Istio整体架构解析

本文涉及的产品
全局流量管理 GTM,标准版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
云解析 DNS,旗舰版 1个月
简介: 【7月更文挑战第17天】Istio整体架构分为数据平面(Data Plane)和控制平面(Control Plane)两部分

Istio在微服务之间建立连接,接管通信功能,对业务微服务屏蔽通信细节,同时通过流量控制、策略控制、遥测统计、Istio安全机制等对微服务进行监控和管理,使得微服务架构更加健壮、安全和易扩展。Istio整体架构分为数据平面(Data Plane)和控制平面(Control Plane)两部分。


一、数据平面

数据平面除了负责实际流量转发工作的数据转发代理服务istio/proxy之外,还有几个关键组件:pilot-agent负责转发代理的启动和生命周期管理,istio-init负责流量透明拦截的配置,pilot-agent、istio-init和转发代理一同部署,共同为业务流量转发保驾护航。

  • istio/proxy

istio/proxy是Istio在Envoy官方源码基础上的扩展实现,除了包括Envoy的全部功能外,还包括了一些扩展支持,Istio扩展通过Envoy过滤器插件的方式提供,当前主要扩展是Mixer客户端的支持。

  • pilot-agent

pilot-agent是一个本地代理,负责管理istio/proxy服务的整个生命周期。具体包括istio/proxy准备启动参数和配置文件,负责管理istio/proxy的启动过程,istio/proxy启动后的运行状态监控。当监控到istio/proxy运行状态不正常时,pilot-agent负责将istio/proxy重新调整到正常状态,调整策略具体包括重启或者调度到其他节点运行等。

pilot-agent和istio/proxy均会启动相应的HTTP管理端口,供外界查询当前的运行状态,如果运行状态不符合预期时,可以采取相应的控制策略。

  • istio-init

istio-init负责业务微服务的流量透明拦截,通过配置相应的流量拦截策略,可以将业务服务的所有出入流量转发到本地的数据平面代理节点处理。Istio当前使用Iptables作为默认的流量拦截策略,istio-init通过istio-iptables.sh拦截配置,配置相应的Iptables规则,完成具体的流量拦截操作。

  • node-agent

Istio为了实现不同节点之间的安全通信,通信一般是通过TLS的方式进行。为了完成TLS通信,数据平面代理节点需要获取证书和密钥相关的信息。node-agent就是负责证书和密钥等安全信息的获取,和istio/proxy、pilot-agent以及istio-init的Pod级别的部署方式不同,node-agent当前采用Kubernetes Node级别的部署方式,每个Node上部署一个node-agent。

node-agent作为代理服务,接收数据平面代理节点的证书请求,转换成控制平面需要的格式,请求控制平面的证书管理服务,完成证书和密钥的获取和下发。

二、控制平面

控制平面中,istio-telemetry提供可观测性支持,基于istio-telemetry可以掌控整个Istio集群当前的运行状态;istio-pilot和istio-policy分别负责流量控制和策略控制,观测到运行状态不符合预期时,可以通过istio-pilot对流量和路由转发进行控制与调整,通过istio-policy可以灵活动态地引入新的基础设施,对Istio运行进行精细化控制。

  • istio-pilot

istio-pilot负责Istio数据平面的XDS配置管理,具体包括:①流量管理和服务发现配置等,通过提供通用的流量管理模型和服务发现模型,对接不同的平台适配层;②提供统一的XDS API,供Envoy服务调用。

部署上,通过Kubernetes Service istio-pilot对外提供服务,可以配置为1到多个副本。Istio当前支持多集群模式,istio-pilot不仅可以负责当前Istio集群的XDS配置管理,同时可以支持其他Istio集群以远程的方式和istio-pilot进行交互。

  • sidecar-injector

sidecar-injector负责数据平面代理Sidecar的注入,通过Sidecar的透明注入支持,可以减少Istio部署和运维上的复杂度,对Istio的大规模开展有着非常重要的意义。

  • istio-telemetry和istio-policy

istio-telemetry和istio-policy均属于Mixer服务,分别负责遥测统计和策略控制工作。这两个服务的代码和二进制文件完全一样,之所以分开部署,是因为遥测统计和策略控制是两个差异很大的功能特性,分开部署方便采用不同的配置和管控方式,也可通过部署隔离避免相互之间的影响。

  • istio-catedal

istio-catedal属于通信安全,负责安全证书的管理和发放,istio-catedal并不是唯一的证书管理方式,Istio当前支持Catedal、Vault和Google等多种证书管理方式,Catedal是当前默认的证书管理方式。当采用其他证书管理方式时,不需要部署istio-catedal,比如使用Vault时就不再需要部署istio-catedal,相反则需要使用Vault对应的证书服务器。

  • istio-galley

istio-galley是Istio1.1新引入的配置管理框架,在引入Galley之前,Istio控制平面的各个组件需要分别对Kubernetes资源进行管理,包括资源的配置验证,监控资源配置变化,并针对配置变更采取相应的处理等。


