apiVersion: maistra.io/v2
kind: ServiceMeshControlPlane
metadata:
name: red-mesh
namespace: red-mesh-system
spec:
version: v2.6
runtime:
defaults:
container:
imagePullPolicy: Always
gateways:
additionalEgress:
egress-green-mesh:
enabled: true
requestedNetworkView:
- green-network
routerMode: sni-dnat
service:
metadata:
labels:
federation.maistra.io/egress-for: egress-green-mesh
ports:
- port: 15443
name: tls
- port: 8188
name: http-discovery #note HTTP here
egress-blue-mesh:
enabled: true
requestedNetworkView:
- blue-network
routerMode: sni-dnat
service:
metadata:
labels:
federation.maistra.io/egress-for: egress-blue-mesh
ports:
- port: 15443
name: tls
- port: 8188
name: http-discovery #note HTTP here
additionalIngress:
ingress-green-mesh:
enabled: true
routerMode: sni-dnat
service:
type: LoadBalancer
metadata:
labels:
federation.maistra.io/ingress-for: ingress-green-mesh
ports:
- port: 15443
name: tls
- port: 8188
name: https-discovery #note HTTPS here
ingress-blue-mesh:
enabled: true
routerMode: sni-dnat
service:
type: LoadBalancer
metadata:
labels:
federation.maistra.io/ingress-for: ingress-blue-mesh
ports:
- port: 15443
name: tls
- port: 8188
name: https-discovery #note HTTPS here
security:
identity:
type: ThirdParty
trust:
domain: red-mesh.local
×
连接服务网格
联合是一种部署模型,允许您在不同管理域中管理的独立网格之间共享服务和工作负载。
联合概述
联合是一组功能,允许您连接不同网格之间的服务,从而允许跨多个不同的管理域使用服务网格功能,例如身份验证、授权和流量管理。
实现联合网格允许您运行、管理和观察跨多个 OpenShift 集群运行的单个服务网格。Red Hat OpenShift Service Mesh 联合采用了一种有见地的多集群服务网格实现方法,该方法假设网格之间具有最低限度的信任。
服务网格联合假设每个网格都是单独管理的,并保留其自己的管理员。默认行为是不允许任何通信,并且网格之间不共享任何信息。网格之间信息的共享基于明确的选择加入。除非已配置为共享,否则联合网格中不会共享任何内容。支持功能(例如证书生成、指标和跟踪收集)保留在其各自的网格中。
您可以在每个服务网格上配置ServiceMeshControlPlane,以专门为联合创建入口和出口网关,并指定网格的信任域。
联合还涉及创建额外的联合文件。以下资源用于配置两个或多个网格之间的联合。
-
ServiceMeshPeer 资源声明一对服务网格之间的联合。
-
ExportedServiceSet 资源声明网格中的一个或多个服务可供对等网格使用。
-
ImportedServiceSet 资源声明将从对等网格导出的哪些服务导入到网格中。
联合功能
Red Hat OpenShift Service Mesh 联合方法连接网格的功能包括:
-
支持每个网格的公共根证书。
-
支持每个网格的不同根证书。
-
网格管理员必须手动配置联合网格外部网格的证书链、服务发现端点、信任域等。
-
仅导出/导入您希望在网格之间共享的服务。
-
默认情况下不与联合中的其他网格共享有关已部署工作负载的信息。可以导出服务以使其对其他网格可见,并允许来自其自身网格以外的工作负载的请求。
-
已导出的服务可以导入到另一个网格,从而使该网格上的工作负载能够向导入的服务发送请求。
-
-
始终加密网格之间的通信。
-
支持在本地部署的工作负载和联合中另一个网格中部署的工作负载之间配置负载均衡。
当一个网格加入另一个网格时,它可以执行以下操作:
-
向联合网格提供有关其自身的信任详细信息。
-
发现有关联合网格的信任详细信息。
-
向联合网格提供有关其自身导出服务的信息。
-
发现有关联合网格导出服务的信息。
联合安全性
Red Hat OpenShift Service Mesh 联合采用了一种有见地的多集群服务网格实现方法,该方法假设网格之间具有最低限度的信任。数据安全作为联合功能的一部分内置。
-
每个网格都被视为具有唯一管理的唯一租户。
-
您为联合中的每个网格创建一个唯一的信任域。
-
联合网格之间的流量使用双向传输层安全 (mTLS) 自动加密。
-
Kiali 图表仅显示您已导入的网格和服务。您无法看到未导入到您网格中的其他网格或服务。
联合先决条件
Red Hat OpenShift Service Mesh 联合方法连接网格具有以下先决条件:
-
两个或多个 Red Hat OpenShift Service on AWS 4.6 或更高版本的集群。
-
联合功能在 Red Hat OpenShift Service Mesh 2.1 或更高版本中引入。您必须在要联合的每个网格上安装 Red Hat OpenShift Service Mesh 2.1 或更高版本的 Operator。
-
您必须在要联合的每个网格上部署 2.1 或更高版本的
ServiceMeshControlPlane。 -
您必须将支持与联合网关关联的服务的负载均衡器配置为支持原始 TLS 流量。联合流量包括用于发现的 HTTPS 和用于服务流量的原始加密 TCP。
-
您希望向另一个网格公开的服务应在您导出和导入它们之前部署。但是,这不是严格的要求。您可以指定尚不存在的用于导出/导入的服务名称。当您部署
ExportedServiceSet和ImportedServiceSet中命名的服务时,它们将自动可用以进行导出/导入。
规划您的网格联合
在开始配置网格联合之前,您应该花一些时间来规划您的实现。
-
您计划在联合中加入多少个网格?您可能希望从有限数量的网格开始,也许是两三个。
-
您计划为每个网格使用什么命名约定?预定义的命名约定将有助于配置和故障排除。本文档中的示例对每个网格使用不同的颜色。您应该确定一个命名约定,这将帮助您确定谁拥有和管理每个网格,以及以下联合资源:
-
集群名称
-
集群网络名称
-
网格名称和命名空间
-
联合入口网关
-
联合出口网关
-
安全信任域
联合中的每个网格必须拥有其自己的唯一信任域。
-
-
您计划从每个网格导出哪些服务到联合网格?可以单独导出每个服务,也可以指定标签或使用通配符。
-
您是否要为服务命名空间使用别名?
