Istio实现sidecar自动注入

最新推荐文章于 2023-05-15 16:36:48 发布
最新推荐文章于 2023-05-15 16:36:48 发布
阅读量100 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: istio linux 云原生 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_40189664/article/details/133040943
本文详细介绍了Istio如何通过kube-apiserver实现Sidecar自动注入,包括原理、配置步骤、示例和自动注入的启用与禁用。通过部署示例和配置修改,展示了如何确保只有特定命名空间的Pod接受自动注入。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Istio实现sidecar自动注入

Sidecar模式

在Sidecar部署方式中,你会为每个应用的容器部署一个伴生容器。对于Service Mesh,Sidecar接管进出应用程序容器的所有网络流量。

Sidecar有利于工作审计,特别是在一些与安全相关的方面。

image.png

原理解析

  • 原理图

image.png

自动注入是通过 kube-apiserver 准入控制实现的。简单来说,istio-sidecar-injector 服务提供一个 webservice 用于提供自动注入服务(该服务使用 istio-sidecar-injector ConfigMap 作为注入配置),而定义在何种情况下 kube-apiserver 需要向 istio-sidecar-injector 服务发送请求进行注入的是 istio-sidecar-injector MutatingAdmissionWebhook。

查看配置

  • 查看现有(默认)istio-sidecar-injector的MutatingAdmissionWebhook配置
kubectldescribe mutatingwebhookconfiguration istio-sidecar-injector

image.png

默认配置只包含istio-injection=enabled标签的命名空间内的pod在创建时才能调用istio-sidecar-injector服务完成自动注入。

单个命名空间设置自动注入

  • 指定demo命名空间设置自动注入
kubectl label namespace demoistio-injection=enabled

image.png

  • 注入结果查看
kubectl getnamespace -L istio-injection

image.png

所有命名空间设置自动注入

  • 修改配置
kubectl edit mutatingwebhookconfiguration istio-sidecar-injector

image.png

修改namespaceSelector配置,如果某个命名空间不想自动注入,则加上istio-injection=disabled标签即可。

测试自动注入

  • 创建一个简单的deployment   
  • vim nginx.yaml
---
apiVersion: apps/v1
kind: Deployment
metadata:
  annotations:
    deployment.kubernetes.io/revision: '1'
    k8s.kuboard.cn/displayName: nginx
    k8s.kuboard.cn/workload: nginx
  generation: 1
  labels:
    k8s.kuboard.cn/layer: ''
    k8s.kuboard.cn/name: nginx
  name: nginx
  namespace: demo
spec:
  progressDeadlineSeconds: 600
  replicas: 1
  revisionHistoryLimit: 10
  selector:
    matchLabels:
      k8s.kuboard.cn/layer: ''
      k8s.kuboard.cn/name: nginx
  template:
    metadata:
      labels:
        k8s.kuboard.cn/layer: ''
        k8s.kuboard.cn/name: nginx
    spec:
      containers:
        - image: nginx:1.19.10-alpine
          imagePullPolicy: IfNotPresent
          name: nginx

