命名空间标签
- 文档
- OpenShift 容器平台
- 服务网格
- 服务网格 2.x
- 服务网格和 Istio 的区别 history bug_report picture_as_pdf
OpenShift 文档正在迁移,很快将只能在 docs.redhat.com(所有 Red Hat 产品文档的中心)访问。立即体验 新的文档体验。
- 关于
- 发行说明
- 入门
- 架构
- 离线环境
- 安装
- 安装概述
- 在阿里云上安装
- 在 AWS 上安装
- 在 Azure 上安装
- 在 Azure Stack Hub 上安装
- 在 GCP 上安装
- 准备在 GCP 上安装
- 配置 GCP 项目
- 在 GCP 上快速安装集群
- 在 GCP 上使用自定义设置安装集群
- 在 GCP 上使用网络自定义设置安装集群
- 在 GCP 的受限网络中安装集群
- 将集群安装到 GCP 中的现有 VPC
- 将集群安装到 GCP 中的共享 VPC
- 在 GCP 上安装私有集群
- 使用 Deployment Manager 模板在 GCP 上安装集群
- 使用 Deployment Manager 模板将集群安装到 GCP 中的共享 VPC
- 在具有用户配置的基础设施的受限网络中在 GCP 上安装集群
- 在 GCP 上安装三节点集群
- GCP 的安装配置参数
- 卸载 GCP 上的集群
- 安装支持配置多架构计算机的 GCP 集群
- 在 IBM Cloud 上安装
- 在 Nutanix 上安装
- 使用辅助安装程序进行本地安装
- 使用基于代理的安装程序安装本地集群
- 在单节点上安装
- 在裸机上安装
- 在裸机上部署安装程序预配的集群
- 在 IBM Cloud (经典版) 上安装
- 在 IBM Z 和 IBM LinuxONE 上安装
- 在 IBM Power 上安装
- 在 IBM Power 虚拟服务器上安装
- 在 OpenStack 上安装
- 准备在 OpenStack 上安装
- 准备安装在 OpenStack 上使用 SR-IOV 或 OVS-DPDK 的集群
- 使用自定义设置在 OpenStack 上安装集群
- 在您自己的基础设施上的 OpenStack 上安装集群
- 在受限网络的 OpenStack 上安装集群
- 在 OpenStack 上安装三节点集群
- 安装 OpenStack 后配置网络设置
- OpenStack 云控制器管理器参考指南
- 在 OpenStack 上使用本地磁盘上的 rootVolume 和 etcd 部署
- 卸载 OpenStack 上的集群
- 从您自己的基础设施卸载 OpenStack 上的集群
- OpenStack 的安装配置参数
- 在 OCI 上安装
- 在 VMware vSphere 上安装
- 在任何平台上安装
- 安装配置
- 验证和故障排除
- 安装后配置
- 安装后配置概述
- 配置私有集群
- 在 OpenShift 集群上配置多架构计算机器
- 关于具有多架构计算机的集群
- 在 Azure 上创建具有多架构计算机的集群
- 在 AWS 上创建具有多架构计算机的集群
- 在 GCP 上创建具有多架构计算机的集群
- 在裸机、IBM Power 或 IBM Z 上创建具有多架构计算机的集群
- 在使用 z/VM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 LPAR 中使用 IBM Z 和 IBM LinuxONE 创建具有多架构计算机的集群
- 在使用 RHEL KVM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 IBM Power 上创建具有多架构计算机的集群
- 使用多架构计算机器管理您的集群
- 使用多架构调整操作符管理多架构集群上的工作负载
- 多架构调整操作符发行说明
- 集群任务
- 节点任务
- 安装后网络配置
- 配置镜像流和镜像注册表
- 存储配置
- 准备用户
- 更改云提供商凭据配置
- 配置警报通知
- 将连接的集群转换为离线集群
- 更新集群
- 支持
- Web 控制台
- CLI 工具
- 安全和合规性
- 安全和合规性概述
- 容器安全
- 配置证书
- 证书类型和描述
- 合规性运算符
- 文件完整性操作员
- 安全配置文件操作员
- NBDE Tang 服务器操作员
- 适用于 Red Hat OpenShift 的 cert-manager 操作员
- 适用于 Red Hat OpenShift 的 cert-manager 操作员概述
- 适用于 Red Hat OpenShift 的 cert-manager 操作员发行说明
- 安装适用于 Red Hat OpenShift 的 cert-manager 操作员
- 配置出站代理
- 使用 cert-manager 操作员 API 字段自定义 cert-manager
- 认证适用于 Red Hat OpenShift 的 cert-manager 操作员
- 配置 ACME 发行者
- 使用发行者配置证书
- 使用适用于 Red Hat OpenShift 的 cert-manager 操作员保护路由
- 监控适用于 Red Hat OpenShift 的 cert-manager 操作员
- 为 cert-manager 和适用于 Red Hat OpenShift 的 cert-manager 操作员配置日志级别
- 卸载适用于 Red Hat OpenShift 的 cert-manager 操作员
- 查看审计日志
- 配置审计日志策略
- 配置 TLS 安全配置文件
- 配置 seccomp 配置文件
