apiVersion: maistra.io/v2
kind: ServiceMeshControlPlane
metadata:
name: basic
spec:
mode: ClusterWide
meshConfig:
discoverySelectors:
- matchLabels:
istio-discovery: enabled (1)
- matchExpressions:
- key: kubernetes.io/metadata.name (2)
operator: In
values:
- bookinfo
- httpbin
- istio-system- 文档
- OpenShift 集群平台
- 服务网格
- 服务网格 2.x
- 服务网格部署模型 history bug_report picture_as_pdf
OpenShift 文档正在迁移,不久后将仅在 docs.redhat.com(所有 Red Hat 产品文档的集中地)提供。立即体验 新的文档体验。
- 关于
- 发行说明
- 入门
- 架构
- 离线环境
- 安装
- 安装概述
- 在阿里云上安装
- 在 AWS 上安装
- 在 Azure 上安装
- 在 Azure Stack Hub 上安装
- 在 GCP 上安装
- 准备在 GCP 上安装
- 配置 GCP 项目
- 在 GCP 上快速安装集群
- 在 GCP 上使用自定义设置安装集群
- 在 GCP 上使用网络自定义设置安装集群
- 在 GCP 的受限网络中安装集群
- 将集群安装到 GCP 中的现有 VPC
- 将集群安装到 GCP 中的共享 VPC
- 在 GCP 上安装私有集群
- 使用 Deployment Manager 模板在 GCP 上安装集群
- 使用 Deployment Manager 模板将集群安装到 GCP 中的共享 VPC
- 在受限网络中使用用户配置的基础设施在 GCP 上安装集群
- 在 GCP 上安装三节点集群
- GCP 的安装配置参数
- 卸载 GCP 上的集群
- 安装支持配置多架构计算机的 GCP 集群
- 在 IBM Cloud 上安装
- 在 Nutanix 上安装
- 使用辅助安装程序进行本地安装
- 使用基于代理的安装程序安装本地集群
- 在单节点上安装
- 在裸机上安装
- 在裸机上部署安装程序配置的集群
- 在 IBM Cloud(经典版)上安装
- 在 IBM Z 和 IBM LinuxONE 上安装
- 在 IBM Power 上安装
- 在 IBM Power 虚拟服务器上安装
- 在 OpenStack 上安装
- 准备在 OpenStack 上安装
- 准备安装在 OpenStack 上使用 SR-IOV 或 OVS-DPDK 的集群
- 使用自定义配置在 OpenStack 上安装集群
- 在您自己的基础设施上的 OpenStack 上安装集群
- 在受限网络的 OpenStack 上安装集群
- 在 OpenStack 上安装三节点集群
- 安装 OpenStack 后配置网络设置
- OpenStack 云控制器管理器参考指南
- 在 OpenStack 上使用本地磁盘上的 rootVolume 和 etcd 部署
- 卸载 OpenStack 上的集群
- 从您自己的基础设施卸载 OpenStack 上的集群
- OpenStack 安装配置参数
- 在 OCI 上安装
- 在 VMware vSphere 上安装
- 在任何平台上安装
- 安装配置
- 验证和故障排除
- 安装后配置
- 安装后配置概述
- 配置私有集群
- 在 OpenShift 集群上配置多架构计算机器
- 关于具有多架构计算机器的集群
- 在 Azure 上创建具有多架构计算机器的集群
- 在 AWS 上创建具有多架构计算机器的集群
- 在 GCP 上创建具有多架构计算机器的集群
- 在裸机、IBM Power 或 IBM Z 上创建具有多架构计算机器的集群
- 在使用 z/VM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机器的集群
- 在 LPAR 中的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机器的集群
- 在 IBM Z 和 IBM LinuxONE 上使用 RHEL KVM 创建具有多架构计算机器的集群
- 在 IBM Power 上创建具有多架构计算机器的集群
- 使用多架构计算机器管理集群
- 使用多架构调整操作符管理多架构集群上的工作负载
- 多架构调整操作符发行说明
- 集群任务
- 节点任务
- 安装后网络配置
- 配置镜像流和镜像注册表
- 存储配置
- 为用户准备
- 更改云提供商凭据配置
- 配置警报通知
- 将已连接集群转换为离线集群
- 更新集群
- 支持
- Web 控制台
- CLI 工具
- 安全和合规性
- 安全和合规性概述
- 容器安全
- 配置证书
- 证书类型和描述
- 合规性运算符
- 文件完整性运算符
- 安全配置文件运算符
- NBDE Tang 服务器运算符
- 适用于 Red Hat OpenShift 的 cert-manager 运算符
- 适用于 Red Hat OpenShift 的 cert-manager 运算符概述
- 适用于 Red Hat OpenShift 的 cert-manager 运算符发行说明
- 安装适用于 Red Hat OpenShift 的 cert-manager 运算符
- 配置出站代理
- 通过使用 cert-manager 运算符 API 字段自定义 cert-manager
- 验证适用于 Red Hat OpenShift 的 cert-manager 运算符
- 配置 ACME 发行者
- 使用发行者配置证书
- 使用适用于 Red Hat OpenShift 的 cert-manager 运算符保护路由
- 监控适用于 Red Hat OpenShift 的 cert-manager 运算符
- 为 cert-manager 和适用于 Red Hat OpenShift 的 cert-manager 运算符配置日志级别
- 卸载适用于 Red Hat OpenShift 的 cert-manager 运算符
