23、Istio应用实践与eBPF技术探索

原创于 2025-10-09 09:36:12 发布 · 33 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#Istio #eBPF #mTLS

Istio服务网格实战精要专栏收录该内容

26 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

Istio应用实践与eBPF技术探索

1. 异常检测与应用弹性管理

在异常检测中，我们定义了一些关键参数来管理应用的弹性。 baseEjectionTime 设置为5分钟，这是每次驱逐的最小持续时间，并且会乘以电子邮件服务被判定为不健康的次数。例如，如果v1电子邮件服务被判定为异常5次，它将从连接池中被驱逐 baseEjectionTime * 5 的时间。 consecutive5xxErrors 设置为1，表示需要出现1次5xx错误才能将上游服务判定为异常。 interval 设置为90秒，这是Istio扫描上游服务健康状态的检查间隔时间。 maxEjectionPercent 设置为50%，即连接池中最多可被驱逐的主机数量比例。

通过这些参数的设置，我们可以有效地管理应用的弹性，确保服务的稳定性。

2. 配置Istio管理应用安全

2.1 强制使用mTLS

为了确保网格内的所有流量都通过mTLS进行传输，我们可以应用以下策略：

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: strictmtls-online-boutique
  namespace: online-boutique
spec:
  mtls:
    mode: STRICT

此配置可在GitHub的 Chapter12/security/strictMTLS.yaml 文件中找到。在未应用此配置时，网格内的流量处于 PERMISSIVE 模式，即流量可以通过mTLS或明文传输。应用此策略后，Istio将强制所有流量使用mTLS。使用以下命令应用配置：

$ kubectl apply -f Chapter12/security/strictMTLS.yaml

2.2 保护Ingress流量使用HTTPS

为了保护Ingress流量，我们可以使用HTTPS。如果没有证书颁发机构（CA）和注册的DNS名称，可以按照以下步骤创建证书：
1. 创建CA：

$ openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -subj '/O=Online Boutique./CN=onlineboutique.inc' -keyout onlineboutique.inc.key -out onlineboutique.inc.crt

生成证书签名请求（CSR）：

$ openssl req -out onlineboutique.com.csr -newkey rsa:2048 -nodes -keyout onlineboutique.com.key -subj "/CN=onlineboutique.com/O=onlineboutique.inc"

使用CA签署CSR：

$ openssl x509 -req -sha256 -days 365 -CA onlineboutique.inc.crt -CAkey onlineboutique.inc.key -set_serial 0 -in onlineboutique.com.csr -out onlineboutique.com.crt

将证书和私钥加载为Kubernetes Secret：

$ kubectl create -n istio-system secret tls onlineboutique-credential --key=onlineboutique.com.key --cert=onlineboutique.com.crt

创建Gateway配置：

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: online-boutique-ingress-gateway
  namespace: online-boutique
spec:
  selector:
    istio: ingressgateway
  servers:
  - port:
      number: 443
      name: https
      protocol: HTTPS
    tls:
      mode: SIMPLE
      credentialName: onlineboutique-credential
    hosts:
    - "onlineboutique.com"

使用以下命令应用配置：

$ kubectl apply -f Chapter12/security/01-istio-gateway.yaml

通过以上配置，我们可以保护Ingress流量，但由于浏览器中使用的FQDN与证书中配置的CN不匹配，可能无法从浏览器访问应用。可以选择注册DNS名称，或者移除HTTPS配置，恢复使用GitHub上的 Chapter12/trafficmanagement/01-gateway.yaml 文件。

2.3 请求认证和授权

为了进一步加强安全，我们可以为前端服务创建请求认证和授权策略。

首先，创建请求认证策略：

apiVersion: security.istio.io/v1beta1
kind: RequestAuthentication
metadata:
  name: frontend
  namespace: online-boutique
spec:
  selector:
    matchLabels:
      app: frontend
  jwtRules:
  - issuer: "testing@secure.istio.io"
    jwksUri: "https://raw.githubusercontent.com/istio/istio/release-1.17/security/tools/jwt/samples/jwks.json"

使用以下命令应用请求认证策略：

$ kubectl apply -f Chapter12/security/requestAuthentication.yaml

应用策略后，可以使用以下步骤进行测试：
1. 获取虚拟令牌并设置为环境变量：

TOKEN=$(curl -k https://raw.githubusercontent.com/istio/istio/release-1.17/security/tools/jwt/samples/demo.jwt -s); echo $TOKEN