-
您是否要为导出的服务使用别名?
-
-
每个网格计划导入哪些导出的服务?每个网格只导入其需要的服务。
-
您是否希望为导入的服务使用别名?
-
跨集群的 Mesh 联邦
要将一个 OpenShift Service Mesh 实例连接到另一个集群中运行的实例,其过程与连接部署在同一集群中的两个 Mesh 并没有太大区别。但是,一个 Mesh 的入口网关必须能够从另一个 Mesh 访问。确保这一点的一种方法是,如果集群支持此类服务,则将网关服务配置为LoadBalancer服务。
该服务必须通过在 OSI 模型的第 4 层运行的负载均衡器公开。
在裸机上运行的集群上公开联邦入口
如果集群在裸机上运行并完全支持LoadBalancer服务,则应将入口网关Service对象.status.loadBalancer.ingress.ip字段中找到的 IP 地址指定为ServiceMeshPeer对象的.spec.remote.addresses字段中的一个条目。
如果集群不支持LoadBalancer服务,如果节点可以从运行另一个 Mesh 的集群访问,则可以使用NodePort服务。在ServiceMeshPeer对象中,在.spec.remote.addresses字段中指定节点的 IP 地址,并在.spec.remote.discoveryPort和.spec.remote.servicePort字段中指定服务的节点端口。
在 Amazon Web Services (AWS) 上公开联邦入口
默认情况下,在 AWS 上运行的集群中的 LoadBalancer 服务不支持 L4 负载均衡。为了使 Red Hat OpenShift Service Mesh 联邦正常运行,必须将以下注释添加到入口网关服务
service.beta.kubernetes.io/aws-load-balancer-type: nlb
应将入口网关Service对象.status.loadBalancer.ingress.hostname字段中找到的完全限定域名指定为ServiceMeshPeer对象的.spec.remote.addresses字段中的一个条目。
联邦实施清单
联邦服务网格涉及以下活动:
-
配置您要联合的集群之间的网络。
-
配置支持与联邦网关关联的服务的负载均衡器以支持原始 TLS 流量。
-
-
在每个集群中安装 Red Hat OpenShift Service Mesh 2.1 或更高版本的操作器。
-
将 2.1 或更高版本的
ServiceMeshControlPlane部署到您的每个集群。 -
为要联合的每个 Mesh 配置 SMCP 进行联邦。
-
为每个要联合的 Mesh 创建一个联邦出口网关。
-
为每个要联合的 Mesh 创建一个联邦入口网关。
-
配置一个唯一的信任域。
-
-
通过为每个 Mesh 对创建
ServiceMeshPeer资源来联合两个或多个 Mesh。 -
通过创建
ExportedServiceSet资源来导出服务,以便从一个 Mesh 使服务可用于对等 Mesh。 -
通过创建
ImportedServiceSet资源来导入对等 Mesh 共享的服务。
配置用于联邦的服务网格控制平面
在可以联合 Mesh 之前,必须配置ServiceMeshControlPlane进行 Mesh 联邦。由于联邦中的所有 Mesh 都是平等的,并且每个 Mesh 都独立管理,因此必须为将参与联邦的每个Mesh 配置 SMCP。
在下面的示例中,red-mesh的管理员正在配置 SMCP 以与green-mesh和blue-mesh进行联邦。
red-mesh 的 SMCP 示例
| 参数 | 描述 | 值 | 默认值 |
|---|---|---|---|
spec:
cluster:
name: |
集群名称。您不需要指定集群名称,但这有助于进行故障排除。 |
字符串 |
N/A |
spec:
cluster:
network: |
集群网络名称。您不需要指定网络名称,但这有助于配置和故障排除。 |
字符串 |
N/A |
了解联邦网关
您可以使用网关来管理 Mesh 的入站和出站流量,从而指定您希望进入或离开 Mesh 的流量。
您可以使用入口和出口网关来管理进入和离开服务网格的流量(南北向流量)。创建联邦网格时,您会创建额外的入口/出口网关,以促进联邦网格之间的服务发现、联邦网格之间的通信以及管理服务网格之间的流量流(东西向流量)。
为了避免 Mesh 之间的命名冲突,必须为每个 Mesh 创建单独的出口和入口网关。例如,red-mesh将拥有分别用于与green-mesh和blue-mesh通信的出口网关。
| 参数 | 描述 | 值 | 默认值 |
|---|---|---|---|
spec:
gateways:
additionalEgress:
<egress_name>: |
为联邦中的每个Mesh 对等体定义一个额外的出口网关。 |
||
spec:
gateways:
additionalEgress:
<egress_name>:
enabled: |
此参数启用或禁用联邦出口。 |
|
|
spec:
gateways:
additionalEgress:
<egress_name>:
requestedNetworkView: |
与导出的服务关联的网络。 |
设置为 Mesh 的 SMCP 中 |
|
spec:
gateways:
additionalEgress:
<egress_name>:
service:
metadata:
labels:
federation.maistra.io/egress-for: |
指定网关的唯一标签,以防止联邦流量通过集群的默认系统网关。 |
||
spec:
gateways:
additionalEgress:
<egress_name>:
service:
ports: |
用于指定用于 TLS 和服务发现的 |
端口 |
|
spec:
gateways:
additionalIngress: |
为联邦中的每个Mesh 对等体定义一个额外的入口网关。 |
||
spec:
gateways:
additionalIgress:
<ingress_name>:
enabled: |
此参数启用或禁用联邦入口。 |
|
|
spec:
gateways:
additionalIngress:
<ingress_name>:
service:
type: |
入口网关服务必须通过在 OSI 模型的第 4 层运行且公开可用的负载均衡器公开。 |
|
|
spec:
gateways:
additionalIngress:
<ingress_name>:
service:
type: |
如果集群不支持 |
|
|
spec:
gateways:
additionalIngress:
<ingress_name>:
service:
metadata:
labels:
federation.maistra.io/ingress-for: |
指定网关的唯一标签,以防止联邦流量通过集群的默认系统网关。 |
||
spec:
gateways:
additionalIngress:
<ingress_name>:
service:
ports: |