- 查看审核日志
- 配置审计日志策略
- 配置 TLS 安全配置文件
- 配置 seccomp 配置文件
- 允许来自其他主机的基于 JavaScript 的 API 服务器访问
- 加密 etcd 数据
- 扫描 Pod 中的漏洞
- 基于网络的磁盘加密 (NBDE)
- 身份验证和授权
- 网络
- 关于网络
- 理解网络
- 零信任网络
- 访问主机
- 网络仪表盘
- 网络操作符
- 网络安全
- 为手动 DNS 管理配置 Ingress 控制器
- 验证与端点的连接
- 更改集群网络 MTU
- 配置节点端口服务范围
- 配置集群网络 IP 地址范围
- 配置 IP 故障转移
- 使用调整插件配置系统控制和接口属性
- 使用流控制传输协议
- 使用精密时间协议硬件
- CIDR 范围定义
- 多个网络
- 硬件网络
- OVN-Kubernetes 网络插件
- 配置路由
- 配置入口集群流量
- Kubernetes NMState
- 配置集群范围代理
- 配置自定义 PKI
- OpenStack 上的负载均衡
- 使用 MetalLB 进行负载均衡
- 将辅助接口指标关联到网络附件
- 存储
- 存储概述
- 了解临时存储
- 了解持久性存储
- 配置持久性存储
- 使用容器存储接口 (CSI)
- 配置 CSI 卷
- CSI 内联临时卷
- 共享资源 CSI 驱动程序操作符
- CSI 卷快照
- CSI 卷克隆
- 管理默认存储类
- CSI 自动迁移
- 非正常节点关闭后分离 CSI 卷
- AWS Elastic Block Store CSI 驱动程序操作符
- AWS Elastic File Service CSI 驱动程序操作符
- Azure 磁盘 CSI 驱动程序操作符
- Azure 文件 CSI 驱动程序操作符
- Azure Stack Hub CSI 驱动程序操作符
- GCP PD CSI 驱动程序操作符
- GCP Filestore CSI 驱动程序操作符
- IBM Cloud 块存储 (VPC) CSI 驱动程序操作符
- IBM Power 虚拟服务器块存储 CSI 驱动程序操作符
- OpenStack Cinder CSI 驱动程序操作符
- OpenStack Manila CSI 驱动程序操作符
- Secrets Store CSI 驱动程序操作符
- CIFS/SMB CSI 驱动程序操作符
- VMware vSphere CSI 驱动程序操作符
- 通用临时卷
- 扩展持久卷
- 动态供应
- 注册表
- 操作符
- 操作符概述
- 了解操作符
- 用户任务
- 管理员任务
- 开发操作符
- 集群操作符参考
- OLM v1(技术预览版)
- 扩展
- CI/CD
- 镜像
- 构建应用程序
- 无服务器
- 机器配置
- 机器管理
- 托管控制平面
- 节点
- 节点概述
- 使用 Pod
- 使用自定义指标自动缩放器运算符自动缩放 Pod
- 控制 Pod 放置到节点上(调度)
- 使用作业和守护程序集
- 使用节点
- 使用容器
- 使用集群
- 网络边缘的远程工作节点
- 单节点 OpenShift 集群的工作节点
- 节点指标仪表板
- 使用 sigstore 管理安全签名
- OpenShift 的 Windows 容器支持
- OpenShift 沙箱容器
- 可观察性
- 可扩展性和性能
- 边缘计算
- 网络远端边缘的挑战
- 准备用于 ZTP 的中心集群
- 更新 GitOps ZTP
- 使用 RHACM 和 SiteConfig 资源安装托管集群
- 使用 GitOps ZTP 手动安装单节点 OpenShift 集群
- 推荐用于 vDU 应用负载的单节点 OpenShift 集群配置
- 验证用于 vDU 应用负载的集群调整
- 使用 SiteConfig 资源进行高级托管集群配置
- 使用 PolicyGenerator 资源管理集群策略
- 使用 PolicyGenTemplate 资源管理集群策略
- 在 PolicyGenerator 或 PolicyGenTemplate CR 中使用中心模板
- 使用拓扑感知生命周期管理器更新托管集群
- 使用 GitOps ZTP 扩展单节点 OpenShift 集群
- 为单节点 OpenShift 部署预缓存镜像
- 单节点 OpenShift 集群的基于镜像的升级
- 单节点 OpenShift 的基于镜像的安装
- 电信核心 CNF 集群的日常运维
- 专用硬件和驱动程序启用
- 硬件加速器
- 备份和恢复
- 从版本 3 迁移到 4
- 容器迁移工具包 (Migration Toolkit for Containers)
- API 参考
- API 概述
- 常用对象参考
- 授权API
- 关于授权API
- LocalResourceAccessReview [authorization.openshift.io/v1]
- LocalSubjectAccessReview [authorization.openshift.io/v1]
- ResourceAccessReview [authorization.openshift.io/v1]
- SelfSubjectRulesReview [authorization.openshift.io/v1]
- SubjectAccessReview [authorization.openshift.io/v1]
- SubjectRulesReview [authorization.openshift.io/v1]
- SelfSubjectReview [authentication.k8s.io/v1]
- TokenRequest [authentication.k8s.io/v1]
- TokenReview [authentication.k8s.io/v1]
- LocalSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectRulesReview [authorization.k8s.io/v1]
- SubjectAccessReview [authorization.k8s.io/v1]
- 自动伸缩API
