TCP 流量转移

    在 Istio 中,您可以通过配置一系列规则来实现此目标,这些规则按指定的百分比将流量路由到不同的服务。在此任务中,将先把 100% 的 TCP 流量分配到 ,然后,再通过配置 Istio 路由权重把 20% 的 TCP 流量分配到 tcp-echo:v2

    • 按照安装指南中的说明安装 Istio。

    • 回顾 概念文档。

    • 首先,部署微服务 tcp-echov1 版本。

      • 第一步,为测试 TCP 流量转移创建命名空间

    1. $ kubectl apply -f <(istioctl kube-inject -f @samples/tcp-echo/tcp-echo-services.yaml@) -n istio-io-tcp-traffic-shifting

    istioctl kube-inject 命令用于在创建 deployments 之前修改 tcp-echo-services.yaml 文件。

    • 如果您使用的是启用了 的集群,可以将 istio-io-tcp-traffic-shifting namespace 标记为 istio-injection=enabled
    1. $ kubectl label namespace istio-io-tcp-traffic-shifting istio-injection=enabled

    然后,只需使用 kubectl 部署服务即可。

    Zip

    • 接下来, 将目标为微服务 tcp-echo 的 TCP 流量全部路由到 v1 版本。

    1. $ kubectl apply -f @samples/tcp-echo/tcp-echo-all-v1.yaml@ -n istio-io-tcp-traffic-shifting

    下面的 $INGRESS_HOST 变量是 ingress 的外部 IP 地址,可参考 Ingress Gateways 文档。要获取 $INGRESS_PORT 变量的值,请使用以下命令。

    1. $ export INGRESS_PORT=$(kubectl -n istio-system get service istio-ingressgateway -o jsonpath='{.spec.ports[?(@.name=="tcp")].port}')

    可能需要通过 sudo 执行 命令,这取决于您的 Docker 安装。

    您应该注意到,所有时间戳的前缀都是 one ,这意味着所有流量都被路由到了 tcp-echo 服务的 v1 版本。

    • 使用以下命令将 20% 的流量从 tcp-echo:v1 转移到 tcp-echo:v2

    1. $ kubectl apply -f @samples/tcp-echo/tcp-echo-20-v2.yaml@ -n istio-io-tcp-traffic-shifting

    等待几秒钟,以使新规则在集群中传播和生效。

    • 确认规则配置已替换完成:
    1. $ kubectl get virtualservice tcp-echo -o yaml -n istio-io-tcp-traffic-shifting
    2. apiVersion: networking.istio.io/v1alpha3
    3. kind: VirtualService
    4. metadata:
    5.   name: tcp-echo
    6.   ...
    7. spec:
    8.   ...
    9.   tcp:
    10.   - match:
    11.     - port: 31400
    12.     - destination:
    13.         host: tcp-echo
    15.           number: 9000
    16.         subset: v1
    17.       weight: 80
    18.     - destination:
    19.         host: tcp-echo
    20.         port:
    21.           number: 9000
    22.         subset: v2
    23.       weight: 20
    • tcp-echo 服务发送更多 TCP 流量。

    可能需要通过 sudo 执行 docker 命令,这取决于您的 Docker 安装。

    现在应该发现,有大约 20% 的流量时间戳前缀是 two ,这意味着有 80% 的 TCP 流量路由到了 tcp-echo 服务的v1 版本,与此同时有 20% 流量路由到了 v2 版本。

    这个任务中,使用 Istio 路由权重特性将 tcp-echo 服务的 TCP 流量从旧版本迁移到了新版本。请注意,这与使用容器编排平台的 deployment 进行版本迁移非常不同,后者(容器编排平台)是通过对特定组别的实例进行伸缩实现的。

    在 Istio 中可以对 tcp-echo 服务的两个版本进行独立扩容和缩容,这个过程不会影响服务版本之间的流量分配。

    有关不同版本间流量管理及自动伸缩的更多信息,请查看博客文章使用 Istio 进行金丝雀部署

    • 删除 tcp-echo 应用程序和路由规则。

    Zip

    1. $ kubectl delete -f @samples/tcp-echo/tcp-echo-all-v1.yaml@ -n istio-io-tcp-traffic-shifting
    2. $ kubectl delete namespace istio-io-tcp-traffic-shifting

    把 Istio 入口网关配置为外部服务的代理。

    将需要隔离的环境部署到单独的网格中,并通过网格联邦启用网格间通信。

    Istio 中安全管控出口流量,第三部分

    管控出口流量的备选方案比较,包括性能因素。

    使用 Istio 的出口流量管控来阻止相关出口流量攻击。

    Istio 中的安全管控出口流量,第一部分

    涉及出口流量攻击和出口流量管控要求。