用于指定用于 TLS 和服务发现的 |
端口 `15443` 用于接收联盟中其他网格的 TLS 服务请求。端口 `8188` 用于接收联盟中其他网格的服务发现请求。 |
|
spec:
gateways:
additionalIngress:
<ingress_name>:
service:
ports:
nodePort: |
如果集群不支持 `LoadBalancer` 服务,则用于指定 `nodePort:`。 |
如果指定,则除了 TLS 和服务发现的 `port:` 和 `name:` 之外还需要此参数。`nodePort:` 必须在 `30000` 到 `32767` 范围内。 |
在以下示例中,管理员正在使用 `NodePort` 服务配置用于与 `green-mesh` 联合的 SMCP。
NodePort 的 SMCP 示例
apiVersion: maistra.io/v2
kind: ServiceMeshControlPlane
metadata:
name: green-mesh
namespace: green-mesh-system
spec:
# ...
gateways:
additionalIngress:
ingress-green-mesh:
enabled: true
service:
type: NodePort
metadata:
labels:
federation.maistra.io/ingress-for: ingress-green-mesh
ports:
- port: 15443
nodePort: 30510
name: tls
- port: 8188
nodePort: 32359
name: https-discovery理解联邦信任域参数
联盟中的每个网格都必须拥有自己唯一的信任域。此值用于在 `ServiceMeshPeer` 资源中配置网格联合。
kind: ServiceMeshControlPlane
metadata:
name: red-mesh
namespace: red-mesh-system
spec:
security:
trust:
domain: red-mesh.local| 参数 | 描述 | 值 | 默认值 |
|---|---|---|---|
spec:
security:
trust:
domain: |
用于为网格的信任域指定唯一名称。在联盟中的每个网格中,域必须唯一。 |
|
N/A |
控制台操作步骤
请按照此步骤使用 Red Hat OpenShift Service on AWS Web 控制台编辑 `ServiceMeshControlPlane`。此示例使用 `red-mesh` 作为示例。
-
以具有 cluster-admin 角色的用户身份登录 Red Hat OpenShift Service on AWS Web 控制台。
-
导航到 **Operators** → **Installed Operators**。
-
单击 **Project** 菜单并选择安装 Service Mesh 控制平面的项目。例如,`red-mesh-system`。
-
单击 Red Hat OpenShift Service Mesh Operator。
-
在 **Istio Service Mesh Control Plane** 选项卡上,单击您的 `ServiceMeshControlPlane` 的名称,例如 `red-mesh`。
-
在 **Create ServiceMeshControlPlane Details** 页面上,单击 `YAML` 以修改您的配置。
-
修改您的 `ServiceMeshControlPlane` 以添加联邦入口和出口网关并指定信任域。
-
单击 **Save**。
CLI 操作步骤
请按照此步骤使用命令行创建或编辑 `ServiceMeshControlPlane`。此示例使用 `red-mesh` 作为示例。
-
以具有 `cluster-admin` 角色的用户身份登录 Red Hat OpenShift Service on AWS CLI。输入以下命令。然后,在系统提示时输入您的用户名和密码。
$ oc login --username=<NAMEOFUSER> https://<HOSTNAME>:6443 -
切换到安装 Service Mesh 控制平面的项目,例如 red-mesh-system。
$ oc project red-mesh-system -
编辑 `ServiceMeshControlPlane` 文件以添加联邦入口和出口网关并指定信任域。
-
运行以下命令以编辑 Service Mesh 控制平面,其中 `red-mesh-system` 是系统命名空间,`red-mesh` 是 `ServiceMeshControlPlane` 对象的名称
$ oc edit -n red-mesh-system smcp red-mesh -
输入以下命令(其中 `red-mesh-system` 是系统命名空间),查看 Service Mesh 控制平面安装的状态。
$ oc get smcp -n red-mesh-system当 READY 列指示所有组件都已准备就绪时,安装已成功完成。
NAME READY STATUS PROFILES VERSION AGE red-mesh 10/10 ComponentsReady ["default"] 2.1.0 4m25s
加入联邦网格
您可以通过创建 `ServiceMeshPeer` 资源来声明两个网格之间的联邦。`ServiceMeshPeer` 资源定义了两个网格之间的联邦,您可以使用它来配置对等网格的发现、对对等网格的访问以及用于验证其他网格客户端的证书。
网格是一对一进行联邦的,因此每对对等体都需要一对 `ServiceMeshPeer` 资源来指定与其他服务网格的联邦连接。例如,联合名为 `red` 和 `green` 的两个网格需要两个 `ServiceMeshPeer` 文件。
-
在 red-mesh-system 上,为 green 网格创建一个 `ServiceMeshPeer`。
-
在 green-mesh-system 上,为 red 网格创建一个 `ServiceMeshPeer`。
联合名为 `red`、`blue` 和 `green` 的三个网格需要六个 `ServiceMeshPeer` 文件。
-
在 red-mesh-system 上,为 green 网格创建一个 `ServiceMeshPeer`。
-
在 red-mesh-system 上,为 blue 网格创建一个 `ServiceMeshPeer`。
-
在 green-mesh-system 上,为 red 网格创建一个 `ServiceMeshPeer`。
-
在 green-mesh-system 上,为 blue 网格创建一个 `ServiceMeshPeer`。
-
在 blue-mesh-system 上,为 red 网格创建一个 `ServiceMeshPeer`。
-
在 blue-mesh-system 上,为 green 网格创建一个 `ServiceMeshPeer`。
