安装 primary-remote 多网络 mesh

在两个集群上以 primary-remote 多网络拓扑安装 Istio。

NOTE

在此操作步骤中，CLUSTER1 是 East 集群，CLUSTER2 是 West 集群。East 集群是主集群，West 集群是远程集群。

你可以将这些说明调整为适用于跨越两个以上集群的 mesh。

拓扑

跨集群边界的服务工作负载通过用于 east-west 流量的专用 gateway 间接通信。每个集群中的 gateway 必须能够被另一个集群访问。

cluster2 中的服务将通过相同的 east-west gateway 访问 cluster1 中的控制平面。

Primary-Remote 多网络拓扑

前提条件

你已在组成 mesh 的所有集群上安装了 Alauda Container Platform Networking for Multus 插件，并且 kube-ovn 必须为 v4.1.5 或更高版本。
你可以访问两个支持外部负载均衡器的集群。
WARNING
在 primary-remote 模式下，如果外部负载均衡器地址是 IP 且为 IPv6，则在 Alauda Service Mesh v2.1.2 之前的版本中不支持 primary-remote 部署。
你已在组成 mesh 的所有集群上安装了 Alauda Service Mesh v2 Operator。
你已完成为多集群 mesh 创建证书。
你已完成将证书应用到多集群拓扑。
你已在本地安装 istioctl，以便使用它执行这些说明中的操作。

操作步骤

创建定义要安装的 Istio 版本的 `ISTIO_VERSION` 环境变量

export ISTIO_VERSION=1.28.6

在 East 集群上安装 IstioCNI

通过运行以下命令，在 East 集群上安装 IstioCNI 资源：

kubectl --context "${CTX_CLUSTER1}" create namespace istio-cni
cat <<EOF | kubectl --context "${CTX_CLUSTER1}" apply -f -
apiVersion: sailoperator.io/v1
kind: IstioCNI
metadata:
  name: default
spec:
  version: v${ISTIO_VERSION}
  namespace: istio-cni
  values:
    cni:
      cniConfDir: /etc/cni/multus/net.d # /etc/cni/net.d in ACP 4.0
      excludeNamespaces:
        - istio-cni
        - kube-system
EOF

在 East 集群上安装 Istio

通过运行以下命令，在 East 集群上创建 Istio 资源：

将以下 Istio 资源保存到 istio-external.yaml：

istio-external.yaml

apiVersion: sailoperator.io/v1
kind: Istio
metadata:
  name: default
spec:
  version: v${ISTIO_VERSION}
  namespace: istio-system
  values:
    global:
      meshID: mesh1
      multiCluster:
        clusterName: cluster1
      network: network1
      externalIstiod: true

这会使安装在 East 集群上的控制平面充当其他远程集群的外部控制平面。

使用 kubectl 应用 Istio 资源：

envsubst < istio-external.yaml | kubectl --context "${CTX_CLUSTER1}" apply -f -

通过运行以下命令，等待控制平面返回 "Ready" 状态条件：

kubectl --context "${CTX_CLUSTER1}" wait --for condition=Ready istio/default --timeout=3m

通过运行以下命令，在 East 集群上创建一个 East-West gateway：

WARNING

对于运行 Linux kernel 版本早于 4.11 的节点（例如 CentOS 7），在安装 gateway 之前需要进行额外配置。

kubectl --context "${CTX_CLUSTER1}" apply -f https://raw.githubusercontent.com/alauda-mesh/sail-operator/main/docs/deployment-models/resources/east-west-gateway-net1.yaml

可选：将 East-West gateway 部署到 Infra Nodes（点击展开）

运行以下命令以修补 gateway 部署：

kubectl --context "${CTX_CLUSTER1}" patch deployment istio-eastwestgateway -n istio-system \
  --type='merge' \
  --patch '{
    "spec": {
      "template": {
        "spec": {
          "nodeSelector": {
            "node-role.kubernetes.io/infra": ""
          },
          "tolerations": [
            {
              "effect": "NoSchedule",
              "key": "node-role.kubernetes.io/infra",
              "value": "reserved",
              "operator": "Equal"
            }
          ]
        }
      }
    }
  }'

通过 gateway 暴露控制平面，以便 West 集群中的服务可以访问控制平面，运行以下命令：

kubectl --context "${CTX_CLUSTER1}" apply -n istio-system -f https://raw.githubusercontent.com/alauda-mesh/sail-operator/main/docs/deployment-models/resources/expose-istiod.yaml

通过 gateway 暴露应用服务，运行以下命令：

kubectl --context "${CTX_CLUSTER1}" apply -n istio-system -f https://raw.githubusercontent.com/alauda-mesh/sail-operator/main/docs/deployment-models/resources/expose-services.yaml

