контейнер с именем istio-validation, который проверяет, успешно ли заданы правила iptables для прозрачного перехвата трафика.

    Состояние гонки и меры по его устранению

    DaemonSet Istio CNI устанавливает сетевой плагин CNI на каждом узле. Однако существует временной разрыв между моментом, когда pod DaemonSet назначается на узел, и моментом, когда плагин CNI установлен и готов к использованию. Существует вероятность, что в течение этого временного промежутка запустится pod приложения, а kubelet не будет знать о плагине Istio CNI. В результате pod приложения поднимется без перенаправления трафика Istio и обойдет sidecar Istio.

    Чтобы устранить гонку между podом приложения и DaemonSet Istio CNI, в рамках внедрения sidecar добавляется init container istio-validation, который определяет, правильно ли настроено перенаправление трафика, и блокирует запуск podа, если это не так. DaemonSet CNI обнаружит и обработает любой pod, застрявший в таком состоянии; способ обработки podа зависит от конфигурации, описанной ниже. Эта мера по устранению проблемы включена по умолчанию и может быть отключена путем установки cni.values.repair.enabled в false.

    apiVersion: asm.alauda.io/v1alpha1
kind: ServiceMesh
spec:
  componentConfig:
    - name: istioCni
      group: istio
      cni:
        values:
          repair:
            enabled: true
            repairPods: true
            deletePods: false
            labelPods: false
    1. Нужно ли включать эту меру по устранению проблемы. (По умолчанию: true)
    2. Если функция включена, podы динамически перенастраиваются с корректной конфигурацией. При перезапуске контейнера pod продолжит обычное выполнение. (По умолчанию: true)
    3. Если функция включена, podы будут удалены, и при повторном планировании у них будет корректная конфигурация. (По умолчанию: false)
    4. Если функция включена, podы только помечаются меткой cni.istio.io/uninitialized=true. Пользователю потребуется выполнить действия вручную для устранения проблемы. (По умолчанию: false)
    NOTE

    Приоритет конфигурации: repairPods > deletePods > labelPods. Поэтому будет использовано первое поле со значением true и более высоким приоритетом.

    Например, чтобы deletePods вступил в силу, недостаточно установить true для deletePods; также необходимо установить false для repairPods.

    См. также

    Устранение неполадок плагина Istio CNI