`ServiceMeshPeer` 资源中的配置包括以下内容
-
其他网格入口网关的地址,用于发现和服务请求。
-
用于与指定对等网格交互的本地入口和出口网关的名称。
-
其他网格在向此网格发送请求时使用的客户端 ID。
-
其他网格使用的信任域。
-
包含根证书的 `ConfigMap` 的名称,该证书用于验证其他网格信任域中使用的客户端证书。
在以下示例中,`red-mesh` 的管理员正在配置与 `green-mesh` 的联邦。
red-mesh 的 ServiceMeshPeer 资源示例
kind: ServiceMeshPeer
apiVersion: federation.maistra.io/v1
metadata:
name: green-mesh
namespace: red-mesh-system
spec:
remote:
addresses:
- ingress-red-mesh.green-mesh-system.apps.domain.com
gateways:
ingress:
name: ingress-green-mesh
egress:
name: egress-green-mesh
security:
trustDomain: green-mesh.local
clientID: green-mesh.local/ns/green-mesh-system/sa/egress-red-mesh-service-account
certificateChain:
kind: ConfigMap
name: green-mesh-ca-root-cert| 参数 | 描述 | 值 |
|---|---|---|
metadata: name: |
此资源正在与其配置联邦的对等网格的名称。 |
字符串 |
metadata: namespace: |
此网格的系统命名空间,即安装 Service Mesh 控制平面的位置。 |
字符串 |
spec:
remote:
addresses: |
对等网格入口网关的公共地址列表,这些网关正在处理来自此网格的请求。 |
|
spec:
remote:
discoveryPort: |
地址处理发现请求的端口。 |
默认为 8188 |
spec:
remote:
servicePort: |
地址处理服务请求的端口。 |
默认为 15443 |
spec:
gateways:
ingress:
name: |
此网格上正在处理从对等网格接收到的请求的入口的名称。例如,`ingress-green-mesh`。 |
|
spec:
gateways:
egress:
name: |
此网格上正在处理发送到对等网格的请求的出口的名称。例如,`egress-green-mesh`。 |
|
spec:
security:
trustDomain: |
对等网格使用的信任域。 |
<peerMeshName>.local |
spec:
security:
clientID: |
对等网格在调用此网格时使用的客户端 ID。 |
<peerMeshTrustDomain>/ns/<peerMeshSystem>/sa/<peerMeshEgressGatewayName>-service-account |
spec:
security:
certificateChain:
kind: ConfigMap
name: |
包含用于验证对等网格向此网格提供的客户端和服务器证书的根证书的资源的种类(例如,ConfigMap)和名称。包含证书的 configmap 条目的密钥应为 `root-cert.pem`。 |
kind: ConfigMap name: <peerMesh>-ca-root-cert |
创建 ServiceMeshPeer 资源
先决条件
-
两个或多个 Red Hat OpenShift Service on AWS 4.6 或更高版本的集群。
-
集群必须已经联网。
-
支持与联邦网关关联的服务的负载均衡器必须配置为支持原始 TLS 流量。
-
每个集群都必须部署了已配置为支持联邦的 2.1 或更高版本的 `ServiceMeshControlPlane`。
-
具有 `cluster-admin` 角色的帐户。
CLI 操作步骤
请按照以下步骤从命令行创建ServiceMeshPeer资源。此示例展示了red-mesh如何为green-mesh创建对等资源。
-
以具有 `cluster-admin` 角色的用户身份登录 Red Hat OpenShift Service on AWS CLI。输入以下命令。然后,在系统提示时输入您的用户名和密码。
$ oc login --username=<NAMEOFUSER> <API token> https://<HOSTNAME>:6443 -
切换到安装控制平面的项目,例如,
red-mesh-system。$ oc project red-mesh-system -
基于以下示例,为要联合的两个网格创建
ServiceMeshPeer文件。red-mesh到green-mesh的ServiceMeshPeer资源示例kind: ServiceMeshPeer apiVersion: federation.maistra.io/v1 metadata: name: green-mesh namespace: red-mesh-system spec: remote: addresses: - ingress-red-mesh.green-mesh-system.apps.domain.com gateways: ingress: name: ingress-green-mesh egress: name: egress-green-mesh security: trustDomain: green-mesh.local clientID: green-mesh.local/ns/green-mesh-system/sa/egress-red-mesh-service-account certificateChain: kind: ConfigMap name: green-mesh-ca-root-cert -
运行以下命令来部署资源,其中
red-mesh-system是系统命名空间,servicemeshpeer.yaml包含您编辑的文件的完整路径$ oc create -n red-mesh-system -f servicemeshpeer.yaml -
要确认red-mesh和green-mesh之间的连接是否已建立,请检查red-mesh-system命名空间中green-mesh的
