19、Istio 控制平面组件与部署策略解析

Istio 控制平面组件与部署策略解析

1. Mixer 遥测与 Citadel 组件概述

1.1 Mixer 遥测

Mixer 遥测没有特殊的考虑因素，不过它采用懒加载运行时配置的方式，这可能会导致前几个报告请求出现很高的延迟。但由于报告是异步的，且与流量分离，所以不会导致用户流量变慢。

1.2 Citadel 组件

Citadel 负责服务网格中的身份颁发和轮换。当 Citadel 不可用时，在证书开始过期之前不会有异常。证书过期后，网格内的通信将无法建立。在 Citadel 故障期间，现有流量仍可继续，但新工作负载无法通信，若工作负载的证书过期且无法与 Citadel 通信，新连接将无法建立。当在 Istio 控制平面组件中使用 mTLS（默认安装设置）时，其他控制平面组件的启动依赖于 Citadel 的启动，因为 Citadel 需要为每个控制平面组件创建身份后才允许通信。

1.2.1 与配置存储分区

和其他组件一样，当 Citadel 无法访问其配置存储时，会继续以当前状态提供服务。与大多数其他控制平面组件不同，Citadel 从 Galley 获取的配置较少，而是更紧密地耦合到其环境配置源（特别是 Kubernetes API 服务器），用于发现要为其创建证书的身份集。当这些身份源不可用时，Citadel 无法为新工作负载创建证书，也可能无法为现有工作负载轮换证书。

1.2.2 与其他 Istio 组件分区

从 Citadel 的角度来看，其他 Istio 组件就像普通的网格工作负载，没有特殊的控制平面组件。

1.2.3 与网格工作