在 West 集群上安装 IstioCNI

通过运行以下命令，在 West 集群上安装 IstioCNI 资源：

kubectl --context "${CTX_CLUSTER2}" create namespace istio-cni
cat <<EOF | kubectl --context "${CTX_CLUSTER2}" apply -f -
apiVersion: sailoperator.io/v1
kind: IstioCNI
metadata:
  name: default
spec:
  version: v${ISTIO_VERSION}
  namespace: istio-cni
  values:
    cni:
      cniConfDir: /etc/cni/multus/net.d # /etc/cni/net.d in ACP 4.0
      excludeNamespaces:
        - istio-cni
        - kube-system
EOF

在 West 集群上安装 Istio

通过运行以下命令，保存在 East 集群中运行的 East-West gateway 的 IP 地址：

export DISCOVERY_ADDRESS=$(kubectl --context="${CTX_CLUSTER1}" \
   -n istio-system get svc istio-eastwestgateway \
   -o jsonpath='{.status.loadBalancer.ingress[0].ip}')
echo "DISCOVERY_ADDRESS=${DISCOVERY_ADDRESS}"

通过运行以下命令，在 West 集群上创建 Istio 资源：

cat <<EOF | kubectl --context "${CTX_CLUSTER2}" apply -f -
apiVersion: sailoperator.io/v1
kind: Istio
metadata:
  name: default
spec:
  version: v${ISTIO_VERSION}
  namespace: istio-system
  profile: remote
  values:
    istiodRemote:
      injectionPath: /inject/cluster/cluster2/net/network2
    global:
      remotePilotAddress: ${DISCOVERY_ADDRESS}
EOF

通过运行以下命令，对 West 集群中的 istio-system 命名空间进行注解，使其由 East 集群中的控制平面管理：
kubectl --context="${CTX_CLUSTER2}" annotate namespace istio-system topology.istio.io/controlPlaneClusters=cluster1

通过运行以下命令，在 East 集群上安装一个远程 secret，以提供对 West 集群 API server 的访问：

istioctl create-remote-secret \
  --context="${CTX_CLUSTER2}" \
  --name=cluster2 | \
  kubectl --context="${CTX_CLUSTER1}" apply -f -

通过运行以下命令，等待 Istio 资源返回 "Ready" 状态条件：

kubectl --context "${CTX_CLUSTER2}" wait --for condition=Ready istio/default --timeout=3m

通过运行以下命令，在 West 集群上创建一个 East-West gateway：

WARNING

对于运行 Linux kernel 版本早于 4.11 的节点（例如 CentOS 7），在安装 gateway 之前需要进行额外配置。

kubectl --context "${CTX_CLUSTER2}" apply -f https://raw.githubusercontent.com/alauda-mesh/sail-operator/main/docs/deployment-models/resources/east-west-gateway-net2.yaml

可选：将 East-West gateway 部署到 Infra Nodes（点击展开）

运行以下命令以修补 gateway 部署：

kubectl --context "${CTX_CLUSTER2}" patch deployment istio-eastwestgateway -n istio-system \
  --type='merge' \
  --patch '{
    "spec": {
      "template": {
        "spec": {
          "nodeSelector": {
            "node-role.kubernetes.io/infra": ""
          },
          "tolerations": [
            {
              "effect": "NoSchedule",
              "key": "node-role.kubernetes.io/infra",
              "value": "reserved",
              "operator": "Equal"
            }
          ]
        }
      }
    }
  }'

NOTE

由于 West 集群是使用 remote profile 安装的，因此在 East 集群上暴露应用服务时，也会将其暴露到两个集群的 East-West gateways 上。

验证 primary-remote 拓扑

为了确认你的 primary-remote 拓扑运行正常，你将向两个独立的 Alauda Container Platform 集群部署示例应用。目标是建立一个基础环境，以便生成并观察跨集群流量。

操作步骤

首先在 `East` 集群上部署所需的示例应用。

该集群将承载 helloworld 服务的 v1 版本。

在 East 集群上为应用创建一个专用命名空间。

kubectl --context="${CTX_CLUSTER1}" create namespace sample

通过应用所需的 label，为 sample 命名空间启用自动 Istio sidecar 注入。

kubectl --context="${CTX_CLUSTER1}" label namespace sample istio-injection=enabled

部署 helloworld 应用组件。

a. 首先，建立 helloworld 服务端点。

kubectl --context="${CTX_CLUSTER1}" apply \
  -l service=helloworld -n sample \
  -f https://raw.githubusercontent.com/istio/istio/refs/heads/master/samples/helloworld/helloworld.yaml

b. 然后，部署 helloworld 应用的 v1 实例。

kubectl --context="${CTX_CLUSTER1}" apply \
  -l version=v1 -n sample \
  -f https://raw.githubusercontent.com/istio/istio/refs/heads/master/samples/helloworld/helloworld.yaml

部署 sleep 应用，它将作为发送测试请求的客户端。

kubectl --context="${CTX_CLUSTER1}" apply \
  -n sample \
  -f https://raw.githubusercontent.com/istio/istio/refs/heads/master/samples/sleep/sleep.yaml