- 允许来自其他主机的基于 JavaScript 的 API 服务器访问
- 加密 etcd 数据
- 扫描 Pod 中的漏洞
- 基于网络的磁盘加密 (NBDE)
- 身份验证和授权
- 网络
- 关于网络
- 了解网络
- 零信任网络
- 访问主机
- 网络仪表板
- 网络操作员
- 网络安全
- 配置 Ingress 控制器以进行手动 DNS 管理
- 验证与端点的连接
- 更改集群网络 MTU
- 配置节点端口服务范围
- 配置集群网络 IP 地址范围
- 配置 IP 故障转移
- 使用调优插件配置系统控制和接口属性
- 使用流控制传输协议 (Stream Control Transmission Protocol)
- 使用精密时间协议硬件
- CIDR 范围定义
- 多个网络
- 硬件网络
- OVN-Kubernetes 网络插件
- 配置路由
- 配置入口集群流量
- Kubernetes NMState
- 配置集群范围代理
- 配置自定义 PKI
- OpenStack 上的负载均衡
- 使用 MetalLB 进行负载均衡
- 将辅助接口指标关联到网络连接
- 存储
- 存储概述
- 了解短暂存储
- 了解持久性存储
- 配置持久性存储
- 使用容器存储接口 (CSI)
- 配置 CSI 卷
- CSI 内联短暂卷
- 共享资源 CSI 驱动程序操作员
- CSI 卷快照
- CSI 卷克隆
- 管理默认存储类
- CSI 自动迁移
- 非正常节点关闭后分离 CSI 卷
- AWS Elastic Block Store CSI 驱动程序操作员
- AWS Elastic File Service CSI 驱动程序操作员
- Azure 磁盘 CSI 驱动程序操作员
- Azure 文件 CSI 驱动程序操作员
- Azure Stack Hub CSI 驱动程序操作员
- GCP PD CSI 驱动程序操作员
- GCP Filestore CSI 驱动程序操作员
- IBM Cloud 块存储 (VPC) CSI 驱动程序操作员
- IBM Power 虚拟服务器块存储 CSI 驱动程序操作员
- OpenStack Cinder CSI 驱动程序操作员
- OpenStack Manila CSI 驱动程序操作员
- Secrets Store CSI 驱动程序操作员
- CIFS/SMB CSI 驱动程序操作员
- VMware vSphere CSI 驱动程序操作员
- 通用短暂卷
- 扩展持久卷
- 动态供应
- 注册表
- 操作符
- 操作符概述
- 理解操作符
- 用户任务
- 管理员任务
- 开发操作符
- 集群操作符参考
- OLM v1(技术预览版)
- 扩展
- CI/CD
- 镜像
- 构建应用程序
- 无服务器
- 机器配置
- 机器管理
- 托管控制平面
- 节点
- 节点概述
- 使用 Pod
- 使用自定义指标自动缩放器运算符自动缩放 Pod
- 控制 Pod 到节点的放置(调度)
- 使用 Job 和 DaemonSet
- 使用节点
- 使用容器
- 使用集群
- 网络边缘的远程工作节点
- 单节点 OpenShift 集群的工作节点
- 节点指标仪表板
- 使用 sigstore 管理安全签名
- OpenShift 的 Windows 容器支持
- OpenShift 沙箱容器
- 可观察性
- 可扩展性和性能
- 边缘计算
- 网络远端边缘的挑战
- 准备用于零接触配置 (ZTP) 的中心集群
- 更新GitOps ZTP
- 使用RHACM和SiteConfig资源安装托管集群
- 使用GitOps ZTP手动安装单节点OpenShift集群
- 针对vDU应用程序工作负载推荐的单节点OpenShift集群配置
- 验证vDU应用程序工作负载的集群调优
- 使用SiteConfig资源进行高级托管集群配置
- 使用PolicyGenerator资源管理集群策略
- 使用PolicyGenTemplate资源管理集群策略
- 在PolicyGenerator或PolicyGenTemplate CR中使用中心模板
- 使用拓扑感知生命周期管理器更新托管集群
- 使用GitOps ZTP扩展单节点OpenShift集群
- 为单节点OpenShift部署预缓存镜像
- 单节点OpenShift集群的基于镜像的升级
- 单节点OpenShift的基于镜像的安装
- 电信核心CNF集群的第二日运维
- 专用硬件和驱动程序启用
- 硬件加速器
- 备份和恢复
- 从版本 3 迁移到 4
- 容器迁移工具包 (MTC)
- API 参考
- API 概述
- 常用对象参考
- 授权 API
- 关于授权 API
- LocalResourceAccessReview [authorization.openshift.io/v1]
- LocalSubjectAccessReview [authorization.openshift.io/v1]
- ResourceAccessReview [authorization.openshift.io/v1]
- SelfSubjectRulesReview [authorization.openshift.io/v1]
- SubjectAccessReview [authorization.openshift.io/v1]
- SubjectRulesReview [authorization.openshift.io/v1]
- SelfSubjectReview [authentication.k8s.io/v1]
- TokenRequest [authentication.k8s.io/v1]
- TokenReview [authentication.k8s.io/v1]
- LocalSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectRulesReview [authorization.k8s.io/v1]
- SubjectAccessReview [authorization.k8s.io/v1]
- 自动缩放 API
- 集群 API
- 配置 API
- 关于配置 API
- APIServer [config.openshift.io/v1]
- Authentication [config.openshift.io/v1]
- Build [config.openshift.io/v1]
- ClusterOperator [config.openshift.io/v1]
- ClusterVersion [config.openshift.io/v1]
- Console [config.openshift.io/v1]
- DNS [config.openshift.io/v1]
- FeatureGate [config.openshift.io/v1]
- HelmChartRepository [helm.openshift.io/v1beta1]
- Image [config.openshift.io/v1]
- ImageDigestMirrorSet [config.openshift.io/v1]
- ImageContentPolicy [config.openshift.io/v1]
- ImageTagMirrorSet [config.openshift.io/v1]
- Infrastructure [config.openshift.io/v1]
- Ingress [config.openshift.io/v1]
- Network [config.openshift.io/v1]
- Node [config.openshift.io/v1]
- OAuth [config.openshift.io/v1]
- OperatorHub [config.openshift.io/v1]
- Project [config.openshift.io/v1]
- ProjectHelmChartRepository [helm.openshift.io/v1beta1]
- Proxy [config.openshift.io/v1]
- Scheduler [config.openshift.io/v1]
- 控制台 API
- 关于控制台 API
- ConsoleCLIDownload [console.openshift.io/v1]
- ConsoleExternalLogLink [console.openshift.io/v1]
- ConsoleLink [console.openshift.io/v1]
- ConsoleNotification [console.openshift.io/v1]
- ConsolePlugin [console.openshift.io/v1]
- ConsoleQuickStart [console.openshift.io/v1]
- ConsoleSample [console.openshift.io/v1]
- ConsoleYAMLSample [console.openshift.io/v1]
- 扩展 API
- 关于扩展 API
- APIService [apiregistration.k8s.io/v1]
- CustomResourceDefinition [apiextensions.k8s.io/v1]
- MutatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicy [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicyBinding [admissionregistration.k8s.io/v1]
- ValidatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- 镜像 API
- 关于镜像 API
- Image [image.openshift.io/v1]
- ImageSignature [image.openshift.io/v1]
- ImageStreamImage [image.openshift.io/v1]
- ImageStreamImport [image.openshift.io/v1]
- ImageStreamLayers [image.openshift.io/v1]
- ImageStreamMapping [image.openshift.io/v1]
- ImageStream [image.openshift.io/v1]
- ImageStreamTag [image.openshift.io/v1]
- ImageTag [image.openshift.io/v1]
- SecretList [image.openshift.io/v1]
- 机器 API
- 关于机器 API
- ContainerRuntimeConfig [machineconfiguration.openshift.io/v1]
- ControllerConfig [machineconfiguration.openshift.io/v1]
- ControlPlaneMachineSet [machine.openshift.io/v1]
- KubeletConfig [machineconfiguration.openshift.io/v1]
