- 文档
- OpenShift 容器平台
- 服务网格
- 服务网格 2.x
- 理解服务网格 history bug_report picture_as_pdf
OpenShift 文档正在迁移,不久后将仅在docs.redhat.com(所有 Red Hat 产品文档的所在地)提供。立即体验新的文档体验。
- 关于
- 发行说明
- 入门
- 架构
- 脱网环境
- 安装
- 安装概述
- 在阿里云上安装
- 在 AWS 上安装
- 在 Azure 上安装
- 在 Azure Stack Hub 上安装
- 在 GCP 上安装
- 准备在 GCP 上安装
- 配置 GCP 项目
- 快速在 GCP 上安装集群
- 使用自定义配置在 GCP 上安装集群
- 使用网络自定义配置在 GCP 上安装集群
- 在 GCP 的受限网络中安装集群
- 将集群安装到 GCP 中的现有 VPC 中
- 将集群安装到 GCP 中的共享 VPC 中
- 在 GCP 上安装私有集群
- 使用 Deployment Manager 模板在 GCP 上安装集群
- 使用 Deployment Manager 模板将集群安装到 GCP 中的共享 VPC 中
- 在受限网络中使用用户预配的基础设施在 GCP 上安装集群
- 在 GCP 上安装三节点集群
- GCP 的安装配置参数
- 卸载 GCP 上的集群
- 安装支持配置多架构计算机的 GCP 集群
- 在 IBM Cloud 上安装
- 在 Nutanix 上安装
- 使用辅助安装程序进行本地安装
- 使用基于代理的安装程序安装本地集群
- 在单节点上安装
- 在裸机上安装
- 在裸机上部署安装程序预配的集群
- 在 IBM Cloud(经典版)上安装
- 在 IBM Z 和 IBM LinuxONE 上安装
- 在 IBM Power 上安装
- 在 IBM Power 虚拟服务器上安装
- 在 OpenStack 上安装
- 准备在 OpenStack 上安装
- 准备安装在 OpenStack 上使用 SR-IOV 或 OVS-DPDK 的集群
- 使用自定义设置在 OpenStack 上安装集群
- 在您自己的基础设施上的 OpenStack 上安装集群
- 在受限网络上的 OpenStack 上安装集群
- 在 OpenStack 上安装三节点集群
- 安装 OpenStack 后配置网络设置
- OpenStack 云控制器管理器参考指南
- 在 OpenStack 上使用本地磁盘上的 rootVolume 和 etcd 部署
- 卸载 OpenStack 上的集群
- 从您自己的基础设施卸载 OpenStack 上的集群
- OpenStack 的安装配置参数
- 在 OCI 上安装
- 在 VMware vSphere 上安装
- 在任何平台上安装
- 安装配置
- 验证和故障排除
- 安装后配置
- 安装后配置概述
- 配置私有集群
- 在 OpenShift 集群上配置多架构计算机器
- 关于具有多架构计算机的集群
- 在 Azure 上创建具有多架构计算机的集群
- 在 AWS 上创建具有多架构计算机的集群
- 在 GCP 上创建具有多架构计算机的集群
- 在裸机、IBM Power 或 IBM Z 上创建具有多架构计算机的集群
- 在使用 z/VM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 LPAR 中在 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 IBM Z 和 IBM LinuxONE 上使用 RHEL KVM 创建具有多架构计算机的集群
- 在 IBM Power 上创建具有多架构计算机的集群
- 使用多架构计算机器管理您的集群
- 使用多架构调整运算符管理多架构集群上的工作负载
- 多架构调整运算符发行说明
- 集群任务
- 节点任务
- 安装后网络配置
- 配置镜像流和镜像注册表
- 存储配置
- 为用户做准备
- 更改云提供商凭据配置
- 配置警报通知
- 将已连接集群转换为脱网集群
- 更新集群
- 支持
- Web 控制台
- CLI 工具
- 安全和合规性
- 安全和合规性概述
- 容器安全
- 配置证书
- 证书类型和描述
- 合规性运算符
- 文件完整性运算符
- 安全配置文件运算符
- NBDE Tang 服务器运算符
- 适用于 Red Hat OpenShift 的 cert-manager 运算符
- Red Hat OpenShift 的 cert-manager 运算符概述
- Red Hat OpenShift 的 cert-manager 运算符发行说明
- 安装 Red Hat OpenShift 的 cert-manager 运算符
- 配置出站代理
- 使用 cert-manager 运算符 API 字段自定义 cert-manager
- 验证 Red Hat OpenShift 的 cert-manager 运算符
- 配置 ACME 发行者
- 使用发行者配置证书
- 使用 Red Hat OpenShift 的 cert-manager 运算符保护路由
- 监控 Red Hat OpenShift 的 cert-manager 运算符
- 配置 cert-manager 和 Red Hat OpenShift 的 cert-manager 运算符的日志级别
- 卸载 Red Hat OpenShift 的 cert-manager 运算符
- 查看审计日志
- 配置审计日志策略
- 配置 TLS 安全配置文件
- 配置 seccomp 配置文件
- 允许来自其他主机的基于 JavaScript 的 API 服务器访问
- 加密 etcd 数据
- 扫描 Pod 中的漏洞
- 基于网络的磁盘加密 (NBDE)
- 身份验证和授权
- 网络
- 关于网络
- 了解网络
- 零信任网络
- 访问主机
- 网络仪表板