 
  • 创建pod
kubectl apply -f nginx.yaml

image.png

image.png

一个pod生成了两个容器,一个为nginx本身容器,另一个就是Sidecar代理容器。

  • 查看pod详情
kubectldescribe po nginx-5bbcd878cf-q2l5s -n demo

image.png

  • 也可以在kuboard中查看到

image.png

自动注入配置成功

Istio实战(十三)-SideCar注入
专注基础架构领域
10-31 558
可以看出,istio默认sidecar注入规则是,namespace带有标签才会注入sidecar。默认情况,是没有设置。
Istio报错「503: UPSTREAM_CONNECT_ERROR」:Sidecar注入与mTLS认证的故障排查
最新发布
shejizuopin的博客
05-15 838
核心治理原则Sidecar注入分级管控fill:#333;color:#333;color:#333;fill:none;默认命名空间自动注入+默认策略敏感命名空间手动注入+严格mTLS测试命名空间禁用注入+DEBUG日志mTLS配置分级策略服务类型认证模式审计要求内部微服务STRICT每月一次证书轮换演练数据库访问STRICT启用双向认证+证书吊销列表外部API调用PERMISSIVE监控未加密流量占比。
istio-sidecar自动注入
xuehen's log
03-24 834
Sidecar 介绍 在Sidecar部署方式中会为每个应用的容器部署一个伴生容器。对于IstioSidecar接管进出应用程序容器的所有网络流量。 使用 Sidecar 模式部署服务网格时,无需在节点上运行代理,但是集群中将运行多个相同的 Sidecar 副本。在 Kubernetes 的 Pod 中,在原有的应用容器旁边运行一个 Sidecar 容器,可以理解为两个容器共享存储、网络等资源,可以广义的将这个注入Sidecar 容器的 Pod 理解为一台主机,两个容器共享主机资源。 Sideca
Istio技术与实践03:最佳实践之sidecar自动注入
weixin_34203832的博客
08-30 369
Istio通过对serviceMesh中的每个pod注入sidecar,来实现无侵入式的服务治理能力。其中,sidecar注入是其能力实现的重要一环(本文主要介绍在kubernetes集群中的注入方式)。sidecar注入有两种方式,一是通过创建webhook资源,利用k8s的webhook能力实现pod的自动注入,二是通过istioctl工具,对yaml文件进行手动注入。在这里对这两种方式进行...
Istio使用【sidecar注入
Happywzy~的博客
12-25 3059
本文使用的版本号:1.4.2 查看默认sidecar配置 kubectl get mutatingwebhookconfiguration istio-sidecar-injector -o yaml | grep "namespaceSelector:" -A5 namespaceSelector: matchLabels: istio-injection: ...
部署Istio,应用接入IstioSidecar注入
小楼一夜听春雨,深巷明朝卖杏花
07-12 2317
查看配置文件的名称,生产环境建议使用default,基本上核心功能都有,minimal是以最小版本去部署的,demo功能多一点,比default多一点。我们这里使用default进行部署安装。下面是查看有哪些配置文件的名称。 在install不指定profile那么默认就是使用default。安装的时候后面可以添加--set-profile=default -y部署完查看结果,部署了两个pod,一个istiod,也就是它的控制平面,ingressgateway是用来接受网格流量的,就类似于nginx-i
Istio自动注入sidecar不成功解决方案.docx
10-26
Istio自动注入sidecar不成功解决方案 Istio 是一个基于Service Mesh架构的微服务管理平台,它提供了自动注入sidecar的功能,以便在Kubernetes集群中快速部署和管理微服务。然而,在实际应用中,Istio自动注入side...
Kubernetes中Istio的应用与部署详解:版本支持、架构图、配置及Sidecar注入
03-24
内容概要:本文档详细介绍了Istio在Kubernetes中的应用,重点讲述了版本支持情况、基于Operator方式的Istio架构、Istio的部署配置步骤及sidecar自动注入的使用。对于不同版本的Istio,提供了支持周期、兼容的...
Istio如何实现自动注入
oneslide
01-12 989
当命名空间激活istio注入功能时,比如部署一个deployment,会发现业务容器旁多了一个sidecar容器。 istio是如何实现这一点的呢?使用的是Admission Controllers中的两个特殊的控制器:MutatingAdmissionWebhook 和ValidatingAdmissionWebhook AdmissionController 会在客户端请求经过认证授权验证后,在对象持久化到etcd之前拦截请求。 参考:https://kubernetes.io/docs/referen
Istio # Sidecar
来啊 快活啊
08-18 621
Istio Sidecar自动注入原理-Kubernetes webhook扩展机制解析
开启Istio-sidecar注入
ᠮᠤᠷᠢᠨ ᠬᠤᠭᠤᠷ
06-11 349
通过修改namespace实现自动注入 kubectl label namespaces auto istio-injection=enabled kubectl edit namespace auto
Istio-sidecar注入原理
a1023934860的博客
10-18 709
Istio的一个亮点就是为每个应用自动添加代理程序,并且采用无代码侵入的方式,这样的好处是,代理与应用进行解耦。
一种灵活注入 Istio Sidecar 的方案探索
weixin_43507410的博客
06-13 745
我们团队对 Istio 进行相关研究与探索,并在生产环境进行了相应的应用,初期我们使用 Istio 主要做产品的灰度发布,同时我们团队也有相关研发人员基于 Istio,进行生产环境业务流量管理及可观测性追踪的研究。在做 Istio 灰度发布的实践中,遇到的第一个问题就是怎么在已经大规模部署产品的 Kubernetes 集群里,选择性的注入 Sidecar。下面详细的介绍下我们遇到的问题以及解决思路,供大家参考。我们知道如果想把一个服务纳入 Istio 的网格中,需要在 pod 中注入 Sidecar 进行流
一步一步教你写kubernetes sidecar
大叶子不小的博客
05-15 1164
sidecar,直译为边车。如上图所示,边车就是加装在摩托车旁来达到拓展功能的目的,比如行驶更加稳定,可以拉更多的人和货物,坐在边车上的人可以给驾驶员指路等。边车模式通过给应用服务加装一个“边车”来达到控制和逻辑的分离的目的。对于微服务来讲,我们可以用边车模式来做诸如 日志收集、服务注册、服务发现、限流、鉴权等不需要业务服务实现的控制面板能力。通常和边车模式比较的就是像那样的sdk模式,像上面提到的这些能力都通过sdk实现
Kubersphere平台中开启 Istio自动注入
qq_36200932的博客
02-24 1378
Kubersphere平台中开启 Istio自动注入
Istio sidecar 自动注入原理、开启全局注入(在所有命名空间自动注入
shida's blog
05-31 7505
一、背景介绍 Istio 作为重要的 ServiceMesh 框架,已经被越来越多的公司所使用。在 Istio 体系中,应用容器的出入流量都需要经过 Sidecar 的拦截和处理。默认地,Istio sidecar 自动注入是通过给 namespace 打 istio-injection=enabled 或 istio-injection=disabled 标签,来确定是否在该命名空间执行自动注入...
istio-禁用/允许sidecar设置
kozazyh的专栏
08-05 6034
一、在namespace设置自动注入: 给 default 命名空间设置标签:istio-injection=enabled: $ kubectl label namespace default istio-injection=enabled $ kubectl get namespace -L istio-injection NAME           STATUS    AGE    ...
Istio 1.11.2 底层自动注入流程
baobaoxiannv的博客
02-08 1558
自动注入流程 简单说下 正式开始之前简单说一下 webhook,这样对以下理解更方便一些。 准入控制器也就是 webhook 会拦截 API Server 收到的请求,拦截发生在认证和鉴权完成之后,对象进行持久化之前(这个时候可以修改 pod 模版完成自动注入)。可以定义两种类型的 webhook: Mutating 和 Validating Mutating 修改资源,可以对请求内容进行修改 Validating 验证资源,根据请求的内容判断是继续执行该请求还是拒绝该请求 实现流程 pkg/kub
Istio Service Mesh实战:自动注入Sidecar配置解析
默认情况下,Istio安装可能已经启用了自动注入,这意味着未明确指定的命名空间可能会自动注入Sidecar。 在实战中,可以通过以下步骤测试自动注入功能: - 创建两个命名空间,一个标记为`istio-injection=enabled`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

弧襪

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值