- 集群API
- 配置API
- 关于配置API
- APIServer [config.openshift.io/v1]
- Authentication [config.openshift.io/v1]
- Build [config.openshift.io/v1]
- ClusterOperator [config.openshift.io/v1]
- ClusterVersion [config.openshift.io/v1]
- Console [config.openshift.io/v1]
- DNS [config.openshift.io/v1]
- FeatureGate [config.openshift.io/v1]
- HelmChartRepository [helm.openshift.io/v1beta1]
- Image [config.openshift.io/v1]
- ImageDigestMirrorSet [config.openshift.io/v1]
- ImageContentPolicy [config.openshift.io/v1]
- ImageTagMirrorSet [config.openshift.io/v1]
- Infrastructure [config.openshift.io/v1]
- Ingress [config.openshift.io/v1]
- Network [config.openshift.io/v1]
- Node [config.openshift.io/v1]
- OAuth [config.openshift.io/v1]
- OperatorHub [config.openshift.io/v1]
- Project [config.openshift.io/v1]
- ProjectHelmChartRepository [helm.openshift.io/v1beta1]
- Proxy [config.openshift.io/v1]
- Scheduler [config.openshift.io/v1]
- 控制台API
- 关于控制台API
- ConsoleCLIDownload [console.openshift.io/v1]
- ConsoleExternalLogLink [console.openshift.io/v1]
- ConsoleLink [console.openshift.io/v1]
- ConsoleNotification [console.openshift.io/v1]
- ConsolePlugin [console.openshift.io/v1]
- ConsoleQuickStart [console.openshift.io/v1]
- ConsoleSample [console.openshift.io/v1]
- ConsoleYAMLSample [console.openshift.io/v1]
- 扩展API
- 关于扩展API
- APIService [apiregistration.k8s.io/v1]
- CustomResourceDefinition [apiextensions.k8s.io/v1]
- MutatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicy [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicyBinding [admissionregistration.k8s.io/v1]
- ValidatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- 镜像API
- 关于镜像API
- Image [image.openshift.io/v1]
- ImageSignature [image.openshift.io/v1]
- ImageStreamImage [image.openshift.io/v1]
- ImageStreamImport [image.openshift.io/v1]
- ImageStreamLayers [image.openshift.io/v1]
- ImageStreamMapping [image.openshift.io/v1]
- ImageStream [image.openshift.io/v1]
- ImageStreamTag [image.openshift.io/v1]
- ImageTag [image.openshift.io/v1]
- SecretList [image.openshift.io/v1]
- 机器API
- 关于机器API
- ContainerRuntimeConfig [machineconfiguration.openshift.io/v1]
- ControllerConfig [machineconfiguration.openshift.io/v1]
- ControlPlaneMachineSet [machine.openshift.io/v1]
- KubeletConfig [machineconfiguration.openshift.io/v1]
- MachineConfig [machineconfiguration.openshift.io/v1]
- MachineConfigPool [machineconfiguration.openshift.io/v1]
- MachineHealthCheck [machine.openshift.io/v1beta1]
- Machine [machine.openshift.io/v1beta1]
- MachineSet [machine.openshift.io/v1beta1]
- 元数据API
- 监控API
- 关于监控API
- Alertmanager [monitoring.coreos.com/v1]
- AlertmanagerConfig [monitoring.coreos.com/v1beta1]
- AlertRelabelConfig [monitoring.openshift.io/v1]