- 网络运算符
- 网络安全
- 为手动 DNS 管理配置 Ingress 控制器
- 验证与端点的连接
- 更改集群网络 MTU
- 配置节点端口服务范围
- 配置集群网络 IP 地址范围
- 配置 IP 故障转移
- 使用调整插件配置系统控件和接口属性
- 使用流控制传输协议
- 使用精密时间协议硬件
- CIDR 范围定义
- 多个网络
- 硬件网络
- OVN-Kubernetes网络插件
- 配置路由
- 配置入口集群流量
- Kubernetes NMState
- 配置集群范围代理
- 配置自定义PKI
- OpenStack上的负载均衡
- 使用MetalLB进行负载均衡
- 将辅助接口指标与网络连接关联
- 存储
- 存储概述
- 了解临时存储
- 了解持久性存储
- 配置持久性存储
- 使用容器存储接口(CSI)
- 配置CSI卷
- CSI内联临时卷
- 共享资源CSI驱动程序操作符
- CSI卷快照
- CSI卷克隆
- 管理默认存储类
- CSI自动迁移
- 非正常关机后分离CSI卷
- AWS Elastic Block Store CSI驱动程序操作符
- AWS Elastic File Service CSI驱动程序操作符
- Azure Disk CSI驱动程序操作符
- Azure File CSI驱动程序操作符
- Azure Stack Hub CSI驱动程序操作符
- GCP PD CSI驱动程序操作符
- GCP Filestore CSI驱动程序操作符
- IBM Cloud块存储(VPC) CSI驱动程序操作符
- IBM Power虚拟服务器块存储CSI驱动程序操作符
- OpenStack Cinder CSI驱动程序操作符
- OpenStack Manila CSI驱动程序操作符
- Secrets Store CSI驱动程序操作符
- CIFS/SMB CSI驱动程序操作符
- VMware vSphere CSI驱动程序操作符
- 通用临时卷
- 扩展持久卷
- 动态配置
- 注册表
- 操作符
- 操作符概述
- 了解操作符
- 用户任务
- 管理员任务
- 开发操作符
- 集群操作员参考
- OLM v1(技术预览)
- 扩展
- CI/CD
- 镜像
- 构建应用程序
- 无服务器
- 机器配置
- 机器管理
- 托管控制平面
- 节点
- 节点概述
- 使用 Pod
- 使用自定义指标自动缩放器运算符自动缩放 Pod
- 控制 Pod 到节点的放置(调度)
- 使用作业和守护程序集
- 使用节点
- 使用容器
- 使用集群
- 网络边缘上的远程工作节点
- 单节点 OpenShift 集群的工作节点
- 节点指标仪表板
- 使用 sigstore 管理安全签名
- OpenShift 的 Windows 容器支持
- OpenShift 沙箱容器
- 可观察性
- 可扩展性和性能
- 边缘计算
- 网络远边缘的挑战
- 准备用于 ZTP 的中心集群
- 更新 GitOps ZTP
- 使用 RHACM 和 SiteConfig 资源安装托管集群
- 使用 GitOps ZTP 手动安装单节点 OpenShift 集群
- 推荐用于 vDU 应用程序工作负载的单节点 OpenShift 集群配置
- 验证 vDU 应用程序工作负载的集群调优
- 使用 SiteConfig 资源进行高级托管集群配置
- 使用 PolicyGenerator 资源管理集群策略
- 使用 PolicyGenTemplate 资源管理集群策略
- 在 PolicyGenerator 或 PolicyGenTemplate CR 中使用 Hub 模板
- 使用拓扑感知生命周期管理器更新托管集群
- 使用 GitOps ZTP 扩展单节点 OpenShift 集群
- 为单节点 OpenShift 部署预缓存镜像
- 单节点 OpenShift 集群的基于镜像的升级
- 单节点 OpenShift 的基于镜像的安装
- 电信核心 CNF 集群的日常运维
- 专用硬件和驱动程序启用
- 硬件加速器
- 备份和恢复
- 从版本 3 迁移到 4
- 容器迁移工具包
- API 参考
- API 概述
- 常用对象参考
- 授权 API
- 关于授权 API
- LocalResourceAccessReview [authorization.openshift.io/v1]
- LocalSubjectAccessReview [authorization.openshift.io/v1]
- ResourceAccessReview [authorization.openshift.io/v1]
- SelfSubjectRulesReview [authorization.openshift.io/v1]
- SubjectAccessReview [authorization.openshift.io/v1]
- SubjectRulesReview [authorization.openshift.io/v1]
- SelfSubjectReview [authentication.k8s.io/v1]
- TokenRequest [authentication.k8s.io/v1]
- TokenReview [authentication.k8s.io/v1]
- LocalSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectRulesReview [authorization.k8s.io/v1]
- SubjectAccessReview [authorization.k8s.io/v1]
- 自动伸缩 API
- 集群 API
- 配置 API
- 关于配置 API
- APIServer [config.openshift.io/v1]
- Authentication [config.openshift.io/v1]
