安装Istio

接下来我们将介绍如何在 Kubernetes 集群中安装 Istio，这里我们使用的是最新的 1.10.3 版本。

下面的命令可以下载指定的 1.10.3 版本的 Istio:

➜  ~ curl -L https://istio.io/downloadIstio | ISTIO_VERSION=1.10.3 sh -

如果安装失败，可以用手动方式进行安装，在 GitHub Release 页面获取对应系统的下载地址：

# 注意选择和自己操作系统匹配的文件
➜  ~ wget https://github.com/istio/istio/releases/download/1.10.3/istio-1.10.3-linux-amd64.tar.gz
➜  ~ tar -xzf istioctl-1.10.3-linux-amd64.tar.gz
# 进入到 istio 解压的目录
➜  ~ cd istio-1.10.3 && ls -la
total 48
drwxr-x---@   9 ych  staff    288 Jul 15 13:32 .
drwx---r-x@ 482 ych  staff  15424 Jul 20 14:17 ..
-rw-r--r--@   1 ych  staff  11348 Jul 15 13:32 LICENSE
-rw-r--r--@   1 ych  staff   5866 Jul 15 13:32 README.md
drwxr-x---@   3 ych  staff     96 Jul 15 13:32 bin
-rw-r-----@   1 ych  staff    854 Jul 15 13:32 manifest.yaml
drwxr-xr-x@   5 ych  staff    160 Jul 15 13:32 manifests
drwxr-xr-x@  21 ych  staff    672 Jul 15 13:32 samples
drwxr-xr-x@   5 ych  staff    160 Jul 15 13:32 tools

其中 samples/ 目录下面是一些示例应用程序，bin/ 目录下面的 istioctl 是 Istio 的 CLI 工具，可以将该 bin/ 目录加入到 PATH 路径之下，也可以直接拷贝到某个 PATH 目录下去：

➜  ~ cp bin/istioctl /usr/local/bin/istioctl
➜  ~ istioctl version
no running Istio pods in "istio-system"
1.10.3

安装 istio 的工具和文件准备好过后，直接执行如下所示的安装命令即可，这里我们采用的是 demo 配置组合的形式，这是因为它包含了一组专为测试准备的功能集合，另外还有用于生产或性能测试的配置组合。

➜  ~ istioctl install --set profile=demo -y
Detected that your cluster does not support third party JWT authentication. Falling back to less secure first party JWT. See https://istio.io/v1.10/docs/ops/best-practices/security/#configure-third-party-service-account-tokens for details.
! values.global.jwtPolicy is deprecated; use Values.global.jwtPolicy=third-party-jwt. See http://istio.io/latest/docs/ops/best-practices/security/#configure-third-party-service-account-tokens for more information instead
✔ Istio core installed
✔ Istiod installed
✔ Ingress gateways installed
✔ Egress gateways installed
✔ Installation complete

安装完成后我们可以查看 istio-system 命名空间下面的 Pod 运行状态：

➜  ~ kubectl get pods -n istio-system
NAME                                    READY   STATUS    RESTARTS   AGE
istio-egressgateway-5c8d96c9b5-6d5g9    1/1     Running   0          4m6s
istio-ingressgateway-6bcfd457f9-wpj7w   1/1     Running   0          4m6s
istiod-775bcf58f7-v6jl2                 1/1     Running   0          5m4s

如果都是 Running 状态证明 istio 就已经安装成功了。然后我们还可以给 namespace 添加一个 isito-injection=enabled 的 label 标签，指示 Istio 在部署应用的时候，可以自动注入 Envoy Sidecar 代理，比如这里我们给 default 命名空间注入自动标签：

➜  ~ kubectl label namespace default istio-injection=enabled
namespace/default labeled

部署示例应用

然后我们可以来安装官方提供的一个非常经典的 Bookinfo 应用示例，这个示例部署了一个用于演示多种 Istio 特性的应用，该应用由四个单独的微服务构成，这个应用模仿在线书店的一个分类，显示一本书的信息。页面上会显示一本书的描述、书籍的 ISBN、页数等信息，以及关于这本书的一些评论。