- MachineConfig [machineconfiguration.openshift.io/v1]
- MachineConfigPool [machineconfiguration.openshift.io/v1]
- MachineHealthCheck [machine.openshift.io/v1beta1]
- Machine [machine.openshift.io/v1beta1]
- MachineSet [machine.openshift.io/v1beta1]
- 元数据 API
- 监控 API
- 关于监控 API
- Alertmanager [monitoring.coreos.com/v1]
- AlertmanagerConfig [monitoring.coreos.com/v1beta1]
- AlertRelabelConfig [monitoring.openshift.io/v1]
- AlertingRule [monitoring.openshift.io/v1]
- PodMonitor [monitoring.coreos.com/v1]
- Probe [monitoring.coreos.com/v1]
- Prometheus [monitoring.coreos.com/v1]
- PrometheusRule [monitoring.coreos.com/v1]
- ServiceMonitor [monitoring.coreos.com/v1]
- ThanosRuler [monitoring.coreos.com/v1]
- NodeMetrics [metrics.k8s.io/v1beta1]
- PodMetrics [metrics.k8s.io/v1beta1]
- 网络 API
- 关于网络 API
- AdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- AdminPolicyBasedExternalRoute [k8s.ovn.org/v1]
- BaselineAdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- CloudPrivateIPConfig [cloud.network.openshift.io/v1]
- EgressFirewall [k8s.ovn.org/v1]
- EgressIP [k8s.ovn.org/v1]
- EgressQoS [k8s.ovn.org/v1]
- EgressService [k8s.ovn.org/v1]
- Endpoints [undefined/v1]
- EndpointSlice [discovery.k8s.io/v1]
- EgressRouter [network.operator.openshift.io/v1]
- Ingress [networking.k8s.io/v1]
- IngressClass [networking.k8s.io/v1]
- IPPool [whereabouts.cni.cncf.io/v1alpha1]
- MultiNetworkPolicy [k8s.cni.cncf.io/v1beta1]
- NetworkAttachmentDefinition [k8s.cni.cncf.io/v1]
- 网络策略 [networking.k8s.io/v1]
- 重叠范围IP预留 [whereabouts.cni.cncf.io/v1alpha1]
- Pod网络连接检查 [controlplane.operator.openshift.io/v1alpha1]
- 路由 [route.openshift.io/v1]
- 服务 [undefined/v1]
- 节点API
- OAuth API
- Operator API
- 关于Operator API
- 身份验证 [operator.openshift.io/v1]
- 云凭据 [operator.openshift.io/v1]
- 集群CSIDriver [operator.openshift.io/v1]
- 控制台 [operator.openshift.io/v1]
- 配置 [operator.openshift.io/v1]
- 配置 [imageregistry.operator.openshift.io/v1]
- 配置 [samples.operator.openshift.io/v1]
- CSISnapshot控制器 [operator.openshift.io/v1]
- DNS [operator.openshift.io/v1]
- DNS记录 [ingress.operator.openshift.io/v1]
- Etcd [operator.openshift.io/v1]
- 镜像内容来源策略 [operator.openshift.io/v1alpha1]
- 镜像清理器 [imageregistry.operator.openshift.io/v1]
- Ingress控制器 [operator.openshift.io/v1]
- Insights Operator [operator.openshift.io/v1]
- KubeAPIServer [operator.openshift.io/v1]
- KubeControllerManager [operator.openshift.io/v1]
- KubeScheduler [operator.openshift.io/v1]