- Build [config.openshift.io/v1]
- ClusterOperator [config.openshift.io/v1]
- ClusterVersion [config.openshift.io/v1]
- Console [config.openshift.io/v1]
- DNS [config.openshift.io/v1]
- FeatureGate [config.openshift.io/v1]
- HelmChartRepository [helm.openshift.io/v1beta1]
- Image [config.openshift.io/v1]
- ImageDigestMirrorSet [config.openshift.io/v1]
- ImageContentPolicy [config.openshift.io/v1]
- ImageTagMirrorSet [config.openshift.io/v1]
- Infrastructure [config.openshift.io/v1]
- Ingress [config.openshift.io/v1]
- Network [config.openshift.io/v1]
- Node [config.openshift.io/v1]
- OAuth [config.openshift.io/v1]
- OperatorHub [config.openshift.io/v1]
- Project [config.openshift.io/v1]
- ProjectHelmChartRepository [helm.openshift.io/v1beta1]
- Proxy [config.openshift.io/v1]
- Scheduler [config.openshift.io/v1]
- 控制台 API
- 关于控制台 API
- ConsoleCLIDownload [console.openshift.io/v1]
- ConsoleExternalLogLink [console.openshift.io/v1]
- ConsoleLink [console.openshift.io/v1]
- ConsoleNotification [console.openshift.io/v1]
- ConsolePlugin [console.openshift.io/v1]
- ConsoleQuickStart [console.openshift.io/v1]
- ConsoleSample [console.openshift.io/v1]
- ConsoleYAMLSample [console.openshift.io/v1]
- 扩展 API
- 关于扩展 API
- APIService [apiregistration.k8s.io/v1]
- CustomResourceDefinition [apiextensions.k8s.io/v1]
- MutatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicy [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicyBinding [admissionregistration.k8s.io/v1]
- ValidatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- 镜像 API
- 关于镜像 API
- Image [image.openshift.io/v1]
- ImageSignature [image.openshift.io/v1]
- ImageStreamImage [image.openshift.io/v1]
- ImageStreamImport [image.openshift.io/v1]
- ImageStreamLayers [image.openshift.io/v1]
- ImageStreamMapping [image.openshift.io/v1]
- ImageStream [image.openshift.io/v1]
- ImageStreamTag [image.openshift.io/v1]
- ImageTag [image.openshift.io/v1]
- SecretList [image.openshift.io/v1]
- 机器 API
- 关于机器 API
- ContainerRuntimeConfig [machineconfiguration.openshift.io/v1]
- ControllerConfig [machineconfiguration.openshift.io/v1]
- ControlPlaneMachineSet [machine.openshift.io/v1]
- KubeletConfig [machineconfiguration.openshift.io/v1]
- MachineConfig [machineconfiguration.openshift.io/v1]
- MachineConfigPool [machineconfiguration.openshift.io/v1]
- MachineHealthCheck [machine.openshift.io/v1beta1]
- Machine [machine.openshift.io/v1beta1]
- MachineSet [machine.openshift.io/v1beta1]
- 元数据 API
- 监控 API
- 关于监控 API
- Alertmanager [monitoring.coreos.com/v1]
- AlertmanagerConfig [monitoring.coreos.com/v1beta1]
