Alauda Service Mesh
  • 简体中文

    • 创建服务网格

    本文档介绍如何创建单集群服务网格。开始之前,请确保您已熟悉以下内容:

    • Mesh 部署模型:选择适合您需求的 mesh 部署模型。
    • Mesh 组件说明:了解 mesh 组件的作用,并为服务网格准备必要的 CPU 和内存资源。

    有关创建多集群服务网格的说明,请参见多集群服务网格文档。

    目录

    约束与限制

    • 每个集群仅允许存在一个服务网格。
    • 当集群为 global 集群且平台处于灾备环境(即 global 有主集群和灾备集群)时,global 集群无法部署服务网格。
    • 当集群为 IPv4/IPv6 双栈网络时,无法部署服务网格。

    前提条件

    • 已安装 Alauda Service Mesh Essentials Cluster Plugin

    • 下载对应您平台架构的以下安装包,并通过上传软件包机制将软件包上传至 global 集群和目标集群(请勿手动安装)。

      • Alauda Service Mesh operator
      • Flagger operator
      • Alauda Build of Jaeger operator
      • Alauda Build of OpenTelemetry operator

    • 确保集群已部署 Prometheus 插件或 VictoriaMetrics 插件。

      注意: 当 VictoriaMetrics 为多集群部署架构时,vmstorage 可以与服务网格所在集群不同。

    • 确保有可用的 Elasticsearch。服务网格可以对接集群的 Elasticsearch 日志插件或您自有的 Elasticsearch。

    • 当集群为 OpenShift 集群时,还需满足以下前提条件:

      • 已创建命名空间 istio-system
      • istio-system 命名空间添加至 anyuid SCC(Security Context Constraints)组。操作方法:登录 OpenShift 集群堡垒机,执行命令: 
        oc adm policy add-scc-to-group anyuid system:serviceaccounts:istio-system

    操作步骤

    1. 在左侧导航栏点击 Service Mesh > Mesh
    2. 点击 Create Service Mesh
    3. 选择集群和 Istio 版本以部署服务网格。在高级配置中,确保 mesh 架构为单集群,并填写 Elasticsearch 和监控系统的接口参数。您可以选择平台已有系统或外部系统。
      • 若严格要求高可用,设置 Pod 反亲和为强制。
      • 组件资源可使用默认值,但随着 mesh 中服务规模的增长,组件需要扩容。请及时配置 mesh 组件的告警策略,以便在需要扩容时获得通知。

    更多信息请参见 Mesh 参数说明

    注意:当集群为 OpenShift 集群时,mesh 会默认自动检测并部署 istio-cni 组件。

    后续操作

    • 启用 Istio CNI,消除每个 Pod 中特权 init 容器的需求。
    • 启用全局限流。
    • 使用 Istioctl 工具。
    • 监控 Mesh 组件。

    Mesh 参数说明

    全局配置

    mesh 的全局配置将应用于所有部署该 mesh 的集群。

    参数说明
    对接 Elasticsearch平台:对接平台任一集群上的 Elasticsearch 日志插件。选择 Elasticsearch 日志插件所在集群。
    外部:对接外部 Elasticsearch 日志插件。用户需配置以下参数:
    访问地址:Elasticsearch 的访问地址,以 http://https:// 开头。
    认证方式:访问 Elasticsearch 的认证方式。
    - Basic Auth:输入用户名和密码进行身份验证。
    - 无认证:访问无需认证。
    对接监控系统平台:对接集群内的 Prometheus 插件或 VictoriaMetrics 插件。
    外部:对接外部提供的 Prometheus 或 VictoriaMetrics。用户需配置以下参数:
    数据查询地址:监控组件的数据查询地址,以 http://https:// 开头。
    认证方式:访问监控系统的认证方式。
    - Basic Auth:输入用户名和密码进行身份验证。
    - 无认证:访问无需认证。
    注意:由于 Prometheus 插件无法聚合多个集群的监控数据,该集群下的服务网格无法添加更多集群形成多集群服务网格。

    集群维度配置

    集群维度配置仅对所选集群生效。

    参数说明
    Sidecar 配置资源配额:集群级别的 sidecar 资源配额默认值。注入特定服务的 sidecar 时可根据实际情况修改,但不可超过 sidecar 所在命名空间容器配额(LimitRange)的最大限制。
    Trace 配置采样率:集群级别的 sidecar trace 默认采样率。
    Redis 配置仅在数据面使用 全局限流 功能时必须配置。具体配置方法请参见启用全局限流。
    HTTP 重试策略重试次数:集群级别 HTTP 默认最大重试次数。
    注意:服务路由中 Timeout and Retry 策略的 重试次数 会覆盖此默认值。

    组件配置

    注意:Mesh 组件以 Deployment 形式部署在集群的特定命名空间中。mesh 创建成功后,可在 组件 标签页查看组件运行状态,或点击 组件名称 跳转至容器平台中组件部署的命名空间,查看运行中组件 Deployment 的详细信息。

    参数说明
    Pod 反亲和Kubernetes 会将组件 Pod 调度到满足 Pod 反亲和 设置的节点。
    强制:同一组件的 Pod 只能在不同节点上运行,每个节点最多运行一个该组件的 Pod。
    优先:允许同一组件的多个 Pod 运行在同一节点。Kubernetes 会根据调度算法尽量将组件 Pod 均匀调度到可用节点,但不能保证每个节点都有组件 Pod。
    实例数组件 Pod 的期望运行数量,根据实际业务请求量设置。
    资源配额组件每个容器实例创建时的资源请求值(requests),也是容器可用资源的限制值(limits)。请根据实际业务量和实例数合理设置 CPU 和内存。
    部署节点组件部署的节点。创建 mesh 时,组件 Pod 只能调度到所选节点上。
    ELB华为云弹性负载均衡(ELB),用于为 CCE 集群上的 Istio Gateway 提供负载均衡能力。当所选集群为 CCE 集群时,需要填写 ELB IDELB 类型,以关联为集群预先准备的 ELB。
    总资源当前配置下创建组件所有容器实例所需的总资源(CPU、内存)配额。组件启用自动扩缩容时,按最大实例数计算。