Migrationsleitfaden für OSM-Konfigurationen (Open Service Mesh) in Istio
Wichtig
Dieser Artikel soll ein einfaches Verständnis dafür vermitteln, wie OSM-Konfigurationen identifiziert und in äquivalente Istio-Konfigurationen für die Migration von Workloads von OSM zu Istio übersetzt werden können. Hierbei handelt es sich keineswegs um eine ausführliche Anleitung.
Dieser Artikel enthält praktische Anleitungen für die Zuordnung von OSM-Richtlinien zu den Istio-Richtlinien, um Ihre von OSM verwalteten Bereitstellungen von Microservices so zu migrieren, um von Istio verwaltet zu werden. Die OSM Bookstore-Beispielanwendung wird als Basisreferenz für aktuelle OSM-Benutzer verwendet. Die folgende exemplarische Vorgehensweise stellt die Bookstore-Anwendung bereit. Es werden dieselben Schritte ausgeführt, und es wird erläutert, wie die OSM SMI-Datenverkehrsrichtlinien mithilfe des Istio-Äquivalents angewendet werden.
Wenn Sie OSM nicht verwenden und noch nicht mit Istio vertraut sind, beginnen Sie mit dem Istio-Leitfaden für erste Schritte, um zu erfahren, wie Sie das Istio-Dienstgitter für Ihre Anwendungen verwenden können. Wenn Sie derzeit OSM verwenden, stellen Sie sicher, dass Sie mit der exemplarischen Vorgehensweise zur OSM Bookstore-Beispielanwendung zum Konfigurieren von OMS-Datenverkehrsrichtlinien vertraut sind. Die folgende exemplarische Vorgehensweise ist kein Duplikat der aktuellen Dokumentation und verweist gegebenenfalls auf bestimmte Themen. Bevor Sie fortfahren, sollten Sie sich mit der Bookstore-Anwendungsarchitektur vertraut machen.
Voraussetzungen
- Ein Azure-Abonnement. Falls Sie über kein Azure-Abonnement verfügen, können Sie ein kostenloses Konto erstellen.
- Die Azure CLI muss installiert sein.
- Das OSM AKS-Add-On wird im AKS-Cluster deinstalliert.
- Alle vorhandenen OSM Bookstore-Anwendungen, einschließlich Namespaces, werden deinstalliert und aus dem Cluster gelöscht.
- Installieren des Istio AKS Service Mesh-Add-On
Erforderliche Änderungen an der OSM Bookstore-Beispielanwendung
Damit Istio die OSM Bookstore-Anwendung verwalten kann, sind einige Änderungen an den vorhandenen Manifesten erforderlich. Diese Änderungen betreffen den Bookstore und die MySQL-Dienste.
Bookstore-Änderungen
In der exemplarischen Vorgehensweise für OSM Bookstore wird der Bookstore-Dienst zusammen mit einem anderen Bookstore-v2-Dienst bereitgestellt, um zu veranschaulichen, wie OSM das Verschieben des Datenverkehrs ermöglicht. Mit diesen bereitgestellten Diensten konnten der Clientdatenverkehr (bookbuyer) auf mehrere Dienstendpunkte aufgeteilt werden. Das erste neue Konzept beinhaltet, wie Istio mit dem umgeht, was als Verschieben des Datenverkehrs bezeichnet wird.
Die OSM-Implementierung für das Verschieben des Datenverkehrs basiert auf der Spezifikation für SMI-Datenverkehrsaufteilung. Die SMI-Datenverkehrsaufteilung erfordert das Vorhandensein mehrerer Dienste der obersten Ebene, die als Back-Ends mit der gewünschten Gewichtungsmetrik hinzugefügt werden, um Clientanforderungen von einem Dienst zu einem anderen zu verschieben. Istio führt das Verschieben des Datenverkehrs mithilfe einer Kombination aus einem virtuellen Dienst und einer Zielregel aus. Es wird dringend empfohlen, sich mit den Konzepten eines virtuellen Diensts und einer Zielregel vertraut zu machen.
