安装多主多网络网格

在两个集群上安装多主多网络拓扑的 Istio。

NOTE

在本操作步骤中，CLUSTER1 是 East 集群，CLUSTER2 是 West 集群。

您可以根据需要调整这些说明，以适应跨越两个以上集群的网格。

拓扑

跨集群边界的服务工作负载通过专用的东西向网关间接通信。每个集群中的网关必须能够被另一个集群访问。

多主多网络拓扑

前提条件

您已在组成网格的所有集群上安装了 Alauda Container Platform Networking 的 Multus 插件，且 kube-ovn 版本必须为 v4.1.5 或更高。
您已在组成网格的所有集群上安装了 Alauda Service Mesh v2 Operator。
您已完成为多集群网格创建证书。
您已完成将证书应用于多网络多集群拓扑。
您已在本地安装了 istioctl，以便执行以下操作步骤。

操作步骤

创建定义要安装的 Istio 版本的 `ISTIO_VERSION` 环境变量

export ISTIO_VERSION=1.26.3

在 East 集群上安装 IstioCNI

通过运行以下命令，在 East 集群上安装 IstioCNI 资源：

kubectl --context "${CTX_CLUSTER1}" create namespace istio-cni
cat <<EOF | kubectl --context "${CTX_CLUSTER1}" apply -f -
apiVersion: sailoperator.io/v1
kind: IstioCNI
metadata:
  name: default
spec:
  version: v${ISTIO_VERSION}
  namespace: istio-cni
  values:
    cni:
      cniConfDir: /etc/cni/multus/net.d # ACP 4.0 中为 /etc/cni/net.d
      excludeNamespaces:
        - istio-cni
        - kube-system
EOF

在 East 集群上安装 Istio

通过运行以下命令，在 East 集群上创建 Istio 资源：

cat <<EOF | kubectl --context "${CTX_CLUSTER1}" apply -f -
apiVersion: sailoperator.io/v1
kind: Istio
metadata:
  name: default
spec:
  version: v${ISTIO_VERSION}
  namespace: istio-system
  values:
    global:
      meshID: mesh1
      network: network1
      multiCluster:
        clusterName: cluster1
EOF

通过运行以下命令，等待控制平面返回 Ready 状态条件：

kubectl --context "${CTX_CLUSTER1}" wait --for condition=Ready istio/default --timeout=3m

通过运行以下命令，在 East 集群上创建东西向网关：

WARNING
对于运行 Linux 内核版本早于 4.11（例如 CentOS 7）的节点，网关安装前需要进行额外配置。
```
kubectl --context "${CTX_CLUSTER1}" apply -f https://raw.githubusercontent.com/alauda-mesh/sail-operator/main/docs/deployment-models/resources/east-west-gateway-net1.yaml
```

通过运行以下命令，通过网关暴露服务：

kubectl --context "${CTX_CLUSTER1}" apply -n istio-system -f https://raw.githubusercontent.com/alauda-mesh/sail-operator/main/docs/deployment-models/resources/expose-services.yaml

在 West 集群上安装 IstioCNI

通过运行以下命令，在 West 集群上安装 IstioCNI 资源：

kubectl --context "${CTX_CLUSTER2}" create namespace istio-cni
cat <<EOF | kubectl --context "${CTX_CLUSTER2}" apply -f -
apiVersion: sailoperator.io/v1
kind: IstioCNI
metadata:
  name: default
spec:
  version: v${ISTIO_VERSION}
  namespace: istio-cni
  values:
    cni:
      cniConfDir: /etc/cni/multus/net.d # ACP 4.0 中为 /etc/cni/net.d
      excludeNamespaces:
        - istio-cni
        - kube-system
EOF

在 West 集群上安装 Istio

通过运行以下命令，在 West 集群上创建 Istio 资源：

cat <<EOF | kubectl --context "${CTX_CLUSTER2}" apply -f -
apiVersion: sailoperator.io/v1
kind: Istio
metadata:
  name: default
spec:
  version: v${ISTIO_VERSION}
  namespace: istio-system
  values:
    global:
      meshID: mesh1
      network: network2
      multiCluster:
        clusterName: cluster2
EOF