ServiceMeshPeer的状态。$ oc -n red-mesh-system get servicemeshpeer green-mesh -o yamlred-mesh和green-mesh之间ServiceMeshPeer连接示例status: discoveryStatus: active: - pod: istiod-red-mesh-b65457658-9wq5j remotes: - connected: true lastConnected: "2021-10-05T13:02:25Z" lastFullSync: "2021-10-05T13:02:25Z" source: 10.128.2.149 watch: connected: true lastConnected: "2021-10-05T13:02:55Z" lastDisconnectStatus: 503 Service Unavailable lastFullSync: "2021-10-05T13:05:43Z"status.discoveryStatus.active.remotes字段显示对等网格(在此示例中为green-mesh)中的istiod已连接到当前网格(在此示例中为red-mesh)中的istiod。status.discoveryStatus.active.watch字段显示当前网格中的istiod已连接到对等网格中的istiod。如果您检查
green-mesh-system中名为red-mesh的servicemeshpeer,您可以从green-mesh的角度找到关于这两个连接的相同信息。当两个网格之间的连接未建立时,
ServiceMeshPeer状态会在status.discoveryStatus.inactive字段中指示这一点。有关连接尝试失败原因的更多信息,请检查Istiod日志、处理对等方出站流量的出站网关的访问日志以及对等方中处理当前网格入站流量的入站网关。
例如,如果red-mesh无法连接到green-mesh,请检查以下日志:
-
red-mesh-system中的istiod-red-mesh
-
red-mesh-system中的egress-green-mesh
-
green-mesh-system中的ingress-red-mesh
-
从联合网格导出服务
导出服务允许网格与联合网格中的其他成员共享一个或多个服务。
您可以使用ExportedServiceSet资源来声明要向联合网格中的另一个对等方提供的来自一个网格的服务。您必须明确声明要与对等方共享的每个服务。
-
您可以按命名空间或名称选择服务。
-
您可以使用通配符来选择服务;例如,导出命名空间中的所有服务。
-
您可以使用别名导出服务。例如,您可以将
foo/bar服务导出为custom-ns/bar。 -
您只能导出对网格的系统命名空间可见的服务。例如,另一个命名空间中设置了
networking.istio.io/exportTo标签为“.”的服务将不是导出的候选者。 -
对于导出的服务,其目标服务只会看到来自入站网关的流量,而不会看到原始请求者(也就是说,它们不会看到其他网格的出站网关或发起请求的工作负载的客户端ID)。
以下示例是red-mesh导出到green-mesh的服务。
ExportedServiceSet资源示例
kind: ExportedServiceSet
apiVersion: federation.maistra.io/v1
metadata:
name: green-mesh
namespace: red-mesh-system
spec:
exportRules:
# export ratings.mesh-x-bookinfo as ratings.bookinfo
- type: NameSelector
nameSelector:
namespace: red-mesh-bookinfo
name: red-ratings
alias:
namespace: bookinfo
name: ratings
# export any service in red-mesh-bookinfo namespace with label export-service=true
- type: LabelSelector
labelSelector:
namespace: red-mesh-bookinfo
selector:
matchLabels:
export-service: "true"
aliases: # export all matching services as if they were in the bookinfo namespace
- namespace: "*"
name: "*"
alias:
namespace: bookinfo| 参数 | 描述 | 值 |
|---|---|---|
metadata: name: |
您要向其公开此服务的ServiceMeshPeer的名称。 |
必须与 |
metadata: namespace: |
包含此资源的项目/命名空间的名称(应该是网格的系统命名空间)。 |
|
spec: exportRules: - type: |
将控制此服务导出的规则类型。将使用为服务找到的第一个匹配规则进行导出。 |
|
spec:
exportRules:
- type: NameSelector
nameSelector:
namespace:
name: |
要创建 |
|
spec:
exportRules:
- type: NameSelector
nameSelector:
alias:
namespace:
name: |
要创建使用服务别名的 |
|
spec:
exportRules:
- type: LabelSelector
labelSelector:
namespace: <exportingMesh>
selector:
matchLabels:
<labelKey>: <labelValue> |
要创建 |
|
spec:
exportRules:
- type: LabelSelector
labelSelector:
namespace: <exportingMesh>
selector:
matchLabels:
<labelKey>: <labelValue>
aliases:
- namespace:
name:
alias:
namespace:
name: |
要创建使用服务别名的 |
将red-mesh中所有命名空间中名为“ratings”的服务导出到blue-mesh。
kind: ExportedServiceSet
apiVersion: federation.maistra.io/v1
metadata:
name: blue-mesh
namespace: red-mesh-system
spec:
exportRules:
- type: NameSelector
nameSelector:
namespace: "*"
name: ratings将west-data-center命名空间中的所有服务导出到green-mesh。
kind: ExportedServiceSet
apiVersion: federation.maistra.io/v1
metadata:
name: green-mesh
namespace: red-mesh-system
spec:
exportRules:
- type: NameSelector
nameSelector:
namespace: west-data-center
name: "*"创建ExportedServiceSet
您可以创建一个ExportedServiceSet资源来明确声明要向网格对等方提供的服务。