- KubeStorageVersion迁移器 [operator.openshift.io/v1]
- 机器配置 [operator.openshift.io/v1]
- 网络 [operator.openshift.io/v1]
- OpenShiftAPIServer [operator.openshift.io/v1]
- OpenShiftControllerManager [operator.openshift.io/v1]
- OperatorPKI [network.operator.openshift.io/v1]
- 服务CA [operator.openshift.io/v1]
- 存储 [operator.openshift.io/v1]
- OperatorHub API
- 关于OperatorHub API
- 目录源 [operators.coreos.com/v1alpha1]
- 集群服务版本 [operators.coreos.com/v1alpha1]
- 安装计划 [operators.coreos.com/v1alpha1]
- OLM配置 [operators.coreos.com/v1]
- Operator [operators.coreos.com/v1]
- Operator条件 [operators.coreos.com/v2]
- Operator组 [operators.coreos.com/v1]
- 包清单 [packages.operators.coreos.com/v1]
- 订阅 [operators.coreos.com/v1alpha1]
- 策略API
- 项目API
- 供应API
- 关于供应API
- BMCEvent订阅 [metal3.io/v1alpha1]
- 裸机主机 [metal3.io/v1alpha1]
- 数据镜像 [metal3.io/v1alpha1]
- 固件模式 [metal3.io/v1alpha1]
- 硬件数据 [metal3.io/v1alpha1]
- 主机固件组件 [metal3.io/v1alpha1]
- 主机固件设置 [metal3.io/v1alpha1]
- Metal3补救 [infrastructure.cluster.x-k8s.io/v1beta1]
- Metal3补救模板 [infrastructure.cluster.x-k8s.io/v1beta1]
- 预配置镜像 [metal3.io/v1alpha1]
- 供应 [metal3.io/v1alpha1]
- RBAC API
- 角色API
- 调度和配额API
- 安全API
- 关于安全API
- 证书签名请求 [certificates.k8s.io/v1]
- 凭据请求 [cloudcredential.openshift.io/v1]
- Pod安全策略审查 [security.openshift.io/v1]
- Pod安全策略自身主体审查 [security.openshift.io/v1]
- Pod安全策略主体审查 [security.openshift.io/v1]
- 范围分配 [security.openshift.io/v1]
- 密钥 [undefined/v1]
- 安全上下文约束 [security.openshift.io/v1]
- 服务账户 [undefined/v1]
- 存储API
- 关于存储API
- CSIDriver [storage.k8s.io/v1]
- CSINode [storage.k8s.io/v1]
- CSI存储容量 [storage.k8s.io/v1]
- 持久卷 [undefined/v1]
- 持久卷声明 [undefined/v1]
- 存储类 [storage.k8s.io/v1]
- 存储状态 [migration.k8s.io/v1alpha1]
- 存储版本迁移 [migration.k8s.io/v1alpha1]
- 卷附件 [storage.k8s.io/v1]
- 卷快照 [snapshot.storage.k8s.io/v1]
- 卷快照类 [snapshot.storage.k8s.io/v1]
- 卷快照内容 [snapshot.storage.k8s.io/v1]
- 模板API
- 用户和组API
- 工作负载API
- 关于工作负载API
- 构建配置 [build.openshift.io/v1]
- 构建 [build.openshift.io/v1]
- 构建日志 [build.openshift.io/v1]
- 构建请求 [build.openshift.io/v1]
- 定时作业 [batch/v1]
- 守护进程集 [apps/v1]
- 部署 [apps/v1]
- 部署配置 [apps.openshift.io/v1]
- 部署配置回滚 [apps.openshift.io/v1]
- 部署日志 [apps.openshift.io/v1]
- 部署请求 [apps.openshift.io/v1]
- 作业 [batch/v1]
- Pod [undefined/v1]
- 复制控制器 [undefined/v1]
- 副本集 [apps/v1]
- 有状态集 [apps/v1]
- Lightspeed
- 服务网格
- 服务网格3.x
- 服务网格2.x
- 关于OpenShift服务网格
- 服务网格2.x发行说明
- 升级服务网格
- 了解服务网格
- 服务网格部署模型
- 服务网格和 Istio 的区别
- 准备安装服务网格
- 安装Operators
- 创建ServiceMeshControlPlane
- 将服务添加到服务网格
- 启用sidecar注入
