Istio 知识图谱
Istio 介绍
Istio 和服务网格
概念原理
Istio
- Istio 概述
- 架构解析
服务网格
- 什么是服务网格
- 服务网格的设计模式
Istio能带来什么
核心功能
- 流量管理
- 安全
- 可观察性
- 平台支持
- 集成和定制
架构
Envoy
API
- MS(Metric 服务)
- RLS(速率限制服务)
xDS
- ADS
- RDS
- EDS
- CDS
- LDS
- SDS
- HDS
扩展 Envoy
Mixer
- Policy
- Telemetry
Pilot
Citadel
Galley
Egress gateway
Ingress gateway
Sidecar injector
Mutable webhook
Sidecar 注入流程
透明拦截
- iptables
- eBPF
Go template
Sidecar 的 ConfigMap 配置
- istio
- istio-sidecar-injector
设计目标
Istio 与同类产品对比
- Istio vs Spring Cloud
- Istio vs Linkerd2
策略与遥测
Mixer
前置检查
配额管理
遥测报告
适配器
可靠性和延迟
属性
- 属性词汇
- 属性表达式
缓存机制(Mixer Cache)
配置模型
处理器(Handler)
实例(Instance)
规则(Rule)
实战
- 使用Denier 适配器实现白黑名单
- 启用速率限制
安全
高级架构
Istio 身份
- Istio 安全与 SPIFFE
PKI
- Kubernetes 方案
- 本地机器方案
- 代理程序代理节点(开发中)
认证
双向 TLS 认证
- 什么是 TLS?
- 安全命名
认证架构
认证策略
- 策略存储范围
- 目标选择器
- 传输认证
- 来源身份认证
- 主认证绑定
更新认证策略
授权和鉴权
授权架构
授权许可模式
启用授权
授权策略
- ServiceRole
- ServiceRoleBinding
使用其他授权机制
多集群部署
多集群服务网格
- Istio-remote
- 多控制平面拓扑
- 单一控制平面拓扑
性能与可伸缩性
微基准测试
- 什么是基准测试?
测试场景
端到端综合基准测试
现实应用程序基准测试
自动化测试
可伸缩性和规模调整指南
日志监控和跟踪
Envoy 和 Mixer
分布式跟踪
OpenTracing
Jaeger
Zipkin
Kiali
监控
- Prometheus
- 配置 Metrics 收集
- 获取 TCP 服务指标
- Grafana 可视化图表展示
- 生成服务图
日志收集
- Fluentd
- 配置日志
- 安装 Fluentd/Elasticsearch/Kibana 套件
流量管理
Pilot 和 Envoy
请求路由
- 服务之间的通讯
- Ingress 和 Egress
服务发现和负载均衡
故障处理
- 微调
- FAQ
故障注入
延时
错误
流量转移
熔断
镜像
规则配置
- 设置请求超时
- A/B 测试
- 灰度发布(金丝雀发布)
- 蓝绿发布
Virtual Service
- 定义
- 规则的目标描述
- HTTP 路由
- TCP 路由
- TLS 路由
- 在服务之间分拆流量
- 超时和重试
- 错误注入
- 跳转和重写
- 跨域资源共享
- 镜像流量
- 添加请求头
- 条件规则
- 多重匹配条件
- 优先级
DestinationRule
- 定义
- 负载均衡
- 连接池
- 健康检查
- 断路器
- TLS
- 规则评估
ServiceEntry
- 定义
Gateway
- 定义
- Gateway vs kubernetes ingress
- Gateway 原理及实现
最佳实践
部署
- Istio Dashboard
- 升级 Istio
- Helm 定制部署 Istio
示例
- 一个请求的完整过程分析
升级维护
- 升级操作步骤
- 升级注意事项
- 无缝升级
故障排查
故障排查指南
常见故障
- no healthy upstream
- upstream connect error or disconnect/reset before headers
