22、Istio实践：在线精品店应用部署与管理

Istio与OPA构建精品店服务网格

白露未晞593

于 2025-10-08 10:14:37 发布

阅读量24

点赞数

CC 4.0 BY-SA版权

分类专栏： Istio服务网格实战精要文章标签： Istio OPA Gatekeeper 在线精品店

本文链接：https://blog.youkuaiyun.com/bash7scripter/article/details/153109434

Istio服务网格实战精要专栏收录该内容

26 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

Istio实践：在线精品店应用部署与管理

1. OPA Gatekeeper简介与操作

OPA Gatekeeper是一个强大的工具，可自动执行服务网格的最佳实践。它能弥补人为操作导致的配置错误，降低使服务网格符合最佳实践的成本和时间。你可以在这里了解更多关于OPA Gatekeeper的信息，也能在此处找到一些不错的示例。

若要卸载OPA Gatekeeper，可使用以下命令：

% kubectl delete -f https://raw.githubusercontent.com/open-policy-agent/gatekeeper/master/deploy/gatekeeper.yaml

2. 在线精品店应用部署

2.1 技术要求

使用AWS EKS部署在线精品店网站，该应用是开源的，遵循Apache License 2.0，可在这里获取。需参考相关设置，使用Terraform在AWS中设置基础设施，设置kubectl，并安装Istio及可观测性插件。使用GitHub上 Chapter12/online-boutique-orig 文件中的部署工件来部署应用。

2.2 部署步骤

创建命名空间：

$ kubectl apply -f Chapter12/online-boutique-orig/00-online-boutique-shop-ns.yaml

部署应用：

$ kubectl apply -f Chapter12/online-boutique-orig

一段时间后，可通过以下命令查看所有Pod是否正常运行：

$ kubectl get po -n online-boutique

示例输出如下：
| NAME | READY | STATUS | RESTARTS | AGE |
| — | — | — | — | — |
| adservice-8587b48c5f-v7nzq | 1/1 | Running | 0 | 48s |
| cartservice-5c65c67f5d-ghpq2 | 1/1 | Running | 0 | 60s |
| checkoutservice-54c9f7f49f-9qgv5 | 1/1 | Running | 0 | 73s |
| currencyservice-5877b8dbcc-jtgcg | 1/1 | Running | 0 | 57s |
| emailservice-5c5448b7bc-kpgsh | 1/1 | Running | 0 | 76s |
| frontend-67f6fdc769-r8c5n | 1/1 | Running | 0 | 68s |
| paymentservice-7bc7f76c67-r7njd | 1/1 | Running | 0 | 65s |
| productcatalogservice-67fff7c687-jrwcp | 1/1 | Running | 0 | 62s |
| recommendationservice-b49f757f-9b78s | 1/1 | Running | 0 | 70s |
| redis-cart-58648d854-jc2nv | 1/1 | Running | 0 | 51s |
| shippingservice-76b9bc7465-qwnvz | 1/1 | Running | 0 | 55s |

2.3 访问应用

可通过以下命令访问应用：

$ kubectl port-forward svc/frontend 8080:80 -n online-boutique

然后在浏览器中打开 http://localhost:8080 即可看到应用界面。

3. 使用OPA Gatekeeper实施最佳实践

3.1 安装OPA Gatekeeper

% kubectl apply -f https://raw.githubusercontent.com/open-policy-agent/gatekeeper/master/deploy/gatekeeper.yaml

3.2 配置同步

将命名空间、Pod、服务和Istio CRD网关、虚拟服务、目标规则以及策略和服务角色绑定同步到其缓存中：

$ kubectl apply -f Chapter11/05-GatekeeperConfig.yaml

3.3 配置约束

执行以下命令应用约束：

$ kubectl apply -f Chapter11/gatekeeper/01-istiopodlabelconstraint_template.yaml
$ kubectl apply -f Chapter11/gatekeeper/01-istiopodlabelconstraint.yaml
$ kubectl apply -f Chapter11/gatekeeper/02-istioportconstraints_template.yaml
$ kubectl apply -f Chapter11/gatekeeper/02-istioportconstraints.yaml