服务导出为<export-name>.<export-namespace>.svc.<ServiceMeshPeer.name>-exports.local,并将自动路由到目标服务。这是导出服务在导出网格中已知的名称。当入站网关收到发往此名称的请求时,它将被路由到正在导出的实际服务。例如,如果名为ratings.red-mesh-bookinfo的服务导出到green-mesh为ratings.bookinfo,则该服务将以ratings.bookinfo.svc.green-mesh-exports.local的名称导出,并且入站网关接收到的该主机名的流量将被路由到ratings.red-mesh-bookinfo服务。
|
当您将 |
先决条件
-
集群和
ServiceMeshControlPlane已配置为网格联合。 -
具有 `cluster-admin` 角色的帐户。
|
即使服务尚不存在,您也可以配置要导出的服务。当部署与 |
CLI 操作步骤
请按照以下步骤从命令行创建ExportedServiceSet。
-
以具有 `cluster-admin` 角色的用户身份登录 Red Hat OpenShift Service on AWS CLI。输入以下命令。然后,在系统提示时输入您的用户名和密码。
$ oc login --username=<NAMEOFUSER> <API token> https://<HOSTNAME>:6443 -
切换到安装Service Mesh控制平面的项目;例如,
red-mesh-system。$ oc project red-mesh-system -
基于以下示例创建
ExportedServiceSet文件,其中red-mesh正在将服务导出到green-mesh。从red-mesh到green-mesh的ExportedServiceSet资源示例apiVersion: federation.maistra.io/v1 kind: ExportedServiceSet metadata: name: green-mesh namespace: red-mesh-system spec: exportRules: - type: NameSelector nameSelector: namespace: red-mesh-bookinfo name: ratings alias: namespace: bookinfo name: red-ratings - type: NameSelector nameSelector: namespace: red-mesh-bookinfo name: reviews -
运行以下命令以上传并在red-mesh-system命名空间中创建
ExportedServiceSet资源。$ oc create -n <ControlPlaneNamespace> -f <ExportedServiceSet.yaml>例如
$ oc create -n red-mesh-system -f export-to-green-mesh.yaml -
根据需要为联合网格中的每个网格对等方创建额外的
ExportedServiceSets。
验证
-
运行以下命令以验证red-mesh导出以与green-mesh共享的服务。
$ oc get exportedserviceset <PeerMeshExportedTo> -o yaml例如
$ oc -n red-mesh-system get exportedserviceset green-mesh -o yaml验证从red-mesh导出的与green-mesh共享的服务的示例。status: exportedServices: - exportedName: red-ratings.bookinfo.svc.green-mesh-exports.local localService: hostname: ratings.red-mesh-bookinfo.svc.cluster.local name: ratings namespace: red-mesh-bookinfo - exportedName: reviews.red-mesh-bookinfo.svc.green-mesh-exports.local localService: hostname: reviews.red-mesh-bookinfo.svc.cluster.local name: reviews namespace: red-mesh-bookinfostatus.exportedServices数组列出了当前导出的服务(这些服务与ExportedServiceSet对象中的导出规则匹配)。数组中的每个条目都指示导出的服务的名称以及有关正在导出的本地服务的详细信息。如果您期望导出的服务缺失,请确认Service对象存在,其名称或标签与
ExportedServiceSet对象中定义的exportRules匹配,并且Service对象的命名空间使用ServiceMeshMemberRoll或ServiceMeshMember对象配置为服务网格的成员。
将服务导入联合网格
导入服务允许您明确指定应在您的服务网格中访问哪些从另一个网格导出的服务。
使用ImportedServiceSet资源选择要导入的服务。只有由网格对等体导出并显式导入的服务才可用于网格。未显式导入的服务不会在网格内可用。
-
您可以按命名空间或名称选择服务。
-
您可以使用通配符选择服务,例如,导入导出到命名空间的所有服务。
-
您可以使用标签选择器选择要导出的服务,该选择器可以是网格全局的,也可以是特定成员命名空间范围内的。
-
您可以使用别名导入服务。例如,您可以将
custom-ns/bar服务导入为other-mesh/bar。 -
您可以指定自定义域名后缀,该后缀将附加到导入服务的
name.namespace,以形成其完全限定域名;例如,bar.other-mesh.imported.local。
以下示例是green-mesh导入red-mesh导出的服务。
ImportedServiceSet示例
kind: ImportedServiceSet
apiVersion: federation.maistra.io/v1
metadata:
name: red-mesh #name of mesh that exported the service
namespace: green-mesh-system #mesh namespace that service is being imported into
spec:
importRules: # first matching rule is used
# import ratings.bookinfo as ratings.bookinfo
- type: NameSelector
importAsLocal: false
nameSelector:
namespace: bookinfo
name: ratings
alias:
# service will be imported as ratings.bookinfo.svc.red-mesh-imports.local
namespace: bookinfo