使用curl进行测试：

$ curl -HHost:onlineboutique.com http://aced3fea1ffaa468fa0f2ea6fbd3f612-390497785.us-east-1.elb.amazonaws.com/ -o /dev/null --header "Authorization: Bearer $TOKEN" -s -w '%{http_code}\n'

使用无效令牌进行测试：

$ curl -HHost:onlineboutique.com http://aced3fea1ffaa468fa0f2ea6fbd3f612-390497785.us-east-1.elb.amazonaws.com/ -o /dev/null --header "Authorization: Bearer BLABLAHTOKEN" -s -w '%{http_code}\n'

不使用令牌进行测试：

$ curl -HHost:onlineboutique.com http://aced3fea1ffaa468fa0f2ea6fbd3f612-390497785.us-east-1.elb.amazonaws.com/ -o /dev/null -s -w '%{http_code}\n'

由于请求认证策略仅在传递令牌时验证令牌，因此在不传递令牌的情况下，该策略不会被触发。为了解决这个问题，我们可以创建授权策略：

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: require-jwt
  namespace: online-boutique
spec:
  selector:
    matchLabels:
      app: frontend
  action: ALLOW
  rules:
  - from:
    - source:
        requestPrincipals: ["testing@secure.istio.io/testing@secure.istio.io"]

使用以下命令应用授权策略：

$ kubectl apply -f Chapter12/security/requestAuthorizationPolicy.yaml

应用授权策略后，再次进行测试，会发现不传递令牌时返回403错误，这是因为授权策略强制要求请求中必须包含指定的JWT主体。

3. Istio学习资源

学习Istio的主要资源是 Istio官方网站，该网站提供了从基础到多集群设置的详细文档，以及针对初学者和高级用户的各种练习，涵盖流量管理、安全、可观测性、可扩展性和策略执行等方面。

此外，还有其他一些组织提供了丰富的支持内容：
- Tetrate ：提供实验室和认证课程，如Tetrate Academy的 Certified Istio Administrator 认证，以及免费的 Istio基础知识课程。
- Solo.io ：提供名为 Get Started with Istio 的课程。
- The Linux Foundation ：提供 Introduction to Istio 课程。

https://istiobyexample.dev/ 网站详细解释了Istio的各种用例，并提供了配置示例。对于技术问题，可以访问 StackOverflow ，Istio社区也在 https://discuss.istio.io/ 上进行各种主题的讨论。

Tetrate Academy还提供了免费的 Envoy基础知识课程，该课程包含大量实践实验室和测验，有助于掌握Envoy技能。

4. 理解eBPF

eBPF（Extended Berkeley Packet Filter）是一种允许用户在操作系统内核中运行自定义程序的框架，而无需更改内核源代码或加载内核模块。这些自定义程序称为eBPF程序，可在运行时为操作系统添加额外功能。

eBPF程序基于内核级别的事件触发，通过关联到钩子点来实现。钩子点是内核预定义的，包括系统调用、网络事件、函数入口和退出等。在没有合适钩子点的情况下，用户可以使用内核探针（kprobes）。eBPF程序还可以附加到用户空间级别的探针（uprobes），从而可以在从内核到用户应用的任何级别执行。

为了确保eBPF程序的安全性，BPF库在加载程序时会进行两个步骤：验证步骤和即时编译（JIT）步骤。验证步骤确保程序能够正常运行，不会锁定内核，加载程序的进程具有正确的权限，并且不会对内核造成任何损害。JIT编译步骤将程序的通用字节码转换为特定于机器的指令，并进行优化以提高执行速度。

eBPF在网络层面和可观测性领域得到了广泛应用，可用于提供对系统调用、数据包和套接字级别的可见性，从而构建基于内核低级上下文的安全解决方案。在服务网格的背景下，eBPF的可编程性和插件模型在网络中特别有用，可用于执行IP路由、数据包过滤和监控等操作，并且具有内核模块的原生速度。

Istio架构的一个缺点是为每个工作负载部署边车，这会导致数据路径变长，性能不够优化。而eBPF的套接字相关程序类型可以过滤、重定向套接字数据并监控套接字事件，有潜力替代基于iptables的流量拦截，从而在不影响数据路径性能的情况下拦截和管理网络流量。

例如，Isovalent的Cilium产品以eBPF为核心技术，通过在Linux内核的各个点注入eBPF程序，实现应用网络、安全和可观测性功能。Cilium在Kubernetes网络中得到了广泛应用，通过绕过iptables，避免了网络过滤器和其他开销，显著提高了网络性能。Istio也创建了一个名为Merbridge的开源项目，用eBPF程序替换iptables，缩短了边车容器和应用容器之间的整体数据路径。