通过运行以下命令，等待控制平面返回 Ready 状态条件：

kubectl --context "${CTX_CLUSTER2}" wait --for condition=Ready istio/default --timeout=3m

通过运行以下命令，在 West 集群上创建东西向网关：

WARNING
对于运行 Linux 内核版本早于 4.11（例如 CentOS 7）的节点，网关安装前需要进行额外配置。
```
kubectl --context "${CTX_CLUSTER2}" apply -f https://raw.githubusercontent.com/alauda-mesh/sail-operator/main/docs/deployment-models/resources/east-west-gateway-net2.yaml
```

通过运行以下命令，通过网关暴露服务：

kubectl --context "${CTX_CLUSTER2}" apply -n istio-system -f https://raw.githubusercontent.com/alauda-mesh/sail-operator/main/docs/deployment-models/resources/expose-services.yaml

在 East 集群上安装访问 West 集群 API 服务器的远程 secret

istioctl create-remote-secret \
  --context="${CTX_CLUSTER2}" \
  --name=cluster2 \
  --create-service-account=false | \
  kubectl --context="${CTX_CLUSTER1}" apply -f -

在 West 集群上安装访问 East 集群 API 服务器的远程 secret

istioctl create-remote-secret \
  --context="${CTX_CLUSTER1}" \
  --name=cluster1 \
  --create-service-account=false | \
  kubectl --context="${CTX_CLUSTER2}" apply -f -

验证多集群拓扑

为了确认您的多集群拓扑正常工作，您将把示例应用部署到两个独立的 Alauda Container Platform 集群上。目标是建立一个基线环境，以生成和观察跨集群流量。

操作步骤

首先在 `East` 集群上部署必要的示例应用

该集群将托管 helloworld 服务的 v1 版本。

在 East 集群上创建应用专用命名空间。

kubectl --context="${CTX_CLUSTER1}" create namespace sample

通过应用标签启用 sample 命名空间的自动 Istio sidecar 注入。

kubectl --context="${CTX_CLUSTER1}" label namespace sample istio-injection=enabled

部署 helloworld 应用组件。

a. 首先，创建 helloworld 服务端点。

kubectl --context="${CTX_CLUSTER1}" apply \
  -f https://raw.githubusercontent.com/istio/istio/refs/heads/master/samples/helloworld/helloworld.yaml \
  -l service=helloworld -n sample

b. 然后，部署 helloworld 应用的 v1 实例。

kubectl --context="${CTX_CLUSTER1}" apply \
  -f https://raw.githubusercontent.com/istio/istio/refs/heads/master/samples/helloworld/helloworld.yaml \
  -l version=v1 -n sample

部署 sleep 应用，作为发送测试请求的客户端。

kubectl --context="${CTX_CLUSTER1}" apply \
  -f https://raw.githubusercontent.com/istio/istio/refs/heads/master/samples/sleep/sleep.yaml -n sample

等待 helloworld-v1 部署完全可用并准备就绪。

kubectl --context="${CTX_CLUSTER1}" wait --for condition=available -n sample deployment/helloworld-v1

同样，等待 sleep 部署报告 Ready 状态。

kubectl --context="${CTX_CLUSTER1}" wait --for condition=available -n sample deployment/sleep

在 `West` 集群上复制相同的设置

该集群将托管 helloworld 服务的 v2 版本。

在 West 集群上创建 sample 命名空间。

kubectl --context="${CTX_CLUSTER2}" create namespace sample

同样启用该命名空间的 Istio sidecar 注入。

kubectl --context="${CTX_CLUSTER2}" label namespace sample istio-injection=enabled