- AlertRelabelConfig [monitoring.openshift.io/v1]
- AlertingRule [monitoring.openshift.io/v1]
- PodMonitor [monitoring.coreos.com/v1]
- Probe [monitoring.coreos.com/v1]
- Prometheus [monitoring.coreos.com/v1]
- PrometheusRule [monitoring.coreos.com/v1]
- ServiceMonitor [monitoring.coreos.com/v1]
- ThanosRuler [monitoring.coreos.com/v1]
- NodeMetrics [metrics.k8s.io/v1beta1]
- PodMetrics [metrics.k8s.io/v1beta1]
- 网络 API
- 关于网络 API
- AdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- AdminPolicyBasedExternalRoute [k8s.ovn.org/v1]
- BaselineAdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- CloudPrivateIPConfig [cloud.network.openshift.io/v1]
- EgressFirewall [k8s.ovn.org/v1]
- EgressIP [k8s.ovn.org/v1]
- EgressQoS [k8s.ovn.org/v1]
- EgressService [k8s.ovn.org/v1]
- Endpoints [undefined/v1]
- EndpointSlice [discovery.k8s.io/v1]
- EgressRouter [network.operator.openshift.io/v1]
- Ingress [networking.k8s.io/v1]
- IngressClass [networking.k8s.io/v1]
- IPPool [whereabouts.cni.cncf.io/v1alpha1]
- MultiNetworkPolicy [k8s.cni.cncf.io/v1beta1]
- NetworkAttachmentDefinition [k8s.cni.cncf.io/v1]
- NetworkPolicy [networking.k8s.io/v1]
- OverlappingRangeIPReservation [whereabouts.cni.cncf.io/v1alpha1]
- PodNetworkConnectivityCheck [controlplane.operator.openshift.io/v1alpha1]
- Route [route.openshift.io/v1]
- Service [undefined/v1]
- 节点 API
- OAuth API
- Operator API
- 关于 Operator API
- Authentication [operator.openshift.io/v1]
- CloudCredential [operator.openshift.io/v1]
- ClusterCSIDriver [operator.openshift.io/v1]
- Console [operator.openshift.io/v1]
- Config [operator.openshift.io/v1]
- Config [imageregistry.operator.openshift.io/v1]
- Config [samples.operator.openshift.io/v1]
- CSISnapshotController [operator.openshift.io/v1]
- DNS [operator.openshift.io/v1]
- DNSRecord [ingress.operator.openshift.io/v1]
- Etcd [operator.openshift.io/v1]
- ImageContentSourcePolicy [operator.openshift.io/v1alpha1]
- ImagePruner [imageregistry.operator.openshift.io/v1]
- IngressController [operator.openshift.io/v1]
- InsightsOperator [operator.openshift.io/v1]
- KubeAPIServer [operator.openshift.io/v1]
- KubeControllerManager [operator.openshift.io/v1]
- KubeScheduler [operator.openshift.io/v1]
- KubeStorageVersionMigrator [operator.openshift.io/v1]
- MachineConfiguration [operator.openshift.io/v1]
- Network [operator.openshift.io/v1]
- OpenShiftAPIServer [operator.openshift.io/v1]
- OpenShiftControllerManager [operator.openshift.io/v1]
- OperatorPKI [network.operator.openshift.io/v1]
- ServiceCA [operator.openshift.io/v1]