name: ratings| 参数 | 描述 | 值 |
|---|---|---|
metadata: name: |
导出服务到联邦网格的ServiceMeshPeer名称。 |
|
metadata: namespace: |
包含ServiceMeshPeer资源的命名空间名称(网格系统命名空间)。 |
|
spec: importRules: - type: |
将管理服务导入的规则类型。将使用为服务找到的第一个匹配规则进行导入。 |
|
spec:
importRules:
- type: NameSelector
nameSelector:
namespace:
name: |
要创建 |
|
spec:
importRules:
- type: NameSelector
importAsLocal: |
设置为 |
|
spec:
importRules:
- type: NameSelector
nameSelector:
namespace:
name:
alias:
namespace:
name: |
要创建使用服务别名的 |
将
red-mesh中的"bookinfo/ratings"服务导入到blue-mesh。kind: ImportedServiceSet
apiVersion: federation.maistra.io/v1
metadata:
name: red-mesh
namespace: blue-mesh-system
spec:
importRules:
- type: NameSelector
importAsLocal: false
nameSelector:
namespace: bookinfo
name: ratings将
red-mesh的west-data-center命名空间中的所有服务导入到green-mesh。这些服务将可访问为<name>.west-data-center.svc.red-mesh-imports.localkind: ImportedServiceSet
apiVersion: federation.maistra.io/v1
metadata:
name: red-mesh
namespace: green-mesh-system
spec:
importRules:
- type: NameSelector
importAsLocal: false
nameSelector:
namespace: west-data-center
name: "*"创建ImportedServiceSet
您可以创建一个ImportedServiceSet资源来显式声明要导入到网格中的服务。
服务以名称<exported-name>.<exported-namespace>.svc.<ServiceMeshPeer.name>.remote导入,这是一个“隐藏”服务,仅在出口网关命名空间内可见,并与导出的服务的主机名关联。该服务将在本地作为<export-name>.<export-namespace>.<domainSuffix>可用,其中domainSuffix默认为svc.<ServiceMeshPeer.name>-imports.local,除非importAsLocal设置为true,在这种情况下domainSuffix为svc.cluster.local。如果importAsLocal设置为false,则将应用导入规则中的域名后缀。您可以像处理网格中的任何其他服务一样处理本地导入。它会自动通过出口网关路由,在那里它会被重定向到导出的服务的远程名称。
先决条件
-
集群和
ServiceMeshControlPlane已配置为网格联合。 -
具有 `cluster-admin` 角色的帐户。
|
即使服务尚未导出,您也可以配置要导入的服务。当部署并导出与 |
步骤
请按照此步骤从命令行创建ImportedServiceSet。
-
以具有 `cluster-admin` 角色的用户身份登录 Red Hat OpenShift Service on AWS CLI。输入以下命令。然后,在系统提示时输入您的用户名和密码。
$ oc login --username=<NAMEOFUSER> <API token> https://<HOSTNAME>:6443 -
切换到安装Service Mesh控制平面的项目;例如,
green-mesh-system。$ oc project green-mesh-system -
基于以下示例创建一个
ImportedServiceSet文件,其中green-mesh正在导入先前由red-mesh导出的服务。从red-mesh到green-mesh的ImportedServiceSet资源示例kind: ImportedServiceSet apiVersion: federation.maistra.io/v1 metadata: name: red-mesh namespace: green-mesh-system spec: importRules: - type: NameSelector importAsLocal: false nameSelector: namespace: bookinfo name: red-ratings alias: namespace: bookinfo name: ratings -
运行以下命令以在
green-mesh-system命名空间中上传和创建ImportedServiceSet资源。$ oc create -n <ControlPlaneNamespace> -f <ImportedServiceSet.yaml>例如
$ oc create -n green-mesh-system -f import-from-red-mesh.yaml -
根据需要为联邦网格中的每个网格对等体创建其他
ImportedServiceSet资源。
验证
-
运行以下命令以验证服务是否已导入到
green-mesh中。$ oc get importedserviceset <PeerMeshImportedInto> -o yaml使用green-mesh-system命名空间中importedserviceset/red-mesh'对象的status部分验证从red-mesh导出的服务是否已导入到green-mesh中的示例$ oc -n green-mesh-system get importedserviceset/red-mesh -o yamlstatus: importedServices: - exportedName: red-ratings.bookinfo.svc.green-mesh-exports.local localService: hostname: ratings.bookinfo.svc.red-mesh-imports.local name: ratings namespace: bookinfo - exportedName: reviews.red-mesh-bookinfo.svc.green-mesh-exports.local localService: hostname: "" name: "" namespace: ""在前面的示例中,仅导入了ratings服务,如