Bookinfo 应用分为四个单独的微服务：

• productpage：这个微服务会调用 details 和 reviews 两个微服务，用来生成页面。
• details：这个微服务中包含了书籍的信息。
• reviews：这个微服务中包含了书籍相关的评论，它还会调用 ratings 微服务。
• ratings：这个微服务中包含了由书籍评价组成的评级信息。

reviews 微服务有 3 个版本：

• v1 版本不会调用 ratings 服务。
• v2 版本会调用 ratings 服务，并使用 1 到 5 个黑色星形图标来显示评分信息。
• v3 版本会调用 ratings 服务，并使用 1 到 5 个红色星形图标来显示评分信息。

下图可以用来说明我们这个示例应用的整体架构：

Bookinfo 应用中的几个微服务是由不同的语言编写而成的，这些服务对 Istio 并无依赖，但是构成了一个有代表性的服务网格的例子：它由多个服务、多个语言构成，并且 reviews 服务具有多个版本。

我们要在 Istio 中运行这个应用，不需要对应用本身做任何改变，只要简单的在 Istio 环境中对服务进行配置和运行，也就是把 Envoy sidecar 注入到每个服务之中。最终的部署结果将如下图所示：

所有的微服务都和 Envoy sidecar 集成在一起，被集成服务所有的出入流量都被 sidecar 所劫持，这样就为外部控制准备了所需的 Hook，然后就可以利用 Istio 控制平面为应用提供服务路由、遥测数据收集以及策略实施等功能。

进入上面的 Istio 安装目录，执行如下命令：

➜  ~ kubectl apply -f samples/bookinfo/platform/kube/bookinfo.yaml
service/details created
serviceaccount/bookinfo-details created
deployment.apps/details-v1 created
service/ratings created
serviceaccount/bookinfo-ratings created
deployment.apps/ratings-v1 created
service/reviews created
serviceaccount/bookinfo-reviews created
deployment.apps/reviews-v1 created
deployment.apps/reviews-v2 created
deployment.apps/reviews-v3 created
service/productpage created
serviceaccount/bookinfo-productpage created
deployment.apps/productpage-v1 created

如果在安装过程中禁用了 Sidecar 自动注入功能而选择手动注入 Sidecar，请在部署应用之前可以使用 istioctl
kube-inject 命令来注入 sidecar 容器。

➜  ~ kubectl apply -f <(istioctl kube-inject -f samples/bookinfo/platform/kube/bookinfo.yaml)

这里我们部署的 bookinfo.yaml 资源清单文件就是普通的 Kubernetes 的 Deployment 和 Service 的 yaml 文件，使用 istioctl kube-inject 或者配置自动注入后会在这个文件的基础上向其中的 Deployment 追加一个镜像为 docker.io/istio/proxyv2:1.10.3 的 sidecar 容器，上面的命令会启动全部的四个服务，其中也包括了 reviews 服务的三个版本（v1、v2 以及 v3）。

过一会儿就可以看到如下 service 和 pod 启动:

➜  ~ kubectl get pods
NAME                                      READY   STATUS        RESTARTS   AGE
details-v1-79f774bdb9-mqpzm               2/2     Running       0          25m
productpage-v1-6b746f74dc-xjzgh           2/2     Running       0          25m
ratings-v1-b6994bb9-9j9dq                 2/2     Running       0          25m
reviews-v1-545db77b95-wwhkq               2/2     Running       0          25m
reviews-v2-7bf8c9648f-rh6b9               2/2     Running       0          25m
reviews-v3-84779c7bbc-bsld9               2/2     Running       0          25m
➜  ~ kubectl get svc
NAME                 TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)    AGE
details              ClusterIP   10.99.137.40    <none>        9080/TCP   26m
kubernetes           ClusterIP   10.96.0.1       <none>        443/TCP    57d
productpage          ClusterIP   10.111.10.219   <none>        9080/TCP   26m
ratings              ClusterIP   10.105.20.158   <none>        9080/TCP   26m
reviews              ClusterIP   10.105.81.29    <none>        9080/TCP   26m