- AlertingRule [monitoring.openshift.io/v1]
- PodMonitor [monitoring.coreos.com/v1]
- Probe [monitoring.coreos.com/v1]
- Prometheus [monitoring.coreos.com/v1]
- PrometheusRule [monitoring.coreos.com/v1]
- ServiceMonitor [monitoring.coreos.com/v1]
- ThanosRuler [monitoring.coreos.com/v1]
- NodeMetrics [metrics.k8s.io/v1beta1]
- PodMetrics [metrics.k8s.io/v1beta1]
- 网络API
- 关于网络API
- AdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- AdminPolicyBasedExternalRoute [k8s.ovn.org/v1]
- BaselineAdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- CloudPrivateIPConfig [cloud.network.openshift.io/v1]
- EgressFirewall [k8s.ovn.org/v1]
- EgressIP [k8s.ovn.org/v1]
- EgressQoS [k8s.ovn.org/v1]
- EgressService [k8s.ovn.org/v1]
- Endpoints [undefined/v1]
- EndpointSlice [discovery.k8s.io/v1]
- EgressRouter [network.operator.openshift.io/v1]
- Ingress [networking.k8s.io/v1]
- IngressClass [networking.k8s.io/v1]
- IPPool [whereabouts.cni.cncf.io/v1alpha1]
- MultiNetworkPolicy [k8s.cni.cncf.io/v1beta1]
- NetworkAttachmentDefinition [k8s.cni.cncf.io/v1]
- NetworkPolicy [networking.k8s.io/v1]
- OverlappingRangeIPReservation [whereabouts.cni.cncf.io/v1alpha1]
- PodNetworkConnectivityCheck [controlplane.operator.openshift.io/v1alpha1]
- Route [route.openshift.io/v1]
- Service [undefined/v1]
- 节点API
- OAuth API
- 操作符API
- 关于操作符API
- Authentication [operator.openshift.io/v1]
- CloudCredential [operator.openshift.io/v1]
- ClusterCSIDriver [operator.openshift.io/v1]
- Console [operator.openshift.io/v1]
- Config [operator.openshift.io/v1]
- Config [imageregistry.operator.openshift.io/v1]
- Config [samples.operator.openshift.io/v1]
- CSISnapshotController [operator.openshift.io/v1]
- DNS [operator.openshift.io/v1]
- DNSRecord [ingress.operator.openshift.io/v1]
- Etcd [operator.openshift.io/v1]
- ImageContentSourcePolicy [operator.openshift.io/v1alpha1]
- ImagePruner [imageregistry.operator.openshift.io/v1]
- IngressController [operator.openshift.io/v1]
- InsightsOperator [operator.openshift.io/v1]
- KubeAPIServer [operator.openshift.io/v1]
- KubeControllerManager [operator.openshift.io/v1]
- KubeScheduler [operator.openshift.io/v1]
- KubeStorageVersionMigrator [operator.openshift.io/v1]
- MachineConfiguration [operator.openshift.io/v1]
- Network [operator.openshift.io/v1]
- OpenShiftAPIServer [operator.openshift.io/v1]
- OpenShiftControllerManager [operator.openshift.io/v1]
- 运营商PKI [network.operator.openshift.io/v1]
- 服务CA [operator.openshift.io/v1]
- 存储 [operator.openshift.io/v1]
- OperatorHub APIs
- 关于OperatorHub APIs
- CatalogSource [operators.coreos.com/v1alpha1]
- ClusterServiceVersion [operators.coreos.com/v1alpha1]
- InstallPlan [operators.coreos.com/v1alpha1]