部署 helloworld 应用组件。

a. 在 West 集群上创建通用的 helloworld 服务端点。

kubectl --context="${CTX_CLUSTER2}" apply \
  -f https://raw.githubusercontent.com/istio/istio/refs/heads/master/samples/helloworld/helloworld.yaml \
  -l service=helloworld -n sample

b. 部署 helloworld 应用的 v2 实例。

kubectl --context="${CTX_CLUSTER2}" apply \
  -f https://raw.githubusercontent.com/istio/istio/refs/heads/master/samples/helloworld/helloworld.yaml \
  -l version=v2 -n sample

在 West 集群上部署客户端 sleep 应用。

kubectl --context="${CTX_CLUSTER2}" apply \
  -f https://raw.githubusercontent.com/istio/istio/refs/heads/master/samples/sleep/sleep.yaml -n sample

等待 helloworld-v2 部署完全可用。

kubectl --context="${CTX_CLUSTER2}" wait --for condition=available -n sample deployment/helloworld-v2

最后，确保 West 集群上的 sleep 部署已准备就绪。

kubectl --context="${CTX_CLUSTER2}" wait --for condition=available -n sample deployment/sleep

验证跨集群流量流动

应用部署并运行在两个集群后，下一步是发送请求，确认流量是否正确地在整个服务网格中进行负载均衡。

从 East 集群中的一个 Pod，发送 10 个请求到 helloworld 服务。

for i in {0..9}; do \
  kubectl --context="${CTX_CLUSTER1}" exec -n sample deploy/sleep -c sleep -- curl -sS helloworld.sample:5000/hello; \
done

预期结果是来自 helloworld-v1（East）和 helloworld-v2（West）的混合响应，证明服务网格正在跨集群边界路由请求。

示例输出

Hello version: v1, instance: helloworld-v1-644474db4b-7cwhz
Hello version: v2, instance: helloworld-v2-645cb7fc46-lnbb7
Hello version: v1, instance: helloworld-v1-644474db4b-7cwhz
Hello version: v1, instance: helloworld-v1-644474db4b-7cwhz
Hello version: v1, instance: helloworld-v1-644474db4b-7cwhz
Hello version: v2, instance: helloworld-v2-645cb7fc46-lnbb7
Hello version: v2, instance: helloworld-v2-645cb7fc46-lnbb7
Hello version: v1, instance: helloworld-v1-644474db4b-7cwhz
Hello version: v2, instance: helloworld-v2-645cb7fc46-lnbb7
Hello version: v1, instance: helloworld-v1-644474db4b-7cwhz

从 West 集群执行相同测试。
```
for i in {0..9}; do \
  kubectl --context="${CTX_CLUSTER2}" exec -n sample deploy/sleep -c sleep -- curl -sS helloworld.sample:5000/hello; \
done
```
同样，您应观察到来自服务的 v1 和 v2 响应，确认多集群负载均衡无论请求来源于哪个集群均正常工作。

从开发环境中移除多集群拓扑

完成验证和实验后，您应拆除多集群配置，以清理开发环境并释放资源。

操作步骤

运行单条命令，从 East 集群中删除所有 Istio 组件和示例应用。

kubectl --context="${CTX_CLUSTER1}" delete istio/default istiocni/default ns/sample ns/istio-system ns/istio-cni

运行对应命令，在 West 集群上执行相同的清理操作。

kubectl --context="${CTX_CLUSTER2}" delete istio/default istiocni/default ns/sample ns/istio-system ns/istio-cni

#安装多主多网络网格

#目录

#操作步骤

#创建定义要安装的 Istio 版本的 ISTIO_VERSION 环境变量

#在 East 集群上安装 IstioCNI

#在 East 集群上安装 Istio

#在 West 集群上安装 IstioCNI

#在 West 集群上安装 Istio

#在 East 集群上安装访问 West 集群 API 服务器的远程 secret

#在 West 集群上安装访问 East 集群 API 服务器的远程 secret

#验证多集群拓扑

#首先在 East 集群上部署必要的示例应用

#在 West 集群上复制相同的设置

#验证跨集群流量流动

#从开发环境中移除多集群拓扑