综上所述，eBPF是一项具有变革性的技术，它将可能给服务网格、API网关和网络解决方案的操作方式带来重大变化。通过学习和应用Istio以及了解eBPF等相关技术，我们可以构建更具可扩展性、弹性和安全性的应用程序。

以下是eBPF程序加载的流程图：

graph TD;
    A[用户提交eBPF程序] --> B[BPF库验证程序];
    B -->|验证通过| C[JIT编译程序];
    C --> D[程序加载到内核];
    D --> E[等待钩子或探针触发];
    B -->|验证失败| F[程序加载失败];

通过以上内容，我们可以全面了解如何使用Istio管理应用的弹性和安全，以及eBPF技术在服务网格中的应用和潜力。希望这些信息能帮助你在实际项目中更好地应用这些技术，提升应用的性能和安全性。

Istio应用实践与eBPF技术探索

5. 总结与展望

在前面的内容中，我们详细探讨了Istio在应用实践中的多个方面，包括异常检测与应用弹性管理、应用安全配置、学习资源以及eBPF技术的相关知识。下面我们对这些内容进行总结，并对未来的发展进行一些展望。

5.1 知识总结

方面	关键内容
异常检测与应用弹性管理	定义了 `baseEjectionTime` 、 `consecutive5xxErrors` 、 `interval` 和 `maxEjectionPercent` 等参数，用于管理应用的弹性，确保服务的稳定性。
应用安全配置	包括强制使用mTLS、保护Ingress流量使用HTTPS以及请求认证和授权等方面。通过一系列的策略配置和命令操作，加强了应用的安全性。
学习资源	Istio官方网站是主要的学习资源，此外，Tetrate、Solo.io、The Linux Foundation等组织也提供了丰富的课程和认证。还有一些网站和社区可以帮助我们解决技术问题和进行交流。
eBPF技术	是一种允许在操作系统内核中运行自定义程序的框架，具有可编程性和插件模型的优势。在服务网格中，eBPF有潜力替代基于iptables的流量拦截，提高网络性能。

5.2 未来展望

随着技术的不断发展，Istio和eBPF等相关技术也将不断演进。以下是一些可能的发展趋势：
- 性能优化 ：eBPF技术的应用将进一步优化Istio的性能，减少数据路径的延迟，提高服务的响应速度。
- 功能扩展 ：Istio可能会不断扩展其功能，提供更多的流量管理、安全和可观测性的特性。
- 生态系统整合 ：Istio将与更多的工具和技术进行整合，形成更加完善的生态系统，为开发者提供更多的选择。
- 自动化运维 ：借助工具如OPA Gatekeeper等，实现Istio的自动化运维，减少人工干预，提高运维效率。

6. 实践建议

为了更好地应用Istio和eBPF技术，以下是一些实践建议：
- 深入学习 ：通过官方文档、课程和社区等资源，深入学习Istio和eBPF的原理和使用方法。
- 实践项目 ：在实际项目中应用这些技术，积累经验，提高解决问题的能力。
- 关注社区动态 ：及时了解Istio和eBPF的最新发展动态，参与社区讨论，与其他开发者交流经验。
- 持续优化 ：根据实际应用情况，不断优化配置，提高应用的性能和安全性。

7. 总结

通过对Istio应用实践和eBPF技术的探索，我们了解到Istio是一个强大的服务网格工具，可以帮助我们管理应用的弹性和安全。而eBPF技术则为服务网格的发展带来了新的机遇，有望解决现有架构的一些问题，提高网络性能。

在未来的应用开发中，我们可以结合Istio和eBPF等技术，构建更加可扩展、弹性和安全的应用程序。同时，我们也应该不断学习和探索新的技术，跟上技术发展的步伐，为自己的职业生涯打下坚实的基础。

希望本文能够对你有所帮助，祝你在应用开发的道路上取得成功！

以下是一个简单的实践步骤列表，帮助你快速回顾应用安全配置的关键步骤：
1. 强制使用mTLS
- 应用策略配置文件 Chapter12/security/strictMTLS.yaml
- 使用命令 kubectl apply -f Chapter12/security/strictMTLS.yaml
2. 保护Ingress流量使用HTTPS
- 创建CA、CSR并签署证书
- 将证书和私钥加载为Kubernetes Secret
- 创建Gateway配置并应用
3. 请求认证和授权
- 创建请求认证策略并应用
- 创建授权策略并应用
- 进行测试，验证策略的有效性