Einfach ausgedrückt: Der virtuelle Dienst von Istio definiert Routingregeln für Clients, die den Host anfordern (Dienstname). Mit virtuellen Diensten können mehrere Versionen einer Bereitstellung einem Hostnamen des virtuellen Diensts zugeordnet werden, um Clients als Ziel zu verwenden. Für denselben Dienst können mehrere Bereitstellungen mit Bezeichnungen versehen werden, die verschiedene Versionen der Anwendung hinter demselben Hostnamen darstellen. Der virtuelle Dienst von Istio kann dann so konfiguriert werden, dass die Anforderung für eine bestimmte Version des Diensts gewichtet wird. Die verfügbaren Versionen des Diensts sind für die Verwendung des subsets-Attributs in einer Istio-Zielregel konfiguriert.
Durch die Änderung am Bookstore-Dienst und der Bereitstellung für Istio entfällt die Notwendigkeit, einen expliziten zweiten Dienst als Ziel zu verwenden, der für die SMI-Datenverkehrsaufteilung erforderlich ist. Es ist auch kein anderes Dienstkonto für den Bookstore v2-Dienst notwendig, da es unter dem Bookstore-Dienst konsolidiert werden soll. Die ursprüngliche Änderung des Manifests von OSM traffic-access-v1.yaml an Istio für den Bookstore v1 und v2 ist im nachstehenden Abschnitt Erstellen von Pods, Diensten und Dienstkonten aufgeführt. Es ist veranschaulicht, wie die Datenverkehrsaufteilung durchgeführt wird, die später in der exemplarischen Vorgehensweise als Verschieben des Datenverkehrs bezeichnet wird:
MySql-Änderungen
Änderungen am MySql-StatefulSet sind nur in der Dienstkonfiguration erforderlich. Gemäß der Dienstspezifikation benötigte OSM die targetPort- und appProtocol- Attribute. Diese Attribute sind für Istio nicht erforderlich. Der aktualisierte Dienst für MySqldb sieht wie folgt aus:
apiVersion: v1
kind: Service
metadata:
name: mysqldb
labels:
app: mysqldb
service: mysqldb
spec:
ports:
- port: 3306
name: tcp
selector:
app: mysqldb
Bereitstellen der geänderten Bookstore-Anwendung
Ähnlich wie bei der exemplarischen Vorgehensweise für OSM Bookstore beginnen wir mit der neuen Installation der Bookstore-Anwendung.
Erstellen der Namespaces
kubectl create namespace bookstore
kubectl create namespace bookbuyer
kubectl create namespace bookthief
kubectl create namespace bookwarehouse
Hinzufügen einer Namespace-Bezeichnung für Istio Sidecar-Injection
Für OSM wurden mithilfe des Befehls osm namespace add <namespace> die erforderlichen Anmerkungen zum Namespace für den OSM-Controller erstellt, um die automatische Sidecar-Injection hinzuzufügen. Mit Istio müssen Sie nur einen Namespace bezeichnen, damit der Istio-Controller angewiesen wird, die Envoy-Sidecar-Proxys automatisch einzufügen.
kubectl label namespace bookstore istio-injection=enabled
kubectl label namespace bookbuyer istio-injection=enabled
kubectl label namespace bookthief istio-injection=enabled
kubectl label namespace bookwarehouse istio-injection=enabled
Bereitstellen des virtuellen Diensts und der Zielregel für Bookstore von Istio
Wie bereits im Abschnitt „Bookstore-Änderungen“ erwähnt, verarbeitet Istio das Verschieben des Datenverkehrs mithilfe eines VirtualService-Gewichtungsattributs, das später in der exemplarischen Vorgehensweise konfiguriert wird. Wir stellen den virtuellen Dienst und die Zielregel für den Bookstore-Dienst bereit. Wir stellen nur die Bookstore Version 1 bereit, obwohl die Bookstore Version 2 bereitgestellt wird. Der virtuelle Dienst von Istio stellt nur eine Route zur Version 1 von Bookstore bereit. Anders als beim Verschieben des Datenverkehrs (Datenverkehrsaufteilung) hat OSM für die Anwendung mit Bookstore Version 2 einen weiteren Dienst bereitgestellt. OSM musste den Datenverkehr so einrichten, dass er mithilfe eines TrafficSplit zwischen den Clientanforderungen aufgeteilt werden konnte. Bei Verwendung von Verschieben des Datenverkehrs mit Istio können wir auf das Verschieben des Datenverkehrs auf mehrere Kubernetes-Anwendungsbereitstellungen (Versionen) verweisen, die für denselben Dienst bezeichnet sind.