- Storage [operator.openshift.io/v1]
- OperatorHub API
- 关于 OperatorHub API
- CatalogSource [operators.coreos.com/v1alpha1]
- ClusterServiceVersion [operators.coreos.com/v1alpha1]
- InstallPlan [operators.coreos.com/v1alpha1]
- OLMConfig [operators.coreos.com/v1]
- Operator [operators.coreos.com/v1]
- OperatorCondition [operators.coreos.com/v2]
- OperatorGroup [operators.coreos.com/v1]
- PackageManifest [packages.operators.coreos.com/v1]
- Subscription [operators.coreos.com/v1alpha1]
- 策略 API
- 项目 API
- 供应 API
- 关于供应 API
- BMCEventSubscription [metal3.io/v1alpha1]
- BareMetalHost [metal3.io/v1alpha1]
- DataImage [metal3.io/v1alpha1]
- FirmwareSchema [metal3.io/v1alpha1]
- HardwareData [metal3.io/v1alpha1]
- HostFirmwareComponents [metal3.io/v1alpha1]
- HostFirmwareSettings [metal3.io/v1alpha1]
- Metal3修复 [infrastructure.cluster.x-k8s.io/v1beta1]
- Metal3修复模板 [infrastructure.cluster.x-k8s.io/v1beta1]
- 预配置镜像 [metal3.io/v1alpha1]
- 配置 [metal3.io/v1alpha1]
- RBAC API
- 角色API
- 调度和配额API
- 安全API
- 关于安全API
- CertificateSigningRequest [certificates.k8s.io/v1]
- CredentialsRequest [cloudcredential.openshift.io/v1]
- PodSecurityPolicyReview [security.openshift.io/v1]
- PodSecurityPolicySelfSubjectReview [security.openshift.io/v1]
- PodSecurityPolicySubjectReview [security.openshift.io/v1]
- RangeAllocation [security.openshift.io/v1]
- Secret [未定义/v1]
- SecurityContextConstraints [security.openshift.io/v1]
- ServiceAccount [未定义/v1]
- 存储API
- 关于存储API
- CSIDriver [storage.k8s.io/v1]
- CSINode [storage.k8s.io/v1]
- CSIStorageCapacity [storage.k8s.io/v1]
- PersistentVolume [未定义/v1]
- PersistentVolumeClaim [未定义/v1]
- StorageClass [storage.k8s.io/v1]
- StorageState [migration.k8s.io/v1alpha1]
- StorageVersionMigration [migration.k8s.io/v1alpha1]
- VolumeAttachment [storage.k8s.io/v1]
- VolumeSnapshot [snapshot.storage.k8s.io/v1]
- VolumeSnapshotClass [snapshot.storage.k8s.io/v1]
- VolumeSnapshotContent [snapshot.storage.k8s.io/v1]
- 模板API
- 用户和组API
- 工作负载API
- 关于工作负载API
- BuildConfig [build.openshift.io/v1]
- Build [build.openshift.io/v1]
- BuildLog [build.openshift.io/v1]
- BuildRequest [build.openshift.io/v1]
- CronJob [batch/v1]
- DaemonSet [apps/v1]
- Deployment [apps/v1]
- DeploymentConfig [apps.openshift.io/v1]
- DeploymentConfigRollback [apps.openshift.io/v1]
- DeploymentLog [apps.openshift.io/v1]
- DeploymentRequest [apps.openshift.io/v1]
- Job [batch/v1]
- Pod [未定义/v1]
- ReplicationController [未定义/v1]
- ReplicaSet [apps/v1]
- StatefulSet [apps/v1]
- Lightspeed
- 服务网格
- 服务网格3.x
- 服务网格2.x
- 关于OpenShift服务网格
- 服务网格2.x发行说明
- 升级服务网格
- 理解服务网格