暂停，直到 helloworld-v1 部署完全可用且处于就绪状态。

kubectl --context="${CTX_CLUSTER1}" wait --for condition=available -n sample deployment/helloworld-v1

同样，等待 sleep 部署报告 Ready 状态。

kubectl --context="${CTX_CLUSTER1}" wait --for condition=available -n sample deployment/sleep

在 `West` 集群上复制该设置。

该集群将承载 helloworld 服务的 v2 版本。

在 West 集群上创建 sample 命名空间。

kubectl --context="${CTX_CLUSTER2}" create namespace sample

同样为该命名空间启用 Istio sidecar 注入。

kubectl --context="${CTX_CLUSTER2}" label namespace sample istio-injection=enabled

部署 helloworld 应用组件。

a. 在 West 集群上创建通用的 helloworld 服务端点。

kubectl --context="${CTX_CLUSTER2}" apply \
  -l service=helloworld -n sample \
  -f https://raw.githubusercontent.com/istio/istio/refs/heads/master/samples/helloworld/helloworld.yaml

b. 部署 helloworld 应用的 v2 实例。

kubectl --context="${CTX_CLUSTER2}" apply \
  -l version=v2 -n sample \
  -f https://raw.githubusercontent.com/istio/istio/refs/heads/master/samples/helloworld/helloworld.yaml

在 West 集群上部署客户端 sleep 应用。

kubectl --context="${CTX_CLUSTER2}" apply \
  -n sample \
  -f https://raw.githubusercontent.com/istio/istio/refs/heads/master/samples/sleep/sleep.yaml

等待 helloworld-v2 部署完全可用。

kubectl --context="${CTX_CLUSTER2}" wait --for condition=available -n sample deployment/helloworld-v2 --timeout=3m

最后，确保 West 集群上的 sleep 部署已就绪。

kubectl --context="${CTX_CLUSTER2}" wait --for condition=available -n sample deployment/sleep --timeout=3m

验证集群之间的流量流向

在两个集群上部署并运行应用后，下一步是发送请求并确认流量正在整个 service mesh 中正确地进行负载均衡。

从 East 集群中的一个 pod 发起一系列 10 个请求到 helloworld 服务。

for i in {0..9}; do \
  kubectl --context="${CTX_CLUSTER1}" exec -n sample deploy/sleep -c sleep -- curl -sS helloworld.sample:5000/hello; \
done

预期结果应同时包含来自 helloworld-v1（East）和 helloworld-v2（West）的响应，这证明 service mesh 正在跨集群边界路由请求。

示例输出

Hello version: v1, instance: helloworld-v1-644474db4b-7cwhz
Hello version: v2, instance: helloworld-v2-645cb7fc46-lnbb7
Hello version: v1, instance: helloworld-v1-644474db4b-7cwhz
Hello version: v1, instance: helloworld-v1-644474db4b-7cwhz
Hello version: v1, instance: helloworld-v1-644474db4b-7cwhz
Hello version: v2, instance: helloworld-v2-645cb7fc46-lnbb7
Hello version: v2, instance: helloworld-v2-645cb7fc46-lnbb7
Hello version: v1, instance: helloworld-v1-644474db4b-7cwhz
Hello version: v2, instance: helloworld-v2-645cb7fc46-lnbb7
Hello version: v1, instance: helloworld-v1-644474db4b-7cwhz

在 West 集群上执行相同测试。
for i in {0..9}; do \ kubectl --context="${CTX_CLUSTER2}" exec -n sample deploy/sleep -c sleep -- curl -sS helloworld.sample:5000/hello; \ done
同样，你应该会观察到来自该服务 v1 和 v2 的响应，这确认无论请求从哪里发起，primary-remote 负载均衡都能正常工作。

从开发环境中移除 primary-remote 拓扑

在完成验证和试验后，应拆除 primary-remote 配置，以清理开发环境并释放资源。

操作步骤

执行一条命令，从 East 集群中移除所有 Istio 组件和示例应用。

kubectl --context="${CTX_CLUSTER1}" delete istio/default istiocni/default ns/sample ns/istio-system ns/istio-cni

在 West 集群上运行相应命令，执行相同的清理操作。

kubectl --context="${CTX_CLUSTER2}" delete istio/default istiocni/default ns/sample ns/istio-system ns/istio-cni

#安装 primary-remote 多网络 mesh

#目录

#拓扑

#前提条件

#操作步骤

#创建定义要安装的 Istio 版本的 ISTIO_VERSION 环境变量

#在 East 集群上安装 IstioCNI

#在 East 集群上安装 Istio

#在 West 集群上安装 IstioCNI

#在 West 集群上安装 Istio

#验证 primary-remote 拓扑

#首先在 East 集群上部署所需的示例应用。

#在 West 集群上复制该设置。

#验证集群之间的流量流向

#从开发环境中移除 primary-remote 拓扑