In dieser exemplarischen Vorgehensweise werden beide Bookstore-Versionen (v1 und v2) gleichzeitig bereitgestellt. Nur die Version 1 ist aufgrund der Konfiguration des virtuellen Diensts erreichbar. Es ist nicht notwendig, einen weiteren Dienst für Bookstore Version 2 bereitzustellen. Wir aktivieren später eine Route zu Bookstore Version 2, wenn wir den virtuellen Dienst von Bookstore aktualisieren und das erforderliche Gewichtungsattribut für das Verschieben des Datenverkehrs bereitstellen.
kubectl apply -f - <<EOF
# Create bookstore virtual service
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
name: bookstore-virtualservice
namespace: bookstore
spec:
hosts:
- bookstore
http:
- route:
- destination:
host: bookstore
subset: v1
---
# Create bookstore destination rule
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
name: bookstore-destination
namespace: bookstore
spec:
host: bookstore
subsets:
- name: v1
labels:
app: bookstore
version: v1
- name: v2
labels:
app: bookstore
version: v2
EOF
Erstellen von Pods, Diensten und Dienstkonten
Wir verwenden eine einzelne Manifestdatei, die die zuvor in der exemplarische Vorgehensweise erläuterten Änderungen enthält, um die Anwendungen bookbuyer, bookthief, bookstore, bookwarehouse und mysql bereitzustellen.
kubectl apply -f - <<EOF
##################################################################################################
# bookbuyer service
##################################################################################################
---
# Create bookbuyer Service Account
apiVersion: v1
kind: ServiceAccount
metadata:
name: bookbuyer
namespace: bookbuyer
---
# Create bookbuyer Deployment
apiVersion: apps/v1
kind: Deployment
metadata:
name: bookbuyer
namespace: bookbuyer
spec:
replicas: 1
selector:
matchLabels:
app: bookbuyer
version: v1
template:
metadata:
labels:
app: bookbuyer
version: v1
spec:
serviceAccountName: bookbuyer
nodeSelector:
kubernetes.io/arch: amd64
kubernetes.io/os: linux
containers:
- name: bookbuyer
image: openservicemesh/bookbuyer:latest-main
imagePullPolicy: Always
command: ["/bookbuyer"]
env:
- name: "BOOKSTORE_NAMESPACE"
value: bookstore
- name: "BOOKSTORE_SVC"
value: bookstore
---
##################################################################################################
# bookthief service
##################################################################################################
---
# Create bookthief ServiceAccount
apiVersion: v1
kind: ServiceAccount
metadata:
name: bookthief
namespace: bookthief
---
# Create bookthief Deployment
apiVersion: apps/v1
kind: Deployment
metadata:
name: bookthief
namespace: bookthief
spec:
replicas: 1
selector:
matchLabels:
app: bookthief
template:
metadata:
labels:
app: bookthief
version: v1
spec:
serviceAccountName: bookthief
nodeSelector:
kubernetes.io/arch: amd64
kubernetes.io/os: linux
containers:
- name: bookthief
image: openservicemesh/bookthief:latest-main
imagePullPolicy: Always
command: ["/bookthief"]
env:
- name: "BOOKSTORE_NAMESPACE"
value: bookstore
- name: "BOOKSTORE_SVC"
value: bookstore
- name: "BOOKTHIEF_EXPECTED_RESPONSE_CODE"
value: "503"
---
##################################################################################################
# bookstore service version 1 & 2
##################################################################################################
---
# Create bookstore Service
apiVersion: v1
kind: Service
metadata:
name: bookstore
namespace: bookstore
labels:
app: bookstore
spec:
ports:
- port: 14001
name: bookstore-port
selector:
app: bookstore
---
# Create bookstore Service Account
apiVersion: v1
kind: ServiceAccount
metadata:
name: bookstore
namespace: bookstore
---
# Create bookstore-v1 Deployment
apiVersion: apps/v1
kind: Deployment
metadata:
name: bookstore-v1
namespace: bookstore
spec:
replicas: 1
selector:
matchLabels:
app: bookstore
version: v1
template:
metadata:
labels:
app: bookstore
version: v1
spec:
serviceAccountName: bookstore