- 服务网格部署模型
- 服务网格和Istio的区别
- 准备安装服务网格
- 安装Operators
- 创建ServiceMeshControlPlane
- 将服务添加到服务网格
- 启用Sidecar注入
- 管理用户和配置文件
- 安全
- 流量管理
- 网关迁移
- 路由迁移
- 指标、日志和追踪
- 性能和可扩展性
- 部署到生产环境
- 联邦
- 扩展
- OpenShift服务网格控制台插件
- 2.1版本的3scale WebAssembly
- 2.0版本的3scale Istio适配器
- 服务网格故障排除
- 控制平面配置参考
- Kiali配置参考
- Jaeger配置参考
- 卸载服务网格
- 服务网格1.x
- 虚拟化
×
理解服务网格
Red Hat OpenShift Service Mesh提供了一个平台,用于对服务网格中的联网微服务进行行为洞察和操作控制。使用Red Hat OpenShift Service Mesh,您可以连接、保护和监控OpenShift Container Platform环境中的微服务。
什么是Red Hat OpenShift Service Mesh?
服务网格是在分布式微服务架构中构成应用程序的微服务网络以及这些微服务之间的交互。当服务网格的规模和复杂性增加时,理解和管理它可能会变得更加困难。
基于开源Istio项目,Red Hat OpenShift Service Mesh在现有分布式应用程序上添加了一个透明层,无需更改服务代码。您可以通过将特殊的sidecar代理部署到网格中相关的服务来添加Red Hat OpenShift Service Mesh支持,该代理会拦截微服务之间的所有网络通信。您可以使用服务网格控制平面功能来配置和管理服务网格。
Red Hat OpenShift Service Mesh为您提供了一种简单的方法来创建已部署服务的网络,这些服务提供
-
服务发现
-
负载均衡
-
服务间身份验证
-
故障恢复
-
指标
-
监控
Red Hat OpenShift Service Mesh还提供更复杂的运营功能,包括
-
A/B测试
-
金丝雀发布
-
访问控制
-
端到端身份验证
服务网格架构
服务网格技术在网络通信级别运行。也就是说,服务网格组件捕获或拦截与微服务的流量,修改请求、重定向它们或创建对其他服务的新的请求。
总的来说,Red Hat OpenShift Service Mesh由数据平面和控制平面组成
数据平面是一组智能代理,与pod中的应用程序容器一起运行,拦截和控制服务网格中微服务之间所有入站和出站的网络通信。数据平面的实现方式拦截所有入站(入口)和出站(出口)网络流量。Istio数据平面由在pod中与应用程序容器一起运行的Envoy容器组成。Envoy容器充当代理,控制进入和离开pod的所有网络通信。
-
Envoy代理是唯一与数据平面流量交互的Istio组件。服务之间的所有传入(入口)和传出(出口)网络流量都流经代理。Envoy代理还会收集与网格内服务流量相关的所有指标。Envoy代理作为sidecar部署,与服务在同一个pod中运行。Envoy代理也用于实现网格网关。
-
Sidecar代理管理其工作负载实例的入站和出站通信。
-
网关是充当负载均衡器的代理,接收传入或传出的HTTP/TCP连接。网关配置应用于在网格边缘运行的独立Envoy代理,而不是与服务工作负载一起运行的sidecar Envoy代理。您可以使用网关来管理网格的入站和出站流量,从而指定您希望进入或离开网格的流量。
-
入口网关 - 也称为入口控制器,入口网关是一个专用的Envoy代理,接收和控制进入服务网格的流量。入口网关允许将监控和路由规则应用于进入集群的流量。
-
出口网关 - 也称为出口控制器,出口网关是一个专用的Envoy代理,管理离开服务网格的流量。出口网关允许将监控和路由规则应用于离开网格的流量。
-
-
控制平面管理和配置构成数据平面的代理。它是配置的权威来源,管理访问控制和使用策略,并从服务网格中的代理收集指标。
-
Istio控制平面由Istiod组成,它将几个以前的控制平面组件(Citadel、Galley、Pilot)合并到单个二进制文件中。Istiod提供服务发现、配置和证书管理。它将高级路由规则转换为Envoy配置,并在运行时将其传播到sidecar。
-
Istiod可以充当证书颁发机构 (CA),生成支持数据平面中安全mTLS通信的证书。您也可以为此目的使用外部CA。
-
Istiod负责将sidecar代理容器注入部署到OpenShift集群的工作负载中。
-
Red Hat OpenShift Service Mesh使用istio-operator来管理控制平面的安装。Operator是一段软件,使您能够在OpenShift集群中实现和自动化常见活动。它充当控制器,允许您设置或更改集群中对象的所需状态,在本例中为Red Hat OpenShift Service Mesh安装。
Red Hat OpenShift Service Mesh还将以下Istio附加组件作为产品的一部分捆绑在一起
-
Kiali - Kiali 是 Red Hat OpenShift Service Mesh 的管理控制台。它提供仪表板、可观察性和强大的配置和验证功能。它通过推断流量拓扑来显示服务网格的结构,并显示网格的健康状况。Kiali 提供详细的指标、强大的验证功能、对 Grafana 的访问以及与分布式追踪平台 (Jaeger) 的强大集成。
-
Prometheus - Red Hat OpenShift Service Mesh 使用 Prometheus 存储来自服务的遥测信息。Kiali 依赖于 Prometheus 来获取指标、健康状态和网格拓扑。
-
Jaeger - Red Hat OpenShift Service Mesh 支持分布式追踪平台 (Jaeger)。Jaeger 是一个开源的可追踪性服务器,它集中显示与多个服务之间单个请求关联的跟踪信息。使用分布式追踪平台 (Jaeger),您可以监控和排查基于微服务的分布式系统。