- 管理用户和配置文件
- 安全
- 流量管理
- 网关迁移
- 路由迁移
- 指标、日志和跟踪
- 性能和可扩展性
- 部署到生产环境
- 联邦
- 扩展
- OpenShift服务网格控制台插件
- 2.1版本的3scale WebAssembly
- 2.0版本的3scale Istio适配器
- 服务网格故障排除
- 控制平面配置参考
- Kiali配置参考
- Jaeger配置参考
- 卸载服务网格
- 服务网格1.x
- 虚拟化
×
服务网格和 Istio 的区别
Red Hat OpenShift 服务网格与 Istio 安装不同,它提供了附加功能或在 OpenShift Container Platform 上部署时处理差异。
Istio 和 Red Hat OpenShift 服务网格之间的区别
服务网格和 Istio 的以下功能有所不同。
自动注入
上游 Istio 社区安装会自动将 sidecar 注入到您已标记的项目中的 Pod 中。
Red Hat OpenShift 服务网格不会自动将 sidecar 注入任何 Pod,但您必须使用注释选择加入注入,而无需标记项目。此方法需要的权限较少,并且不会与其他 OpenShift Container Platform 功能(如构建器 Pod)冲突。要启用自动注入,请指定 sidecar.istio.io/inject 标签或注释,如“自动 sidecar 注入”部分所述。
| 上游 Istio | Red Hat OpenShift 服务网格 | |
|---|---|---|
支持“已启用”和“已禁用” |
支持“已禁用” |
|
Pod 标签 |
支持“true”和“false” |
支持“true”和“false” |
Pod 注释 |
仅支持“false” |
支持“true”和“false” |
Istio 基于角色的访问控制功能
Istio 基于角色的访问控制 (RBAC) 提供了一种机制,您可以使用它来控制对服务的访问。您可以通过用户名或指定一组属性来识别主体,并相应地应用访问控制。
上游 Istio 社区安装包含执行精确标头匹配、匹配标头中的通配符或检查包含特定前缀或后缀的标头的选项。
Red Hat OpenShift Service Mesh 通过使用正则表达式扩展了匹配请求标头的能力。使用正则表达式指定属性键 request.regex.headers。
上游 Istio 社区匹配请求标头示例
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
name: httpbin-usernamepolicy
spec:
action: ALLOW
rules:
- when:
- key: 'request.regex.headers[username]'
values:
- "allowed.*"
selector:
matchLabels:
app: httpbinOpenSSL
Red Hat OpenShift Service Mesh 使用 OpenSSL 替换 BoringSSL。OpenSSL 是一个软件库,包含安全套接字层 (SSL) 和传输层安全 (TLS) 协议的开源实现。Red Hat OpenShift Service Mesh 代理二进制文件动态链接来自底层 Red Hat Enterprise Linux 操作系统的 OpenSSL 库 (libssl 和 libcrypto)。
虚拟机支持
您可以使用 OpenShift Virtualization 将虚拟机部署到 OpenShift。然后,您可以将网格策略(例如 mTLS 或 AuthorizationPolicy)应用于这些虚拟机,就像网格中的任何其他 Pod 一样。
组件修改
-
已向所有资源添加了maistra-version标签。
-
所有 Ingress 资源都已转换为 OpenShift Route 资源。
-
Grafana、分布式跟踪 (Jaeger) 和 Kiali 默认启用,并通过 OpenShift 路由公开。
-
Godebug 已从所有模板中删除。
-
istio-multiServiceAccount 和 ClusterRoleBinding 已被删除,istio-readerClusterRole 也已删除。
Envoy 过滤器
Red Hat OpenShift Service Mesh 不支持 EnvoyFilter 配置,除非在文档中明确说明。由于与底层 Envoy API 紧密耦合,因此无法保持向后兼容性。EnvoyFilter 修补程序对 Istio 生成的 Envoy 配置的格式非常敏感。如果 Istio 生成的配置发生更改,则可能会破坏 EnvoyFilter 的应用。
Istio 容器网络接口 (CNI) 插件
Red Hat OpenShift Service Mesh 包含 CNI 插件,它为您提供了一种配置应用程序 Pod 网络的替代方法。CNI 插件替换了init-container网络配置,无需向服务帐户和项目授予对具有提升权限的安全上下文约束 (SCC) 的访问权限。
|
默认情况下,Istio 容器网络接口 (CNI) Pod 会在所有 OpenShift Container Platform 节点上创建。要排除在特定节点中创建 CNI Pod,请将 |
网关
Red Hat OpenShift Service Mesh 默认安装入口和出口网关。您可以使用以下设置在ServiceMeshControlPlane (SMCP) 资源中禁用网关安装
-
spec.gateways.enabled=false禁用入口和出口网关。 -
spec.gateways.ingress.enabled=false禁用入口网关。 -