nodeSelector:
kubernetes.io/arch: amd64
kubernetes.io/os: linux
containers:
- name: bookstore
image: openservicemesh/bookstore:latest-main
imagePullPolicy: Always
ports:
- containerPort: 14001
name: web
command: ["/bookstore"]
args: ["--port", "14001"]
env:
- name: BOOKWAREHOUSE_NAMESPACE
value: bookwarehouse
- name: IDENTITY
value: bookstore-v1
---
# Create bookstore-v2 Deployment
apiVersion: apps/v1
kind: Deployment
metadata:
name: bookstore-v2
namespace: bookstore
spec:
replicas: 1
selector:
matchLabels:
app: bookstore
version: v2
template:
metadata:
labels:
app: bookstore
version: v2
spec:
serviceAccountName: bookstore
nodeSelector:
kubernetes.io/arch: amd64
kubernetes.io/os: linux
containers:
- name: bookstore
image: openservicemesh/bookstore:latest-main
imagePullPolicy: Always
ports:
- containerPort: 14001
name: web
command: ["/bookstore"]
args: ["--port", "14001"]
env:
- name: BOOKWAREHOUSE_NAMESPACE
value: bookwarehouse
- name: IDENTITY
value: bookstore-v2
---
##################################################################################################
# bookwarehouse service
##################################################################################################
---
# Create bookwarehouse Service Account
apiVersion: v1
kind: ServiceAccount
metadata:
name: bookwarehouse
namespace: bookwarehouse
---
# Create bookwarehouse Service
apiVersion: v1
kind: Service
metadata:
name: bookwarehouse
namespace: bookwarehouse
labels:
app: bookwarehouse
spec:
ports:
- port: 14001
name: bookwarehouse-port
selector:
app: bookwarehouse
---
# Create bookwarehouse Deployment
apiVersion: apps/v1
kind: Deployment
metadata:
name: bookwarehouse
namespace: bookwarehouse
spec:
replicas: 1
selector:
matchLabels:
app: bookwarehouse
template:
metadata:
labels:
app: bookwarehouse
version: v1
spec:
serviceAccountName: bookwarehouse
nodeSelector:
kubernetes.io/arch: amd64
kubernetes.io/os: linux
containers:
- name: bookwarehouse
image: openservicemesh/bookwarehouse:latest-main
imagePullPolicy: Always
command: ["/bookwarehouse"]
##################################################################################################
# mysql service
##################################################################################################
---
apiVersion: v1
kind: ServiceAccount
metadata:
name: mysql
namespace: bookwarehouse
---
apiVersion: v1
kind: Service
metadata:
name: mysqldb
labels:
app: mysqldb
service: mysqldb
spec:
ports:
- port: 3306
name: tcp
selector:
app: mysqldb
---
apiVersion: apps/v1
kind: StatefulSet
metadata:
name: mysql
namespace: bookwarehouse
spec:
serviceName: mysql
replicas: 1
selector:
matchLabels:
app: mysql
template:
metadata:
labels:
app: mysql
spec:
serviceAccountName: mysql
nodeSelector:
kubernetes.io/os: linux
containers:
- image: mysql:5.6
name: mysql
env:
- name: MYSQL_ROOT_PASSWORD
value: mypassword
- name: MYSQL_DATABASE
value: booksdemo
ports:
- containerPort: 3306
name: mysql
volumeMounts:
- mountPath: /mysql-data
name: data
readinessProbe:
tcpSocket:
port: 3306
initialDelaySeconds: 15
periodSeconds: 10
volumes:
- name: data
emptyDir: {}
volumeClaimTemplates:
- metadata:
name: data
spec:
accessModes: [ "ReadWriteOnce" ]
resources:
requests:
storage: 250M
EOF
Führen Sie die folgenden Befehle aus, um diese Ressourcen in Ihrem Cluster anzuzeigen:
kubectl get pods,deployments,serviceaccounts -n bookbuyer
kubectl get pods,deployments,serviceaccounts -n bookthief
kubectl get pods,deployments,serviceaccounts,services,endpoints -n bookstore
kubectl get pods,deployments,serviceaccounts,services,endpoints -n bookwarehouse
Anzeigen der Anwendungsbenutzeroberflächen
Ähnlich wie bei der ursprünglichen exemplarischen Vorgehensweise für OSM können Sie, wenn Sie das OSM-Repository geklont haben, die Portweiterleitungsskripts verwenden, um die Benutzeroberflächen jeder Anwendung hier anzuzeigen. Derzeit geht es nur darum, die Benutzeroberfläche bookbuyer und bookthief anzuzeigen.