- OLMConfig [operators.coreos.com/v1]
- Operator [operators.coreos.com/v1]
- OperatorCondition [operators.coreos.com/v2]
- OperatorGroup [operators.coreos.com/v1]
- PackageManifest [packages.operators.coreos.com/v1]
- Subscription [operators.coreos.com/v1alpha1]
- 策略APIs
- 项目APIs
- 供应APIs
- 关于供应APIs
- BMCEventSubscription [metal3.io/v1alpha1]
- 裸金属主机 [metal3.io/v1alpha1]
- 数据镜像 [metal3.io/v1alpha1]
- 固件模式 [metal3.io/v1alpha1]
- 硬件数据 [metal3.io/v1alpha1]
- 主机固件组件 [metal3.io/v1alpha1]
- 主机固件设置 [metal3.io/v1alpha1]
- Metal3修复 [infrastructure.cluster.x-k8s.io/v1beta1]
- Metal3修复模板 [infrastructure.cluster.x-k8s.io/v1beta1]
- 预配置镜像 [metal3.io/v1alpha1]
- 供应 [metal3.io/v1alpha1]
- RBAC APIs
- 角色APIs
- 调度和配额APIs
- 安全APIs
- 关于安全APIs
- 证书签名请求 [certificates.k8s.io/v1]
- 凭据请求 [cloudcredential.openshift.io/v1]
- Pod安全策略审查 [security.openshift.io/v1]
- Pod安全策略自身主体审查 [security.openshift.io/v1]
- Pod安全策略主体审查 [security.openshift.io/v1]
- 范围分配 [security.openshift.io/v1]
- 密钥 [undefined/v1]
- 安全上下文约束 [security.openshift.io/v1]
- 服务账户 [undefined/v1]
- 存储APIs
- 关于存储APIs
- CSIDriver [storage.k8s.io/v1]
- CSINode [storage.k8s.io/v1]
- CSI存储容量 [storage.k8s.io/v1]
- 持久卷 [undefined/v1]
- 持久卷声明 [undefined/v1]
- 存储类 [storage.k8s.io/v1]
- 存储状态 [migration.k8s.io/v1alpha1]
- 存储版本迁移 [migration.k8s.io/v1alpha1]
- 卷附件 [storage.k8s.io/v1]
- 卷快照 [snapshot.storage.k8s.io/v1]
- 卷快照类 [snapshot.storage.k8s.io/v1]
- 卷快照内容 [snapshot.storage.k8s.io/v1]
- 模板APIs
- 用户和组APIs
- 工作负载APIs
- 关于工作负载APIs
- 构建配置 [build.openshift.io/v1]
- 构建 [build.openshift.io/v1]
- 构建日志 [build.openshift.io/v1]
- 构建请求 [build.openshift.io/v1]
- 定时作业 [batch/v1]
- 守护进程集 [apps/v1]
- 部署 [apps/v1]
- 部署配置 [apps.openshift.io/v1]
- 部署配置回滚 [apps.openshift.io/v1]
- 部署日志 [apps.openshift.io/v1]
- 部署请求 [apps.openshift.io/v1]
- 作业 [batch/v1]
- Pod [undefined/v1]
- 复制控制器 [undefined/v1]
- 副本集 [apps/v1]
- 有状态集 [apps/v1]
- Lightspeed
- 服务网格
- 服务网格3.x
- 服务网格2.x
- 关于OpenShift服务网格
- 服务网格2.x发行说明
- 升级服务网格
- 理解服务网格
- 服务网格部署模型
- 服务网格和Istio的区别
- 准备安装服务网格
- 安装Operators
- 创建ServiceMeshControlPlane
- 将服务添加到服务网格
- 启用sidecar注入
- 管理用户和配置文件
- 安全
- 流量管理
- 网关迁移
- 路由迁移
- 指标、日志和跟踪
- 性能和可扩展性
- 部署到生产环境
- 联邦
- 扩展
- OpenShift服务网格控制台插件
- 2.1版本的3scale WebAssembly
- 2.0版本的3scale Istio适配器
- 服务网格故障排除
- 控制平面配置参考
- Kiali配置参考
- Jaeger配置参考
- 卸载服务网格
- 服务网格1.x
- 虚拟化
×
服务网格部署模型
Red Hat OpenShift Service Mesh支持多种不同的部署模型,可以以不同的方式组合,以最佳方式满足您的业务需求。
在Istio中,租户是一组共享已部署工作负载的公共访问权限和权限的用户。您可以使用租户在不同的团队之间提供隔离级别。您可以使用`NetworkPolicies`、`AuthorizationPolicies`和`exportTo`注释在istio.io或服务资源上隔离对不同租户的访问。
集群范围(单租户)网格部署模型
集群范围部署包含一个服务网格控制平面,该平面监控整个集群的资源。监控整个集群的资源与Istio功能非常相似,因为控制平面使用单个查询跨所有命名空间来监控Istio和Kubernetes资源。因此,集群范围部署减少了发送到API服务器的请求数量。