-
Elasticsearch - Elasticsearch 是一个开源的、分布式的、基于 JSON 的搜索和分析引擎。分布式追踪平台 (Jaeger) 使用 Elasticsearch 进行持久性存储。
-
Grafana - Grafana 为网格管理员提供高级查询和指标分析以及 Istio 数据的仪表板。可选地,Grafana 可用于分析服务网格指标。
Red Hat OpenShift Service Mesh 支持以下 Istio 集成
-
3scale - Istio 提供与 Red Hat 3scale API 管理解决方案的可选集成。对于 2.1 之前的版本,此集成是通过 3scale Istio 适配器实现的。对于 2.1 及更高版本,3scale 集成是通过 WebAssembly 模块实现的。
有关如何安装 3scale 适配器的信息,请参阅 3scale Istio 适配器文档
了解 Kiali
Kiali 通过向您展示服务网格中的微服务及其连接方式来提供对服务网格的可见性。
Kiali 概述
Kiali 提供对在 OpenShift Container Platform 上运行的服务网格的可观察性。Kiali 帮助您定义、验证和观察 Istio 服务网格。它帮助您通过推断拓扑来了解服务网格的结构,并提供有关服务网格健康状况的信息。
Kiali 提供您的命名空间的实时交互式图形视图,该视图提供对断路器、请求速率、延迟甚至流量流图等功能的可见性。Kiali 提供有关不同级别组件(从应用程序到服务和工作负载)的见解,并可以在选定的图形节点或边上显示具有上下文信息和图表的信息。Kiali 还提供验证 Istio 配置(例如网关、目标规则、虚拟服务、网格策略等)的功能。Kiali 提供详细的指标,并且可以使用基本的 Grafana 集成进行高级查询。通过将 Jaeger 集成到 Kiali 控制台来提供分布式追踪。
Kiali 默认情况下作为 Red Hat OpenShift Service Mesh 的一部分安装。
Kiali 架构
Kiali 基于开源 Kiali 项目。Kiali 由两个组件组成:Kiali 应用程序和 Kiali 控制台。
-
Kiali 应用程序(后端)– 此组件在容器应用程序平台中运行,并与服务网格组件通信,检索和处理数据,并将这些数据暴露给控制台。Kiali 应用程序不需要存储。将应用程序部署到集群时,配置设置在 ConfigMap 和密钥中。
-
Kiali 控制台(前端)– Kiali 控制台是一个 Web 应用程序。Kiali 应用程序服务于 Kiali 控制台,然后控制台查询后端以获取数据并将其呈现给用户。
此外,Kiali 还依赖于容器应用程序平台和 Istio 提供的外部服务和组件。
-
Red Hat Service Mesh (Istio) - Istio 是 Kiali 的一项要求。Istio 是提供和控制服务网格的组件。尽管 Kiali 和 Istio 可以单独安装,但 Kiali 依赖于 Istio,如果没有 Istio,Kiali 将无法工作。Kiali 需要检索 Istio 数据和配置,这些数据和配置通过 Prometheus 和集群 API 公开。
-
Prometheus - 专用的 Prometheus 实例包含在 Red Hat OpenShift Service Mesh 安装中。启用 Istio 遥测时,指标数据将存储在 Prometheus 中。Kiali 使用此 Prometheus 数据来确定网格拓扑、显示指标、计算健康状况、显示可能出现的问题等等。Kiali 直接与 Prometheus 通信,并假定 Istio 遥测使用的架构。Prometheus 是 Istio 的依赖项,也是 Kiali 的硬依赖项,如果没有 Prometheus,Kiali 的许多功能将无法工作。
-
集群 API - Kiali 使用 OpenShift Container Platform 的 API(集群 API)来获取和解析服务网格配置。例如,Kiali 查询集群 API 以检索命名空间、服务、部署、Pod 和其他实体的定义。Kiali 还进行查询以解析不同集群实体之间的关系。还查询集群 API 以检索 Istio 配置,例如虚拟服务、目标规则、路由规则、网关、配额等等。
-
Jaeger - Jaeger 是可选的,但默认情况下作为 Red Hat OpenShift Service Mesh 安装的一部分安装。当您将分布式追踪平台 (Jaeger) 作为默认 Red Hat OpenShift Service Mesh 安装的一部分安装时,Kiali 控制台包含一个选项卡以显示分布式追踪数据。请注意,如果禁用 Istio 的分布式追踪功能,则追踪数据将不可用。另请注意,用户必须访问安装服务网格控制平面的命名空间才能查看追踪数据。
-
Grafana - Grafana 是可选的,但默认情况下作为 Red Hat OpenShift Service Mesh 安装的一部分安装。如果可用,Kiali 的指标页面将显示链接,引导用户直接在 Grafana 中查看相同的指标。请注意,用户必须访问安装服务网格控制平面的命名空间才能查看 Grafana 仪表板的链接和查看 Grafana 数据。
Kiali 功能
Kiali 控制台与 Red Hat Service Mesh 集成,并提供以下功能:
-
健康状况 – 快速识别应用程序、服务或工作负载的问题。
-
拓扑结构 – 通过 Kiali 图形可视化您的应用程序、服务或工作负载如何通信。
-
指标 – 预定义的指标仪表板允许您绘制 Go、Node.js、Quarkus、Spring Boot、Thorntail 和 Vert.x 的服务网格和应用程序性能图表。您还可以创建自己的自定义仪表板。
-