cp .env.example .env
bash <<EOF
./scripts/port-forward-bookbuyer-ui.sh &
./scripts/port-forward-bookthief-ui.sh &
wait
EOF
Öffnen Sie in einem Browser die folgenden URLs:
http://localhost:8080 – Bookbuyer
http://localhost:8083 – Bookthief
Konfigurieren der Datenverkehrsrichtlinien von Istio
Um die Kontinuität mit der ursprünglichen exemplarischen Vorgehensweise für OSM Bookstore für die Übersetzung in Istio zu gewährleisten, wird der permissive Datenverkehrsrichtlinienmodus von OSM erläutert. Der permissive Datenverkehrsrichtlinienmodus von OSM war ein Konzept, das den Datenverkehr im Gittermodell zuließ oder verweigerte, ohne dass eine bestimmte Regel für SMI Datenverkehr-Zugriffssteuerung bereitgestellt wurde. Die Konfiguration des permissiven Datenverkehrsmodus diente dazu, Benutzern das Einbinden von Anwendungen in das Gittermodell zu ermöglichen und gleichzeitig eine mTLS-Verschlüsselung zu erreichen, ohne dass explizite Regeln für die Kommunikation von Anwendungen im Gittermodell erforderlich sind. Die Funktion „Permissiver Datenverkehrsmodus“ sollte verhindern, dass die Kommunikation Ihrer Anwendung unterbrochen wird, sobald OSM sie verwaltet hat, und Ihnen Zeit geben, Ihre Regeln zu definieren, während sichergestellt wird, dass die Anwendungskommunikation mTLS-verschlüsselt ist. Diese Einstellung kann auf true oder false über die MeshConfig von OSM festgelegt werden.
Istio behandelt die mTLS-Erzwingung anders. Anders als OSM konfiguriert der permissive Modus von Istio automatisch Sidecar-Proxys für die Verwendung von mTLS, ermöglicht es dem Dienst jedoch, sowohl Klartext- als auch MTLS-Datenverkehr zu akzeptieren. Das Äquivalent zur Konfiguration des permissiven Modus von OSM ist die Verwendung der PeerAuthentication-Einstellungen von Istio. PeerAuthentication kann im Namespace oder für das gesamte Gittermodell präzise ausgeführt werden. Weitere Informationen zur Erzwingung von mTLS durch Istio finden Sie im Artikel „Istio Mutual TLS Migration“.
Erzwingen des Strict-Modus von Istio für Bookstore-Namespaces
Es ist wichtig zu beachten, dass sich die PeerAuthentication-Konfiguration von Istio, genau wie der permissive Modus von OSM, nur auf die Verwendung der mTLS-Erzwingung bezieht. Tatsächliche Layer-7-Richtlinien, wie sie in den HTTPRouteGroups von OSM verwendet werden, werden mithilfe der AuthorizationPolicy-Konfigurationen von Istio verarbeitet, die später in der exemplarischen Vorgehensweise zu sehen sind.