localService下填充的字段所示。reviews服务可供导入,但当前未导入,因为它与ImportedServiceSet对象中的任何importRules都不匹配。
配置联邦网格以进行故障转移
故障转移是指自动且无缝地切换到可靠的备份系统(例如另一个服务器)的能力。对于联邦网格,您可以配置一个网格中的服务以故障转移到另一个网格中的服务。
您可以通过在ImportedServiceSet资源中设置importAsLocal和locality设置,然后配置一个DestinationRule来为服务配置到ImportedServiceSet中指定的本地位置的故障转移来配置故障转移的联邦。
先决条件
-
两个或多个已联网并已联合的Red Hat OpenShift Service on AWS 4.6或更高版本集群。
-
已为联邦网格中的每个网格对等体创建
ExportedServiceSet资源。 -
已为联邦网格中的每个网格对等体创建
ImportedServiceSet资源。 -
具有 `cluster-admin` 角色的帐户。
配置ImportedServiceSet以进行故障转移
基于位置的加权负载均衡允许管理员根据流量的来源和终止位置来控制流量到端点的分布。这些位置使用任意标签指定,这些标签以{region}/{zone}/{sub-zone}的形式指定位置层次结构。
在本节中的示例中,green-mesh位于us-east区域,red-mesh位于us-west区域。
从red-mesh到green-mesh的ImportedServiceSet资源示例
kind: ImportedServiceSet
apiVersion: federation.maistra.io/v1
metadata:
name: red-mesh #name of mesh that exported the service
namespace: green-mesh-system #mesh namespace that service is being imported into
spec:
importRules: # first matching rule is used
# import ratings.bookinfo as ratings.bookinfo
- type: NameSelector
importAsLocal: true
nameSelector:
namespace: bookinfo
name: ratings
alias:
# service will be imported as ratings.bookinfo.svc.red-mesh-imports.local
namespace: bookinfo
name: ratings
#Locality within which imported services should be associated.
locality:
region: us-west| 名称 | 描述 | 类型 |
|---|---|---|
region |
导入服务所在的区域。 |
字符串 |
subzone |
导入服务所在的子区域。如果指定了子区域,则也必须指定区域。 |
字符串 |
zone |
导入服务所在的区域。如果指定了区域,则也必须指定区域。 |
字符串 |
步骤
-
以具有
cluster-admin角色的用户身份登录到Red Hat OpenShift Service on AWS CLI,输入以下命令$ oc login --username=<NAMEOFUSER> <API token> https://<HOSTNAME>:6443 -
切换到安装Service Mesh控制平面的项目,输入以下命令
$ oc project <smcp-system>例如,
green-mesh-system。$ oc project green-mesh-system -
编辑
ImportedServiceSet文件,其中<ImportedServiceSet.yaml>包含要编辑文件的完整路径,输入以下命令$ oc edit -n <smcp-system> -f <ImportedServiceSet.yaml>例如,如果您想修改从上一个
ImportedServiceSet示例所示的红网格系统导入到绿网格系统的文件。$ oc edit -n green-mesh-system -f import-from-red-mesh.yaml -
修改文件
-
将
spec.importRules.importAsLocal设置为true。 -
将
spec.locality设置为region、zone或subzone。 -
保存您的更改。
-
配置用于故障转移的DestinationRule
创建一个配置以下内容的DestinationRule资源:
-
服务的异常检测。这是故障转移正常运行的必要条件。特别是,它配置 sidecar 代理以了解服务端点何时不健康,最终触发对下一个区域的故障转移。
-
区域之间的故障转移策略。这确保了跨区域边界的故障转移将具有可预测性。
步骤
-
以具有 `cluster-admin` 角色的用户身份登录 Red Hat OpenShift Service on AWS CLI。输入以下命令。然后,在系统提示时输入您的用户名和密码。
$ oc login --username=<NAMEOFUSER> <API token> https://<HOSTNAME>:6443 -
切换到安装 Service Mesh 控制平面的项目。
$ oc project <smcp-system>例如,
green-mesh-system。$ oc project green-mesh-system -
根据以下示例创建一个
DestinationRule文件,如果绿网格不可用,则应将流量从us-east区域的绿网格路由到us-west区域的红网格。DestinationRule示例apiVersion: networking.istio.io/v1beta1 kind: DestinationRule metadata: name: default-failover namespace: bookinfo spec: host: "ratings.bookinfo.svc.cluster.local" trafficPolicy: loadBalancer: localityLbSetting: enabled: true failover: - from: us-east to: us-west outlierDetection: consecutive5xxErrors: 3 interval: 10s baseEjectionTime: 1m -
部署
DestinationRule,其中<DestinationRule>包含文件的完整路径,输入以下命令:$ oc create -n <application namespace> -f <DestinationRule.yaml>例如
$ oc create -n bookinfo -f green-mesh-us-west-DestinationRule.yaml