与Istio类似,集群范围网格默认包含带有`istio-injection=enabled`命名空间标签的命名空间。您可以通过修改`ServiceMeshMemberRoll`资源的`spec.memberSelectors`字段来更改此标签。
多租户部署模型
Red Hat OpenShift Service Mesh安装默认配置为多租户的`ServiceMeshControlPlane`。Red Hat OpenShift Service Mesh使用多租户操作符来管理服务网格控制平面的生命周期。在网格内,命名空间用于租户。
Red Hat OpenShift Service Mesh使用`ServiceMeshControlPlane`资源来管理网格安装,其范围默认限制为包含该资源的命名空间。您可以使用`ServiceMeshMemberRoll`和`ServiceMeshMember`资源将其他命名空间包含到网格中。一个命名空间只能包含在一个网格中,并且可以在单个OpenShift集群中安装多个网格。
典型的服务网格部署使用单个服务网格控制平面来配置网格中服务之间的通信。Red Hat OpenShift Service Mesh支持“软多租户”,其中每个租户有一个控制平面和一个网格,并且集群中可以有多个独立的控制平面。多租户部署指定可以访问服务网格的项目,并将服务网格与其他控制平面实例隔离开。
集群管理员可以控制和查看所有Istio控制平面,而租户管理员只能控制其特定的服务网格、Kiali和Jaeger实例。
您可以授予团队权限,使其只能将工作负载部署到给定的命名空间或一组命名空间。如果服务网格管理员授予`mesh-user`角色,则用户可以创建`ServiceMeshMember`资源以将命名空间添加到`ServiceMeshMemberRoll`。
关于迁移到集群范围网格
在集群范围网格中,一个`ServiceMeshControlPlane` (SMCP) 监控整个集群的所有命名空间。您可以使用Red Hat OpenShift Service Mesh 2.5或更高版本将现有集群从多租户网格迁移到集群范围网格。
|
如果集群必须拥有多个SMCP,则无法迁移到集群范围网格。 |
默认情况下,集群范围的网格会发现构成集群的所有命名空间。但是,您可以将网格配置为仅访问有限的命名空间集。命名空间默认不接收 sidecar 注射。您必须指定哪些命名空间接收 sidecar 注射。
同样,您必须指定哪些 Pod 接收 sidecar 注射。存在于接收 sidecar 注射的命名空间中的 Pod 不会继承 sidecar 注射。将 sidecar 注射应用于命名空间和 Pod 是两个独立的操作。
如果在迁移到集群范围网格时更改了 Istio 版本,则必须重启应用程序。如果使用相同的 Istio 版本,应用程序代理将连接到集群范围网格的新 SMCP,并与在多租户网格中的工作方式相同。
使用 Web 控制台包含和排除集群范围网格中的命名空间
使用 OpenShift Container Platform Web 控制台,您可以将发现选择器添加到集群范围网格中的 ServiceMeshControlPlane 资源。发现选择器定义控制平面可以发现的命名空间。控制平面会忽略与任何发现选择器都不匹配的命名空间,从而将该命名空间排除在网格之外。
|
如果在控制平面命名空间中安装入口或出口网关,则必须在发现选择器中包含控制平面命名空间。 |
先决条件
-
您已安装 Red Hat OpenShift Service Mesh Operator。
-
您已部署
ServiceMeshControlPlane资源。 -
您已以具有
cluster-admin角色的用户身份登录。如果您使用的是 Red Hat OpenShift Dedicated,则您已以具有dedicated-admin角色的用户身份登录。
步骤
-
登录到 OpenShift Container Platform Web 控制台。
-
导航到 **Operators** → **Installed Operators**。
-
单击 Red Hat OpenShift Service Mesh Operator。
-
单击 **Istio Service Mesh Control Plane**。
-
单击控制平面的名称。
-
单击 **YAML**。
-
修改 YAML 文件,以便
ServiceMeshControlPlane资源的spec.meshConfig字段包含发现选择器。在配置
Istiod服务可以发现的命名空间时,请排除可能包含不应暴露给网格其余部分的敏感服务的命名空间。在以下示例中,
Istiod服务会发现任何标记为istio-discovery: enabled的命名空间,或任何名称为bookinfo、httpbin或istio-system的命名空间。1 确保网格发现包含标签 istio-discovery: enabled的命名空间。2 确保网格发现命名空间 bookinfo、httpbin和istio-system。如果命名空间与任何发现选择器匹配,则网格会发现该命名空间。网格会排除与任何发现选择器都不匹配的命名空间。
-
保存文件。
使用 CLI 包含和排除集群范围网格中的命名空间
使用 OpenShift Container Platform CLI,您可以将发现选择器添加到集群范围网格中的 ServiceMeshControlPlane 资源。发现选择器定义控制平面可以发现的命名空间。控制平面会忽略与任何发现选择器都不匹配的命名空间,从而将该命名空间排除在网格之外。
|
如果在控制平面命名空间中安装入口或出口网关,则必须在发现选择器中包含控制平面命名空间。 |
先决条件
-
您已安装 Red Hat OpenShift Service Mesh Operator。
-
您已部署
ServiceMeshControlPlane资源。 -
您已以具有
cluster-admin角色的用户身份登录。如果您使用的是 Red Hat OpenShift Dedicated,则您已以具有dedicated-admin角色的用户身份登录。
步骤
-
登录到 OpenShift Container Platform CLI。
-
通过运行以下命令将