Wir versetzen die Namespaces bookbuyer, bookthief, bookstore und bookwarehouse präzise in den mTLS-Strict-Modus von Istio.
kubectl apply -f - <<EOF
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
name: bookbuyer
namespace: bookbuyer
spec:
mtls:
mode: STRICT
---
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
name: bookthief
namespace: bookthief
spec:
mtls:
mode: STRICT
---
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
name: bookstore
namespace: bookstore
spec:
mtls:
mode: STRICT
---
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
name: bookwarehouse
namespace: bookwarehouse
spec:
mtls:
mode: STRICT
EOF
Bereitstellen der Access Control-Richtlinien von Istio
Ähnlich wie die OSM-Ressourcen SMI Traffic Target und SMI Traffic Specs zur Definition von Zugriffssteuerungs- und Routingrichtlinien für die zu kommunizierenden Anwendungen erreicht Istio diese ähnlichen detaillierten Steuerelemente mithilfe der AuthorizationPolicy-Konfigurationen.
Lassen Sie uns die Übersetzung der TrafficTarget-Richtlinie von Bookstore durchgehen, die insbesondere bookbuyer die Kommunikation ermöglicht, und zwar nur mit bestimmten Layer-7-Pfaden, Headern und Methoden. Im Folgenden ist ein Teil des Manifests traffic-access-v1.yaml zu sehen.
kind: TrafficTarget
apiVersion: access.smi-spec.io/v1alpha3
metadata:
name: bookstore
namespace: bookstore
spec:
destination:
kind: ServiceAccount
name: bookstore
namespace: bookstore
rules:
- kind: HTTPRouteGroup
name: bookstore-service-routes
matches:
- buy-a-book
- books-bought
sources:
- kind: ServiceAccount
name: bookbuyer
namespace: bookbuyer
---
apiVersion: specs.smi-spec.io/v1alpha4
kind: HTTPRouteGroup
metadata:
name: bookstore-service-routes
namespace: bookstore
spec:
matches:
- name: books-bought
pathRegex: /books-bought
methods:
- GET
headers:
- "user-agent": ".*-http-client/*.*"
- "client-app": "bookbuyer"
- name: buy-a-book
pathRegex: ".*a-book.*new"
methods:
- GET
Laut TrafficTarget-Richtlinie können Sie in der Spezifikation explizit definieren, welcher Quelldienst mit einem Zieldienst kommunizieren kann. Wie lassen also zu, dass die Quelle bookbuyer für die Kommunikation mit dem Ziel-Bookstore autorisiert wird. Wenn wir die Dienst-zu-Dienst-Autorisierung von einer OSM TrafficTarget-Konfiguration in ein Istio AuthorizationPolicy übersetzen, sieht dies wie folgt aus:
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
name: bookstore
namespace: bookstore
spec:
selector:
matchLabels:
app: bookstore
action: ALLOW
rules:
- from:
- source:
principals: ["cluster.local/ns/bookbuyer/sa/bookbuyer"]
Im AuthorizationPolicy von Istio ist zu sehen, wie der OSM TrafficTarget-Richtlinien-Zieldienst der Übereinstimmung der Selektorbezeichnung und dem Namespace, in dem sich der Dienst befindet, zugeordnet ist. Der Quelldienst wird im Abschnitt „Regeln“ dargestellt, in dem ein Quell-/Prinzipien-Attribut vorhanden ist, das dem Dienstkontonamen für den bookbuyer-Dienst zugeordnet ist.