4. 将知识应用于示例应用

4.1 为示例应用启用服务网格

卸载在线精品店应用：

% kubectl delete ns online-boutique

修改命名空间并添加 istio-injection:enabled 标签，更新后的命名空间配置如下：

apiVersion: v1
kind: Namespace
metadata:
  name: online-boutique
  labels:
    istio-injection: enabled

该示例文件可在GitHub上的 Chapter12/OPAGatekeeper/automaticsidecarinjection/00-online-boutique-shop-ns.yaml 找到。
3. 部署应用：

$ kubectl apply -f Chapter12/OPAGatekeeper/automaticsidecarinjection

此时可能会因OPA Gatekeeper的约束违规而出现错误，需根据提示修复，例如为所有部署添加 app 和 version 标签，为服务声明中的所有端口定义添加名称。以下是前端部署和购物车服务的示例：

前端部署示例：

apiVersion: apps/v1
kind: Deployment
metadata:
  name: frontend
  namespace: online-boutique
spec:
  selector:
    matchLabels:
      app: frontend
  template:
    metadata:
      labels:
        app: frontend
        version: v1

购物车服务示例：

apiVersion: v1
kind: Service
metadata:
  name: frontend
  namespace: online-boutique
spec:
  type: ClusterIP
  selector:
    app: frontend
  ports:
  - name: http-frontend
    port: 80
    targetPort: 8080

更新后的文件可在 Chapter12/OPAGatekeeper/automaticsidecarinjection 中找到，使用以下命令重新部署应用：

% kubectl apply -f Chapter12/OPAGatekeeper/automaticsidecarinjection

4.2 配置Istio管理应用流量

配置Istio入口网关
定义网关配置：

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: online-boutique-ingress-gateway
  namespace: online-boutique
spec:
  selector:
    istio: ingressgateway
  servers:
  - port:
      number: 80
      name: http
      protocol: HTTP
    hosts:
    - "onlineboutique.com"

该文件也可在GitHub上的 Chapter12/trafficmanagement/01-gateway.yaml 找到，使用以下命令应用配置：

$ kubectl apply -f Chapter12/trafficmanagement/01-gateway.yaml

配置虚拟服务
定义虚拟服务以将 onlineboutique.com 主机的流量路由到相应的前端服务：

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: onlineboutique-frontend-vs
  namespace: online-boutique
spec:
  hosts:
  - "onlineboutique.com"
  gateways:
  - online-boutique-ingress-gateway
  http:
  - route:
    - destination:
        host: frontend
        subset: v1

配置文件可在 Chapter12/trafficmanagement/02-virtualservice-frontend.yaml 找到。

配置目标规则
配置前端服务的目标规则：

apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: frontend
  namespace: online-boutique
spec:
  host: frontend
  subsets:
  - name: v1
    labels:
      app: frontend

该配置与虚拟服务配置在同一文件中，使用以下命令创建虚拟服务和目标规则：

$ kubectl apply -f Chapter12/trafficmanagement/02-virtualservice-frontend.yaml

找到AWS负载均衡器暴露入口网关服务的公共IP，使用ModHeader扩展为Chrome添加 Host 头，即可通过浏览器访问在线精品店。

为其余微服务定义虚拟服务和目标规则，可使用 Chapter12/trafficmanagement/03-virtualservicesanddr-otherservices.yaml 文件中的配置：

$ kubectl apply -f Chapter12/trafficmanagement/03-virtualservicesanddr-otherservices.yaml

应用配置并生成一些流量后，可查看Kiali仪表板。

配置对外部服务的访问
使用 ServiceEntry 将外部服务添加到Istio的内部服务注册表，示例如下：

apiVersion: networking.istio.io/v1alpha3
kind: ServiceEntry
metadata:
  name: allow-egress-to-xyv.com
spec:
  hosts:
  - "xyz.com"
  ports:
  - number: 80
    protocol: HTTP
    name: http
  - number: 443
    protocol: HTTPS
    name: https

4.3 配置Istio管理应用弹性

配置超时和重试
假设电子邮件服务间歇性故障，为其配置超时和重试：

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  namespace: online-boutique
  name: emailvirtualservice
spec:
  hosts:
  - emailservice
  http:
  - timeout: 5s
    route:
      - destination:
          host: emailservice
          subset: v1
    retries:
      attempts: 2
      perTryTimeout: 2s
      retryOn: 5xx,gateway-error,reset,connect-failure,refused-stream,retriable-4xx