现在应用的服务都部署成功并启动了，如果我们需要在集群外部访问，就需要添加一个 istio gateway，gateway 相当于 k8s 的 ingress controller 和 ingress，它为 HTTP/TCP 流量配置负载均衡，通常在服务网格边缘作为应用的 ingress 流量管理。

创建一个 Ingress gateway:

➜  ~ kubectl apply -f samples/bookinfo/networking/bookinfo-gateway.yaml
gateway.networking.istio.io/bookinfo-gateway created
virtualservice.networking.istio.io/bookinfo created

验证 gateway 是否创建成功:

➜  ~ kubectl get gateway
NAME               AGE
bookinfo-gateway   15s

要想访问这个应用，这里我们需要更改下 istio 提供的 istio-ingressgateway 这个 Service 对象，默认是 LoadBalancer 类型的服务：

➜  ~ kubectl get svc -n istio-system
NAME                   TYPE           CLUSTER-IP       EXTERNAL-IP   PORT(S)                                                                      AGE
istio-egressgateway    ClusterIP      10.103.199.67    <none>        80/TCP,443/TCP                                                               47m
istio-ingressgateway   LoadBalancer   10.100.241.242   <pending>     15021:31548/TCP,80:31529/TCP,443:30433/TCP,31400:31175/TCP,15443:32533/TCP   47m
istiod                 ClusterIP      10.107.77.147    <none>        15010/TCP,15012/TCP,443/TCP,15014/TCP

LoadBalancer 类型的服务，实际上是用来对接云服务厂商的，如果我们没有对接云服务厂商的话，可以将这里类型改成 NodePort，但是这样当访问我们的服务的时候就需要加上 nodePort 端口了：

➜  ~ kubectl edit svc istio-ingressgateway -n istio-system
......
type: NodePort  # 修改成 NodePort 类型
status:
  loadBalancer: {}

这样我们就可以通过 http://:/productpage 从集群外部访问 Bookinfo 应用了：

刷新页面可以看到 Book Reviews 发生了改变（红色、黑色的星形或者没有显示），因为每次请求会被路由到到了不同的 Reviews 服务版本去。

仪表盘

上面我们是安装的 Istio 的核心组件，此外 Istio 还和一些遥测应用做了集成，遥测能帮助我们了解服务网格的结构、展示网络的拓扑结构、分析网格的健康状态等，对于分布式微服务应用也是非常重要的。

我们可以使用下面的命令来部署 Kiali、Prometheus、Grafana 以及 Jaeger：

➜  ~ kubectl apply -f samples/addons
# 如果出现了错误，则可以重新执行上面的命令
➜  ~ kubectl get pods -n istio-system
NAME                                    READY   STATUS    RESTARTS   AGE
grafana-f766d6c97-4888w                 1/1     Running   0          3m57s
istio-egressgateway-5c8d96c9b5-6d5g9    1/1     Running   0          60m
istio-ingressgateway-6bcfd457f9-wpj7w   1/1     Running   0          60m
istiod-775bcf58f7-v6jl2                 1/1     Running   0          61m
jaeger-7f78b6fb65-bj8pm                 1/1     Running   0          3m56s
kiali-85c8cdd5b5-b5zv4                  1/1     Running   0          3m55s
prometheus-54b5dcf6bf-wjkpl             3/3     Running   0          3m48s

上面几个组件部署完成后我们就可以查看前面 Bookinfo 示例应用的遥测信息了，比如可以使用下面的命令访问 Kiali：

➜  ~ istioctl dashboard kiali

在左侧的导航菜单，选择 Graph ，然后在 Namespace 下拉列表中，选择 default 。Kiali 仪表板展示了网格的概览、以及 Bookinfo 示例应用的各个服务之间的关系。它还提供过滤器来可视化流量的流动。

至此，整个 Istio 和 Bookinfo 示例应用就安装并验证成功了，现在就可以使用这一应用来体验 Istio 的特性了，其中包括了流量的路由、错误注入、速率限制等特性。