Zusätzlich zur reinen Quell-/Zielkonfiguration in der OSM-TrafficTarget-Ressource bindet OSM die Verwendung von HTTPRouteGroup, um die Autorisierung in Schicht 7 weiter zu definieren, auf die die Quelle Zugriff hat. Wir können nur den Teil der HTTPRouteGroup unten sehen. Für den zulässigen Quelldienst gibt es zwei matches.
apiVersion: specs.smi-spec.io/v1alpha4
kind: HTTPRouteGroup
metadata:
name: bookstore-service-routes
namespace: bookstore
spec:
matches:
- name: books-bought
pathRegex: /books-bought
methods:
- GET
headers:
- "user-agent": ".*-http-client/*.*"
- "client-app": "bookbuyer"
- name: buy-a-book
pathRegex: ".*a-book.*new"
methods:
- GET
Es gibt einen match mit dem Namen books-bought, der der Quelle den Zugriff auf den Pfad /books-bought mithilfe einer GET-Methode mit Benutzer-Agent- und Client-App-Informationen des Hostheaders ermöglicht, und eine buy-a-book-Übereinstimmung, die einen regex express für einen Pfad mit .*a-book.*new mithilfe einer GET-Methode verwendet.
Diese OSM-HTTPRouteGroup-Konfigurationen können im Abschnitt „Regeln“ des unten gezeigten Istio AuthorizationPolicy definiert werden:
apiVersion: "security.istio.io/v1beta1"
kind: "AuthorizationPolicy"
metadata:
name: "bookstore"
namespace: bookstore
spec:
selector:
matchLabels:
app: bookstore
action: ALLOW
rules:
- from:
- source:
principals: ["cluster.local/ns/bookbuyer/sa/bookbuyer"]
- source:
namespaces: ["bookbuyer"]
to:
- operation:
methods: ["GET"]
paths: ["*/books-bought", "*/buy-a-book/new"]
- when:
- key: request.headers[User-Agent]
values: ["*-http-client/*"]
- key: request.headers[Client-App]
values: ["bookbuyer"]
Wir können jetzt das von OSM migrierte Manifest traffic-access-v1.yaml so bereitstellen, wie es von Istio unten verstanden wird. Es gibt kein AuthorizationPolicy für die Bookthief, daher sollte die Bookthief-Benutzeroberfläche das Inkrementieren von Büchern aus Bookstore v1 beenden:
kubectl apply -f - <<EOF
##################################################################################################
# bookstore policy
##################################################################################################
apiVersion: "security.istio.io/v1beta1"
kind: "AuthorizationPolicy"
metadata:
name: "bookstore"
namespace: bookstore
spec:
selector:
matchLabels:
app: bookstore
action: ALLOW
rules:
- from:
- source:
principals: ["cluster.local/ns/bookbuyer/sa/bookbuyer"]
- source:
namespaces: ["bookbuyer"]
to:
- operation:
methods: ["GET"]
paths: ["*/books-bought", "*/buy-a-book/new"]
- when:
- key: request.headers[User-Agent]
values: ["*-http-client/*"]
- key: request.headers[Client-App]
values: ["bookbuyer"]
---
##################################################################################################
# bookwarehouse policy
##################################################################################################
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
name: "bookwarehouse"
namespace: bookwarehouse
spec:
selector:
matchLabels:
app: bookwarehouse
action: ALLOW
rules:
- from:
- source:
principals: ["cluster.local/ns/bookstore/sa/bookstore"]
- source:
namespaces: ["bookstore"]
to:
- operation:
methods: ["POST"]
---
##################################################################################################
# mysql policy
##################################################################################################
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
name: "mysql"
namespace: bookwarehouse
spec:
selector:
matchLabels:
app: mysql
action: ALLOW
rules:
- from:
- source:
principals: ["cluster.local/ns/bookwarehouse/sa/bookwarehouse"]
- source:
namespaces: ["bookwarehouse"]
to:
- operation:
ports: ["3306"]
EOF
Bookthief-Anwendung kann auf Bookstore zugreifen
Derzeit gibt es keine AuthorizationPolicy, die es dem Bookthief ermöglicht, mit Bookstore zu kommunizieren. Wir können folgende AuthorizationPolicy bereitstellen, damit der Bookthief mit Bookstore kommunizieren kann. Sie sehen den Zusatz für die Regel für die Bookstore-Richtlinie, die die Bookthief-Autorisierung zulässt.