配置速率限制
为电子邮件服务定义速率限制控制：

apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  namespace: online-boutique
  name: emaildr
spec:
  host: emailservice
  trafficPolicy:
    connectionPool:
      http:
        http2MaxRequests: 1
        maxRequestsPerConnection: 1
        http1MaxPendingRequests: 0
  subsets:
  - name: v1
    labels:
      version: v1
      app: emailservice

假设存在两个版本的电子邮件服务，为 v1 版本应用异常检测策略：

trafficPolicy:
  outlierDetection:
    baseEjectionTime: 5m
    consecutive5xxErrors: 1
    interval: 90s
    maxEjectionPercent: 50

通过以上步骤，我们完成了在线精品店应用在Istio服务网格中的部署、配置和管理，包括使用OPA Gatekeeper实施最佳实践、管理应用流量和配置应用弹性等方面。

Istio实践：在线精品店应用部署与管理

5. 总结与展望

在前面的内容中，我们详细介绍了如何使用Istio和OPA Gatekeeper来部署、配置和管理在线精品店应用。下面我们来总结一下关键步骤和要点，并对未来的操作进行展望。

5.1 关键步骤总结

5.2 未来操作建议

持续优化配置 ：随着业务的发展和变化，不断调整和优化Istio和OPA Gatekeeper的配置，以确保应用的性能和安全性。
扩展应用功能 ：可以考虑添加更多的微服务或功能到在线精品店应用中，并使用Istio进行管理和协调。
深入学习Istio ：Istio提供了丰富的功能和特性，如安全认证、流量镜像等，可以进一步学习和应用这些功能，提升应用的质量和可靠性。

6. 相关概念深入理解

为了更好地掌握上述操作，我们有必要深入理解一些相关的概念。

6.1 Istio组件

入口网关（Ingress Gateway） ：类似于边缘的负载均衡器，负责接收进入网格的流量，并将其路由到底层的工作负载。例如，我们在配置 online-boutique-ingress-gateway 时，就定义了如何接收 onlineboutique.com 的流量。
虚拟服务（VirtualService） ：用于定义路由规则，根据主机名和其他条件匹配流量，并将其路由到指定的目标服务。如 onlineboutique-frontend-vs 虚拟服务将 onlineboutique.com 的流量路由到前端服务的 v1 子集。
目标规则（DestinationRule） ：当存在多个版本的工作负载时，用于定义流量策略，如负载均衡策略、连接池策略、异常检测策略等。例如，我们为前端服务和电子邮件服务配置了目标规则。

6.2 OPA Gatekeeper

OPA Gatekeeper是一个强大的策略管理工具，通过定义约束模板和约束来强制执行最佳实践。例如，我们通过配置约束确保所有部署都有 app 和 version 标签，所有端口名称都有协议名称作为前缀。

以下是一个简单的mermaid流程图，展示了使用Istio和OPA Gatekeeper部署和管理应用的主要流程：

graph LR
    A[卸载OPA Gatekeeper] --> B[部署在线精品店应用]
    B --> C[安装OPA Gatekeeper]
    C --> D[配置OPA Gatekeeper同步]
    D --> E[配置OPA Gatekeeper约束]
    E --> F[为应用启用服务网格]
    F --> G[配置Istio管理应用流量]
    G --> H[配置Istio管理应用弹性]

7. 常见问题及解决方法

在实际操作过程中，可能会遇到一些常见的问题，下面为大家提供一些解决方法。

7.1 OPA Gatekeeper约束违规

当部署应用时，如果收到类似“admission webhook “validation.gatekeeper.sh” denied the request”的错误，说明存在约束违规。解决方法是根据错误提示，为所有部署添加 app 和 version 标签，为服务声明中的所有端口定义添加名称。

7.2 无法访问应用

如果无法通过浏览器访问在线精品店应用，可能是以下原因导致的：
- IP和端口问题 ：确保正确获取了AWS负载均衡器暴露入口网关服务的公共IP，并使用正确的端口进行访问。
- Host头问题 ：使用ModHeader扩展为Chrome添加 Host 头，确保 Host 头的值为 onlineboutique.com 。