创建服务网格

本文档说明如何创建单集群服务网格。在继续之前，请确保您已熟悉以下主题：

Mesh 部署模型：选择适合您需求的 Mesh 部署模型。
Mesh 组件说明：了解 Mesh 组件的职责，并为服务网格准备所需的 CPU 和内存资源。

如需了解如何创建多集群服务网格，请参阅多集群服务网格文档。

约束和限制

每个集群只允许创建一个服务网格。
当集群为 global 集群且平台处于灾难恢复环境时（即 global 集群存在主集群和灾难恢复集群），global 集群不能部署服务网格。
当集群为 IPv4/IPv6 双栈网络时，无法部署服务网格。

前提条件

已安装 Alauda Service Mesh Essentials Cluster Plugin。
下载与平台架构对应的以下安装包，并使用上架软件包机制将软件包上传到 global 集群和目标集群（请勿手动安装）。
- Alauda Service Mesh Operator
- Flagger Operator
- Alauda Build of Jaeger Operator
- Alauda Build of OpenTelemetry Operator
确保集群已部署 Prometheus 插件或 VictoriaMetrics 插件。

注意：当 VictoriaMetrics 采用多集群部署架构时，vmstorage 可以位于与服务网格不同的集群中。
确保存在可用的 Elasticsearch。服务网格可以对接集群的 Elasticsearch 日志插件或您自己的 Elasticsearch。
当集群为 OpenShift 集群时，还需要满足以下前提条件：
- 已创建 istio-system 命名空间。
- 将 istio-system 命名空间添加到 anyuid SCC（Security Context Constraints）组中。为此，请登录 OpenShift 集群的堡垒机并执行以下命令：
  oc adm policy add-scc-to-group anyuid system:serviceaccounts:istio-system

步骤

在左侧导航栏中，点击 Service Mesh > Mesh。
点击 创建服务网格。
选择要部署服务网格的集群和 Istio 版本。在高级配置中，确保 Mesh 架构为单集群，并填写 Elasticsearch 和监控系统的接口参数。您可以选择平台已有系统或外部系统。
- 如果对高可用有严格要求，请将 Pod 反亲和性设置为强制。
- 组件资源可以使用默认值，但随着 Mesh 中服务规模的增长，组件需要相应扩容。请及时为 Mesh 组件配置告警策略，以便在需要扩容时获得通知。

更多信息请参见 Mesh Parameter Description

注意：当集群为 OpenShift 集群时，Mesh 会默认自动检测并部署 istio-cni 组件。

后续步骤

启用 Istio CNI，以避免每个 Pod 都需要特权 init container。
启用全局限流。
使用 Istioctl 工具。
监控 Mesh 组件。

Mesh 参数说明

全局配置

Mesh 的全局配置会应用于部署该 Mesh 的所有集群。

参数说明

对接 Elasticsearch 平台：对接平台任意集群上的 Elasticsearch 日志插件。请选择 Elasticsearch 日志插件所在的集群。
外部：对接外部 Elasticsearch 日志插件。用户需要配置以下参数：
访问地址：Elasticsearch 的访问地址，以 http:// 或 https:// 开头。
认证方式：访问 Elasticsearch 的认证方式。
- Basic Auth：输入用户名和密码进行用户身份校验。
- 无认证：访问时无需认证。

对接监控系统 平台：对接集群中的 Prometheus 插件或 VictoriaMetrics 插件。
外部：对接外部插件提供的 Prometheus 或 VictoriaMetrics。用户需要配置以下参数：
数据查询地址：监控组件的数据查询地址，以 http:// 或 https:// 开头。
认证方式：访问监控系统的认证方式。
- Basic Auth：输入用户名和密码进行用户身份校验。
- 无认证：访问时无需认证。
注意：由于 Prometheus 插件无法聚合来自多个集群的监控数据，因此该集群下的服务网格无法继续添加更多集群来形成多集群服务网格。

参数	说明
对接 Elasticsearch	平台：对接平台任意集群上的 Elasticsearch 日志插件。请选择 Elasticsearch 日志插件所在的集群。外部：对接外部 Elasticsearch 日志插件。用户需要配置以下参数：访问地址：Elasticsearch 的访问地址，以 `http://` 或 `https://` 开头。认证方式：访问 Elasticsearch 的认证方式。 - Basic Auth：输入用户名和密码进行用户身份校验。 - 无认证：访问时无需认证。
对接监控系统	平台：对接集群中的 Prometheus 插件或 VictoriaMetrics 插件。外部：对接外部插件提供的 Prometheus 或 VictoriaMetrics。用户需要配置以下参数：数据查询地址：监控组件的数据查询地址，以 `http://` 或 `https://` 开头。认证方式：访问监控系统的认证方式。 - Basic Auth：输入用户名和密码进行用户身份校验。 - 无认证：访问时无需认证。注意：由于 Prometheus 插件无法聚合来自多个集群的监控数据，因此该集群下的服务网格无法继续添加更多集群来形成多集群服务网格。

集群维度配置

集群维度配置仅适用于所选集群。

参数	说明
Sidecar 配置	资源配额：集群级别的 Sidecar 资源配额默认值。在为特定服务注入 Sidecar 时，可根据实际情况进行修改，但不能超过 Sidecar 所在命名空间容器配额（LimitRange）的最大限制。
Trace 配置	采样率：集群级别的 Sidecar Trace 默认采样率。
Redis 配置	仅在使用数据平面的全局限流功能时才需要配置。具体配置方法请参见启用全局限流。
HTTP 重试策略	重试次数：集群级别的 HTTP 默认最大重试次数。注意：服务路由超时和重试策略中的重试次数将覆盖此默认值。

组件配置

注意：Mesh 组件以 Deployments 的形式部署在集群的特定命名空间中。成功创建 Mesh 后，您可以在组件选项卡中查看组件的运行状态，或者点击 组件名称，跳转到 Container Platform 上该组件部署所在的命名空间，并查看运行中组件 Deployment 的详细信息。

参数	说明
Pod 反亲和性	Kubernetes 会将组件 Pod 调度到满足 Pod 反亲和性设置的节点上。强制：同一组件的 Pod 只允许在同一节点上运行一个。优先：同一组件的多个 Pod 可以在同一节点上运行。Kubernetes 会按照调度算法尽量将该组件的 Pod 均匀调度到可用节点上，但不能保证每个节点上都有组件 Pod。
实例数	预期运行的组件 Pod 数量，请根据实际业务请求量进行设置。
资源配额	组件创建时每个容器实例的资源（CPU、内存）请求值（requests），同时也是该容器可用资源的限制值（limits）。请根据实际业务量和实例数量合理设置。
部署节点	组件部署所在的节点。创建 Mesh 时，该组件的 Pod 只能调度到所选节点上。
ELB	华为云 Elastic Load Balancer（ELB），用于为 CCE 集群上的 Istio Gateway 提供负载均衡能力。当所选集群为 CCE 集群时，需要填写 ELB ID 和 ELB Type，以关联预先为该集群准备好的 ELB。
总资源	在当前配置下创建该组件所有容器实例所需的总资源（CPU、内存）配额。当组件启用自动伸缩时，按实例数的最大值进行计算。

创建服务网格#

#目录

#约束和限制

#前提条件

#步骤

#后续步骤

#Mesh 参数说明

#全局配置

#集群维度配置

#组件配置