ServiceMeshControlPlane资源作为 YAML 文件打开$ oc -n istio-system edit smcp <name> (1)1 <name>代表ServiceMeshControlPlane资源的名称。 -
修改 YAML 文件,以便
ServiceMeshControlPlane资源的spec.meshConfig字段包含发现选择器。在配置
Istiod服务可以发现的命名空间时,请排除可能包含不应暴露给网格其余部分的敏感服务的命名空间。在以下示例中,
Istiod服务会发现任何标记为istio-discovery: enabled的命名空间,或任何名称为bookinfo、httpbin或istio-system的命名空间。apiVersion: maistra.io/v2 kind: ServiceMeshControlPlane metadata: name: basic spec: mode: ClusterWide meshConfig: discoverySelectors: - matchLabels: istio-discovery: enabled (1) - matchExpressions: - key: kubernetes.io/metadata.name (2) operator: In values: - bookinfo - httpbin - istio-system1 确保网格发现包含标签 istio-discovery: enabled的命名空间。2 确保网格发现命名空间 bookinfo、httpbin和istio-system。如果命名空间与任何发现选择器匹配,则网格会发现该命名空间。网格会排除与任何发现选择器都不匹配的命名空间。
-
保存文件并退出编辑器。
使用 Web 控制台定义在集群范围网格中接收 sidecar 注射的命名空间
默认情况下,Red Hat OpenShift Service Mesh Operator 使用成员选择器来识别哪些命名空间接收 sidecar 注射。在 ServiceMeshMemberRoll 资源中定义的 istio-injection=enabled 标签与之不匹配的命名空间不会接收 sidecar 注射。
|
使用发现选择器来确定网格可以发现哪些命名空间,不会影响 sidecar 注射。发现命名空间和配置 sidecar 注射是两个独立的操作。 |
先决条件
-
您已安装 Red Hat OpenShift Service Mesh Operator。
-
您已部署带有
mode: ClusterWide注解的ServiceMeshControlPlane资源。 -
您已以具有
cluster-admin角色的用户身份登录。如果您使用的是 Red Hat OpenShift Dedicated,则您已以具有dedicated-admin角色的用户身份登录。
步骤
-
登录到 OpenShift Container Platform Web 控制台。
-
导航到 **Operators** → **Installed Operators**。
-
单击 Red Hat OpenShift Service Mesh Operator。
-
单击 **Istio Service Mesh Member Roll**。
-
单击
ServiceMeshMemberRoll资源。 -
单击 **YAML**。
-
通过添加与
inject标签匹配的成员选择器来修改ServiceMeshMemberRoll资源中的spec.memberSelectors字段。以下示例使用istio-injection: enabledapiVersion: maistra.io/v1 kind: ServiceMeshMemberRoll metadata: name: default spec: memberSelectors: - matchLabels: istio-injection: enabled (1)1 确保命名空间接收 sidecar 注射。 -
保存文件。
使用 CLI 定义在集群范围网格中接收 sidecar 注射的命名空间
默认情况下,Red Hat OpenShift Service Mesh Operator 使用成员选择器来识别哪些命名空间接收 sidecar 注射。在 ServiceMeshMemberRoll 资源中定义的 istio-injection=enabled 标签与之不匹配的命名空间不会接收 sidecar 注射。
|
使用发现选择器来确定网格可以发现哪些命名空间,不会影响 sidecar 注射。发现命名空间和配置 sidecar 注射是两个独立的操作。 |
先决条件
-
您已安装 Red Hat OpenShift Service Mesh Operator。
-
您已部署带有
mode: ClusterWide注解的ServiceMeshControlPlane资源。 -
您已以具有
cluster-admin角色的用户身份登录。如果您使用的是 Red Hat OpenShift Dedicated,则您已以具有dedicated-admin角色的用户身份登录。
步骤
-
登录到 OpenShift Container Platform CLI。
-
编辑
ServiceMeshMemberRoll资源。$ oc edit smmr -n <controlplane-namespace> -
通过添加与
inject标签匹配的成员选择器来修改ServiceMeshMemberRoll资源中的spec.memberSelectors字段。以下示例使用istio-injection: enabledapiVersion: maistra.io/v1 kind: ServiceMeshMemberRoll metadata: name: default spec: memberSelectors: - matchLabels: istio-injection: enabled (1)1 确保命名空间接收 sidecar 注射。 -
保存文件并退出编辑器。
使用 Web 控制台从集群范围网格中排除单个 Pod
如果 Pod 应用了 sidecar.istio.io/inject: true 注解,并且 Pod 存在于与 ServiceMeshMemberRoll 资源中定义的标签选择器或成员列表匹配的命名空间中,则该 Pod 会接收 sidecar 注射。