为了减少Istio不同组件配置管理方面的重复工作,Istio将配置管理相关的工作抽象出一个单独的组件Galley,后续其他Istio组件不再需要单独和各种平台上的资源直接打交道,而是使用简易的接口和Galley进行交互,由Galley负责配置验证、配置变更管理、配置源管理、多平台适配等工作。

相关文章
|
16天前
|
运维 监控 持续交付
微服务架构解析:跨越传统架构的技术革命
微服务架构(Microservices Architecture)是一种软件架构风格,它将一个大型的单体应用拆分为多个小而独立的服务,每个服务都可以独立开发、部署和扩展。
140 36
微服务架构解析:跨越传统架构的技术革命
|
21天前
|
存储 Linux API
深入探索Android系统架构:从内核到应用层的全面解析
本文旨在为读者提供一份详尽的Android系统架构分析,从底层的Linux内核到顶层的应用程序框架。我们将探讨Android系统的模块化设计、各层之间的交互机制以及它们如何共同协作以支持丰富多样的应用生态。通过本篇文章,开发者和爱好者可以更深入理解Android平台的工作原理,从而优化开发流程和提升应用性能。
|
23天前
|
弹性计算 持续交付 API
构建高效后端服务:微服务架构的深度解析与实践
在当今快速发展的软件行业中,构建高效、可扩展且易于维护的后端服务是每个技术团队的追求。本文将深入探讨微服务架构的核心概念、设计原则及其在实际项目中的应用,通过具体案例分析,展示如何利用微服务架构解决传统单体应用面临的挑战,提升系统的灵活性和响应速度。我们将从微服务的拆分策略、通信机制、服务发现、配置管理、以及持续集成/持续部署(CI/CD)等方面进行全面剖析,旨在为读者提供一套实用的微服务实施指南。
|
22天前
|
SQL 数据可视化 数据库
多维度解析低代码:从技术架构到插件生态
本文深入解析低代码平台,从技术架构到插件生态,探讨其在企业数字化转型中的作用。低代码平台通过图形化界面和模块化设计降低开发门槛,加速应用开发与部署,提高市场响应速度。文章重点分析开源低代码平台的优势,如透明架构、兼容性与扩展性、可定制化开发等,并详细介绍了核心技术架构、数据处理与功能模块、插件生态及数据可视化等方面,展示了低代码平台如何支持企业在数字化转型中实现更高灵活性和创新。
44 1
|
22天前
|
SQL 数据可视化 数据库
多维度解析低代码:从技术架构到插件生态
本文深入解析低代码平台,涵盖技术架构、插件生态及应用价值。重点介绍开源低代码平台的优势,如透明架构、兼容性与扩展性、可定制化开发,以及其在数据处理、功能模块、插件生态等方面的技术特点。文章还探讨了低代码平台的安全性、权限管理及未来技术趋势,强调其在企业数字化转型中的重要作用。
36 1
|
1月前
|
监控 安全 Cloud Native
云原生安全:Istio在微服务架构中的安全策略与实践
【10月更文挑战第26天】随着云计算的发展,云原生架构成为企业数字化转型的关键。微服务作为其核心组件,虽具备灵活性和可扩展性,但也带来安全挑战。Istio作为开源服务网格,通过双向TLS加密、细粒度访问控制和强大的审计监控功能,有效保障微服务间的通信安全,成为云原生安全的重要工具。
49 2
|
2月前
|
Kubernetes 安全 微服务
使用 Istio 缓解电信 5G IoT 微服务 Pod 架构的安全挑战
使用 Istio 缓解电信 5G IoT 微服务 Pod 架构的安全挑战
63 8
|
2月前
|
Kubernetes 负载均衡 安全
Istio在微服务中释放服务网格的力量
Istio在微服务中释放服务网格的力量
67 4
|
4月前
|
负载均衡 监控 安全
Istio:微服务治理的超级英雄,一键解锁你的服务网格超能力,让管理复杂变简单!
【8月更文挑战第31天】随着云原生技术的发展,微服务架构成为主流,但其复杂性与管理难题也随之增加。Istio作为开源服务网格平台,通过独特的数据平面和控制平面设计,实现了微服务通信的透明管理,简化了治理复杂度。本文将对比Istio与传统微服务管理方法,详细介绍Istio的架构及其工作原理,包括Envoy代理、服务发现、负载均衡、流量管理、安全认证以及监控等功能。Istio不仅简化了微服务治理,还提供了强大的流量控制和安全机制,使开发者能更高效地管理应用。
100 2
|
4月前
|
开发者 项目管理 开发工具
震惊!单人开发者如何成功过渡到团队协作?Xamarin 项目管理经验大揭秘,让你的开发之路一帆风顺!
【8月更文挑战第31天】Xamarin 是移动应用开发领域的热门跨平台工具,适用于个人开发者及团队。个人开发时需明确需求、运用版本控制(如 Git)并合理规划项目结构以增强代码可维护性。团队协作时,则需建立有效沟通渠道、统一代码规范、严格版本控制及合理分配任务,以提升开发效率与项目质量。
70 1

推荐镜像

更多