追踪 – 与 Jaeger 的集成允许您跟踪请求通过构成应用程序的各种微服务的路径。
-
验证 – 对最常见的 Istio 对象(目标规则、服务条目、虚拟服务等)执行高级验证。
-
配置 – 可选功能,可以使用向导或直接在 Kiali 控制台的 YAML 编辑器中创建、更新和删除 Istio 路由配置。
了解分布式追踪
每次用户在应用程序中执行操作时,架构都会执行一个请求,这可能需要数十个不同的服务参与才能产生响应。此请求的路径是一个分布式事务。分布式追踪平台 (Jaeger) 允许您执行分布式追踪,从而跟踪请求通过构成应用程序的各种微服务的路径。
分布式追踪是一种用于将不同工作单元(通常在不同的进程或主机上执行)的信息关联在一起的技术,以便理解分布式事务中整个事件链。分布式追踪允许开发人员可视化大型面向服务的架构中的调用流程。它对于理解序列化、并行性和延迟来源非常宝贵。
分布式追踪平台 (Jaeger) 记录单个请求在整个微服务堆栈中的执行情况,并将它们呈现为追踪。追踪是系统中的数据/执行路径。端到端追踪包含一个或多个跨度。
跨度表示一个逻辑工作单元,它具有操作名称、操作的开始时间和持续时间。跨度可以嵌套和排序以模拟因果关系。
分布式追踪概述
作为服务所有者,您可以使用分布式追踪为您的服务添加工具,以收集有关服务架构的见解。您可以使用 Red Hat OpenShift 分布式追踪平台来监控、网络分析和故障排除现代、云原生、基于微服务的应用程序中组件之间的交互。
使用分布式追踪平台,您可以执行以下功能:
-
监控分布式事务
-
优化性能和延迟
-
执行根本原因分析
Red Hat OpenShift 分布式追踪平台架构
Red Hat OpenShift 分布式追踪平台由多个组件组成,这些组件协同工作以收集、存储和显示追踪数据。
-
Red Hat OpenShift 分布式追踪平台 (Tempo) - 此组件基于开源的 Grafana Tempo 项目。
-
网关 – 网关处理身份验证、授权并将请求转发到分发器或查询前端服务。
-
分发器 – 分发器接受多种格式的跨度,包括 Jaeger、OpenTelemetry 和 Zipkin。它通过对
traceID进行哈希并使用分布式一致哈希环将跨度路由到 Ingester。 -
Ingester – Ingester 将追踪批量处理成块,创建布隆过滤器和索引,然后将其全部刷新到后端。
-
查询前端 – 查询前端负责为传入查询分片搜索空间。然后将搜索查询发送到查询器。查询前端部署通过 Tempo 查询 sidecar 公开了 Jaeger UI。
-
查询器 - 查询器负责在 Ingester 或后端存储中查找请求的 trace ID。根据参数,它可以查询 Ingester 并从后端拉取布隆索引以搜索对象存储中的块。
-
压实器 – 压实器在后端存储之间传输块,以减少块的总数。
-
-
Red Hat 版本的 OpenTelemetry - 此组件基于开源的 OpenTelemetry 项目。
-
OpenTelemetry 收集器 - OpenTelemetry 收集器是一种与供应商无关的方式,用于接收、处理和导出遥测数据。OpenTelemetry 收集器支持开源可观察性数据格式,例如 Jaeger 和 Prometheus,并发送到一个或多个开源或商业后端。收集器是仪表库导出其遥测数据的默认位置。
-
-
Red Hat OpenShift 分布式追踪平台 (Jaeger) - 此组件基于开源的 Jaeger 项目。
-
客户端(Jaeger 客户端、Tracer、Reporter、已 instrumentation 的应用程序、客户端库)- 分布式追踪平台 (Jaeger) 客户端是 OpenTracing API 的特定于语言的实现。它们可用于手动或使用各种现有的开源框架(例如 Camel (Fuse)、Spring Boot (RHOAR)、MicroProfile (RHOAR/Thorntail)、Wildfly (EAP) 以及许多其他已与 OpenTracing 集成的框架)为分布式追踪 instrumentation 应用程序。
-
代理(Jaeger 代理、服务器队列、处理器工作程序) - 分布式追踪平台 (Jaeger) 代理是一个网络守护程序,它侦听通过用户数据报协议 (UDP) 发送的跨度,它会将这些跨度批量处理并发送到收集器。代理旨在放置在与已 instrumentation 的应用程序相同的主机上。这通常通过在 Kubernetes 等容器环境中使用 sidecar 来实现。
-
Jaeger 收集器(收集器、队列、工作程序) - 与 Jaeger 代理类似,Jaeger 收集器接收跨度并将它们放入内部队列以进行处理。这允许 Jaeger 收集器立即返回到客户端/代理,而不是等待跨度进入存储。
-
存储(数据存储) - 收集器需要一个持久性存储后端。Red Hat OpenShift 分布式追踪平台 (Jaeger) 具有用于跨度存储的可插拔机制。Red Hat OpenShift 分布式追踪平台 (Jaeger) 支持 Elasticsearch 存储。
-
查询(查询服务) - 查询是从存储中检索追踪的服务。
-
Ingester(Ingester 服务) - Red Hat OpenShift 分布式追踪平台可以使用 Apache Kafka 作为收集器和实际 Elasticsearch 后端存储之间的缓冲区。Ingester 是一个从 Kafka 读取数据并写入 Elasticsearch 后端存储的服务。
-
Jaeger 控制台 – 使用 Red Hat OpenShift 分布式追踪平台 (Jaeger) 用户界面,您可以可视化您的分布式追踪数据。在“搜索”页面上,您可以查找追踪并浏览构成单个追踪的跨度的详细信息。
-
后续步骤
-
在您的 OpenShift Container Platform 环境中准备安装 Red Hat OpenShift Service Mesh。