如果 Pod 没有应用 sidecar.istio.io/inject 注解,则它无法接收 sidecar 注射。
先决条件
-
您已安装 Red Hat OpenShift Service Mesh Operator。
-
您已部署带有
mode: ClusterWide注解的ServiceMeshControlPlane资源。 -
您已以具有
cluster-admin角色的用户身份登录。如果您使用的是 Red Hat OpenShift Dedicated,则您已以具有dedicated-admin角色的用户身份登录。
步骤
-
登录到 OpenShift Container Platform Web 控制台。
-
导航到 **Workloads** → **Deployments**。
-
单击部署的名称。
-
单击 **YAML**。
-
修改 YAML 文件以部署一个接收 sidecar 注射的应用程序和一个不接收 sidecar 注射的应用程序,如下例所示
apiVersion: apps/v1 kind: Deployment metadata: name: nginx spec: selector: matchLabels: app: nginx template: metadata: annotations: sidecar.istio.io/inject: 'true' (1) labels: app: nginx spec: containers: - name: nginx image: nginx:1.14.2 ports: - containerPort: 80 --- apiVersion: apps/v1 kind: Deployment metadata: name: nginx-without-sidecar spec: selector: matchLabels: app: nginx-without-sidecar template: metadata: labels: app: nginx-without-sidecar (2) spec: containers: - name: nginx image: nginx:1.14.2 ports: - containerPort: 801 此 Pod 应用了 sidecar.istio.io/inject注解,因此它会接收 sidecar 注射。2 此 Pod 没有此注解,因此它不会接收 sidecar 注射。 -
保存文件。
使用 CLI 从集群范围网格中排除单个 Pod
如果 Pod 应用了 sidecar.istio.io/inject: true 注解,并且 Pod 存在于与 ServiceMeshMemberRoll 资源中定义的标签选择器或成员列表匹配的命名空间中,则该 Pod 会接收 sidecar 注射。
如果 Pod 没有应用 sidecar.istio.io/inject 注解,则它无法接收 sidecar 注射。
先决条件
-
您已安装 Red Hat OpenShift Service Mesh Operator。
-
您已部署带有
mode: ClusterWide注解的ServiceMeshControlPlane资源。 -
您已以具有
cluster-admin角色的用户身份登录。如果您使用的是 Red Hat OpenShift Dedicated,则您已以具有dedicated-admin角色的用户身份登录。
步骤
-
登录到 OpenShift Container Platform CLI。
-
通过运行以下命令来编辑部署
$ oc edit deployment -n <namespace> <deploymentName> -
修改 YAML 文件以部署一个接收 sidecar 注射的应用程序和一个不接收 sidecar 注射的应用程序,如下例所示
apiVersion: apps/v1 kind: Deployment metadata: name: nginx spec: selector: matchLabels: app: nginx template: metadata: annotations: sidecar.istio.io/inject: 'true' (1) labels: app: nginx spec: containers: - name: nginx image: nginx:1.14.2 ports: - containerPort: 80 --- apiVersion: apps/v1 kind: Deployment metadata: name: nginx-without-sidecar spec: selector: matchLabels: app: nginx-without-sidecar template: metadata: labels: app: nginx-without-sidecar (2) spec: containers: - name: nginx image: nginx:1.14.2 ports: - containerPort: 801 此 Pod 应用了 sidecar.istio.io/inject注解,因此它会接收 sidecar 注射。2 此 Pod 没有此注解,因此它不会接收 sidecar 注射。 -
保存文件。
多网格或联合部署模型
联合是一种部署模型,允许您在不同管理域中管理的独立网格之间共享服务和工作负载。
Istio 多集群模型要求网格之间具有高度信任,并能够远程访问每个网格所在的 Kubernetes API 服务器。Red Hat OpenShift Service Mesh 联合体采用了一种对 Service Mesh 多集群实现的有主见的方法,该方法假设网格之间具有最小信任。
联合网格是一组行为类似于单个网格的网格。每个网格中的服务可以是唯一服务,例如,一个网格通过从另一个网格导入服务来添加服务,可以跨网格为相同服务提供额外的负载,从而提供高可用性,或者两者兼而有之。所有加入联合网格的网格仍然单独管理,并且您必须明确配置哪些服务导出到和导入联合体中的其他网格。证书生成、指标和跟踪收集等支持功能仍然保留在其各自的网格中。