spec.gateways.egress.enabled=false禁用出口网关。
|
运营商会注释默认网关,以指示它们是由 Red Hat OpenShift Service Mesh 运营商生成和管理的。 |
Istio 网关的路由
Istio 网关的 OpenShift 路由在 Red Hat OpenShift Service Mesh 中自动管理。每次在服务网格内创建、更新或删除 Istio 网关时,都会创建、更新或删除 OpenShift 路由。
名为 Istio OpenShift Routing (IOR) 的 Red Hat OpenShift Service Mesh 控制平面组件会同步网关路由。有关更多信息,请参阅自动路由创建。
通配符域名
不支持通配符域名 ("*")。如果在网关定义中找到通配符域名,Red Hat OpenShift Service Mesh *将*创建路由,但将依赖 OpenShift 创建默认主机名。这意味着新创建的路由*不会*是通配符 ("*") 路由,而是将具有 <route-name>[-<project>].<suffix> 形式的主机名。有关默认主机名的工作方式以及cluster-admin如何自定义它的更多信息,请参阅 OpenShift Container Platform 文档。如果您使用 Red Hat OpenShift Dedicated,请参阅 Red Hat OpenShift Dedicated 的dedicated-admin角色。
多租户安装
上游 Istio 采用单租户方法,而 Red Hat OpenShift Service Mesh 支持集群内多个独立的控制平面。Red Hat OpenShift Service Mesh 使用多租户运营商来管理控制平面的生命周期。
Red Hat OpenShift Service Mesh 默认安装多租户控制平面。您可以指定可以访问服务网格的项目,并将服务网格与其他控制平面实例隔离开。
多租户与集群范围安装
多租户安装和集群范围安装的主要区别在于 istod 使用的权限范围。这些组件不再使用集群范围的基于角色的访问控制 (RBAC) 资源ClusterRoleBinding。
ServiceMeshMemberRoll members 列表中的每个项目都将拥有与控制平面部署关联的每个服务帐户的RoleBinding,并且每个控制平面部署将只监视这些成员项目。每个成员项目都添加了一个maistra.io/member-of标签,其中member-of值是包含控制平面安装的项目。
Red Hat OpenShift Service Mesh 会配置每个成员项目,以确保其自身、控制平面和其他成员项目之间的网络访问,方法是在每个成员项目中创建一个NetworkPolicy资源,允许来自其他成员和控制平面的所有 Pod 的入口流量。如果您从服务网格中删除成员,则此NetworkPolicy资源将从项目中删除。
|
这也将入口流量限制为仅限成员项目。如果您需要来自非成员项目的入口流量,则需要创建一个 |
Kiali 和服务网格
在 OpenShift Container Platform 上通过服务网格安装 Kiali 与社区版 Kiali 安装方式存在多种差异。这些修改有时是必要的,用于解决问题、提供额外功能或处理在 OpenShift Container Platform 上部署时的差异。
-
Kiali 已默认启用。
-
Ingress 已默认启用。
-
Kiali 的 ConfigMap 已更新。
-
Kiali 的 ClusterRole 设置已更新。
-
请勿编辑 ConfigMap,因为您的更改可能会被服务网格或 Kiali Operator 覆盖。Kiali Operator 管理的文件具有
kiali.io/标签或注释。更新 Operator 文件应仅限于拥有cluster-admin权限的用户。如果您使用 Red Hat OpenShift Dedicated,则更新 Operator 文件应仅限于拥有dedicated-admin权限的用户。
分布式追踪和服务网格
在 OpenShift Container Platform 上通过服务网格安装分布式追踪平台 (Jaeger) 与社区版 Jaeger 安装方式存在多种差异。这些修改有时是必要的,用于解决问题、提供额外功能或处理在 OpenShift Container Platform 上部署时的差异。
-
服务网格已默认启用分布式追踪。
-
服务网格已默认启用 Ingress。
-
Zipkin 端口名称已从
http更改为jaeger-collector-zipkin。 -
当您选择
production或streaming部署选项时,Jaeger 默认使用 Elasticsearch 进行存储。 -
社区版 Istio 提供了一个通用的“tracing”路由。Red Hat OpenShift Service Mesh 使用由 Red Hat OpenShift 分布式追踪平台 (Jaeger) Operator 安装的“jaeger”路由,并且该路由已受到 OAuth 保护。
-
Red Hat OpenShift Service Mesh 使用 Envoy 代理的 sidecar,Jaeger 也使用 Jaeger 代理的 sidecar。这两个 sidecar 是单独配置的,不应混淆。代理 sidecar 创建与 Pod 的入口和出口流量相关的跨度。代理 sidecar 创建与 Pod 的入站和出站流量相关的 span。agent sidecar 接收应用程序发出的 span 并将其发送到 Jaeger Collector。