kubectl apply -f - <<EOF
##################################################################################################
# bookstore policy
##################################################################################################
apiVersion: "security.istio.io/v1beta1"
kind: "AuthorizationPolicy"
metadata:
name: "bookstore"
namespace: bookstore
spec:
selector:
matchLabels:
app: bookstore
action: ALLOW
rules:
- from:
- source:
principals: ["cluster.local/ns/bookbuyer/sa/bookbuyer", "cluster.local/ns/bookthief/sa/bookthief"]
- source:
namespaces: ["bookbuyer", "bookthief"]
to:
- operation:
methods: ["GET"]
paths: ["*/books-bought", "*/buy-a-book/new"]
- when:
- key: request.headers[User-Agent]
values: ["*-http-client/*"]
- key: request.headers[Client-App]
values: ["bookbuyer"]
---
##################################################################################################
# bookwarehouse policy
##################################################################################################
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
name: "bookwarehouse"
namespace: bookwarehouse
spec:
selector:
matchLabels:
app: bookwarehouse
action: ALLOW
rules:
- from:
- source:
principals: ["cluster.local/ns/bookstore/sa/bookstore"]
- source:
namespaces: ["bookstore"]
to:
- operation:
methods: ["POST"]
---
##################################################################################################
# mysql policy
##################################################################################################
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
name: "mysql"
namespace: bookwarehouse
spec:
selector:
matchLabels:
app: mysql
action: ALLOW
rules:
- from:
- source:
principals: ["cluster.local/ns/bookwarehouse/sa/bookwarehouse"]
- source:
namespaces: ["bookwarehouse"]
to:
- operation:
ports: ["3306"]
EOF
Die Bookthief-Benutzeroberfläche sollte jetzt Bücher aus Bookstore v1 inkrementieren.
Konfigurieren des Verschiebens des Datenverkehrs zwischen zwei Dienstversionen
Um zu veranschaulichen, wie Datenverkehr zwischen zwei Versionen eines Kubernetes-Diensts ausgeglichen wird, was in Istio als Verschieben des Datenverkehrs bezeichnet wird. Wie Sie sich in einem vorherigen Abschnitt beschrieben, stützte sich die OSM-Implementierung für das Verschieben des Datenverkehrs darauf, dass zwei verschiedene Dienste bereitgestellt und diese Dienstnamen zur Back-End-Konfiguration der TrafficTarget-Richtlinie hinzugefügt wurden. Diese Bereitstellungsarchitektur ist für die Implementierung für das Verschieben von Datenverkehr durch Istio nicht erforderlich. Mit Istio können mehrere Bereitstellungen erstellt werden, die jede Version der Dienstanwendung darstellen, und Datenverkehr über die virtualservice-Konfiguration von Istio an diese spezifischen Versionen verschieben.
Die derzeit bereitgestellte virtualservice verfügt nur über eine Routenregel für die unten dargestellte v1-Version von Bookstore:
spec:
hosts:
- bookstore
http:
- route:
- destination:
host: bookstore
subset: v1
Wir aktualisieren virtualservice, um 100 % der Gewichtung auf die v2-Version von Bookstore zu verschieben.
kubectl apply -f - <<EOF
# Create bookstore virtual service
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
name: bookstore-virtualservice
namespace: bookstore
spec:
hosts:
- bookstore
http:
- route:
- destination:
host: bookstore
subset: v1
weight: 0
- destination:
host: bookstore
subset: v2
weight: 100
EOF
Jetzt sollten Sie sehen, dass sowohl die Benutzerfläche bookbuyer als auch bookthief nur für den bookstore v2-Dienst inkrementiert werden. Sie können weiter experimentieren, indem Sie das weigth-Attribut ändern, um den Datenverkehr zwischen den beiden bookstore-Versionen zu verschieben.
Zusammenfassung
Wir hoffen, dass wir Ihnen mit dieser exemplarischen Vorgehensweise zeigen konnten, wie Sie Ihre aktuellen OSM-Richtlinien zu Istio-Richtlinien migrieren können. Lesen Sie sorgfältig die Konzepte von Istio, und sehen Sie sich den Istio-Leitfaden für erste Schritte an, um zu erfahren, wie Sie das Dienst-Gittermodel von Istio für die Verwaltung Ihrer Anwendungen verwenden können.
Azure Kubernetes Service