प्रोहोस्टर > ब्लॉग > प्रशासन > इस्तियो के साथ माइक्रोसर्विसेज पर वापस जाएं। भाग ---- पहला
इस्तियो के साथ माइक्रोसर्विसेज पर वापस जाएं। भाग ---- पहला
टिप्पणी। अनुवाद।: माइक्रोसर्विस आर्किटेक्चर का अनुसरण करने वाले अनुप्रयोगों के लिए सर्विस मेश निश्चित रूप से आज के बुनियादी ढांचे में एक गर्म विषय बन गया है। जबकि इस्तियो कई DevOps इंजीनियरों के रडार पर हो सकता है, यह एक बिल्कुल नया उत्पाद है, जो प्रदान की जाने वाली सुविधाओं के मामले में जटिल है, लेकिन इसे जानने में काफी समय लग सकता है। जर्मन इंजीनियर रिनोर मालोकु, जो दूरसंचार कंपनी ऑरेंज नेटवर्क्स में बड़े ग्राहकों के लिए क्लाउड कंप्यूटिंग के प्रभारी हैं, ने सामग्रियों की एक अद्भुत श्रृंखला लिखी है जो आपको इस्तियो में जल्दी और गहराई से गोता लगाने की अनुमति देती है। वह अपनी कहानी इस बात से शुरू करता है कि इस्तियो क्या कर सकता है और आप इसे अपनी आँखों से कैसे देख सकते हैं।
Istio - ओपन सोर्स-प्रोजेक्ट, Google, IBM और Lyft की टीमों के सहयोग से विकसित किया गया। यह माइक्रोसर्विसेज पर आधारित अनुप्रयोगों में उत्पन्न होने वाली जटिलताओं को हल करता है, उदाहरण के लिए, जैसे:
यातायात प्रबंधन: टाइमआउट, पुनः प्रयास, लोड संतुलन;
सुरक्षा: अंतिम उपयोगकर्ता प्रमाणीकरण और प्राधिकरण;
observability: ट्रेसिंग, मॉनिटरिंग, लॉगिंग।
उन सभी को एप्लिकेशन स्तर पर हल किया जा सकता है, हालाँकि उसके बाद आपकी सेवाएँ "सूक्ष्म" नहीं रहेंगी। इन मुद्दों को संबोधित करने के सभी अतिरिक्त प्रयास कंपनी के संसाधनों की बर्बादी है जिनका उपयोग सीधे व्यावसायिक मूल्य के लिए किया जा सकता है। एक उदाहरण पर विचार करें:
प्रोजेक्ट मैनेजर: फीडबैक सुविधा जोड़ने में कितना समय लगता है?
डेवलपर: दो स्प्रिंट।
एमपी: क्या?.. यह सिर्फ सीआरयूडी है!
आर: सीआरयूडी करना कार्य का आसान हिस्सा है, लेकिन हमें अभी भी उपयोगकर्ताओं और सेवाओं को प्रमाणित और अधिकृत करने की आवश्यकता है। चूंकि नेटवर्क अविश्वसनीय है, इसलिए आपको बार-बार अनुरोध लागू करने की भी आवश्यकता होगी सर्किट ब्रेकर पैटर्न ग्राहकों में. साथ ही, यह सुनिश्चित करने के लिए कि पूरा सिस्टम क्रैश न हो, टाइमआउट आदि थोक सिर(दोनों उल्लिखित पैटर्न पर अधिक विवरण के लिए लेख में बाद में देखें।), और समस्याओं का पता लगाने के लिए, निगरानी, पता लगाना, […]
एमपी: ओह, तो चलिए इस सुविधा को उत्पाद सेवा में डालते हैं।
मुझे लगता है कि विचार स्पष्ट है: किसी एक सेवा को जोड़ने के लिए आवश्यक कदमों और प्रयासों की मात्रा बहुत बड़ी है। इस लेख में, हम देखेंगे कि इस्तियो सेवाओं से ऊपर उल्लिखित सभी जटिलताओं (व्यावसायिक तर्क द्वारा लक्षित नहीं) को कैसे हटाता है।
नोट: लेख मानता है कि आपको कुबेरनेट्स का कार्यसाधक ज्ञान है। अन्यथा, मैं पढ़ने की सलाह देता हूं कुबेरनेट्स से मेरा परिचय और उसके बाद ही इस सामग्री को पढ़ना जारी रखें।
इस्तियो विचार
इस्तियो के बिना दुनिया में, एक सेवा दूसरे से सीधे अनुरोध करती है, और विफलता के मामले में, सेवा को इसे स्वयं संभालना होगा: एक नया प्रयास करें, टाइमआउट प्रदान करें, सर्किट ब्रेकर खोलें, आदि।
कुबेरनेट्स में नेटवर्क ट्रैफ़िक
दूसरी ओर, इस्तियो एक विशेष समाधान प्रदान करता है जो नेटवर्क इंटरैक्शन में हस्तक्षेप करके सेवाओं और कार्यों से पूरी तरह से अलग है। और इस प्रकार यह कार्यान्वित होता है:
दोष सहिष्णुता: प्रतिक्रिया में स्थिति कोड के आधार पर, यह समझता है कि अनुरोध विफल हुआ या नहीं और इसे पुनः सबमिट करता है।
कैनरी रोलआउट्स: अनुरोधों के केवल एक निश्चित प्रतिशत को सेवा के नए संस्करण पर पुनर्निर्देशित करता है।
निगरानी और मेट्रिक्स: सेवा को प्रतिक्रिया देने में कितना समय लगा?
अनुरेखण और अवलोकन: प्रत्येक अनुरोध में विशेष हेडर जोड़ता है और उन्हें पूरे क्लस्टर में ट्रेस करता है।
सुरक्षा: JWT टोकन प्राप्त करता है, उपयोगकर्ताओं को प्रमाणित और अधिकृत करता है।
ये आपकी रुचि जगाने वाली कुछ संभावनाएं हैं (वास्तव में कुछ ही!)। आइए अब तकनीकी विवरणों पर गौर करें!
वास्तुकला
इस्तियो सभी नेटवर्क ट्रैफ़िक को रोकता है और उस पर नियमों का एक सेट लागू करता है, प्रत्येक पॉड में एक साइडकार कंटेनर के रूप में एक स्मार्ट प्रॉक्सी डालता है। प्रॉक्सी जो सभी संभावनाओं को सक्रिय करती है a डाटा प्लेन, और उन्हें गतिशील रूप से समायोजित किया जा सकता है विमान नियंत्रण.
डाटा प्लेन
पॉड्स में डाले गए प्रॉक्सी इस्तियो को हमारी आवश्यक आवश्यकताओं को आसानी से प्राप्त करने की अनुमति देते हैं। उदाहरण के लिए, आइए पुनः प्रयास और सर्किट ब्रेकर फ़ंक्शन की जाँच करें।
एनवॉय में रिट्रीट और सर्किट ब्रेकिंग को कैसे लागू किया जाता है
संक्षेप में:
दूत (हम एक साइडकार कंटेनर में स्थित प्रॉक्सी के बारे में बात कर रहे हैं, जिसे वितरित किया जाता है और कैसे अलग उत्पाद - लगभग। अनुवाद।) सेवा बी के पहले उदाहरण के लिए अनुरोध भेजता है और विफल रहता है।
दूत साइडकार फिर से प्रयास कर रहा है (पुनः प्रयास करें). (1)
विफल अनुरोध उस प्रॉक्सी को लौटा दिया जाता है जिसने उसे कॉल किया था।
यह सर्किट ब्रेकर खोलता है और बाद के अनुरोधों के लिए अगली सेवा को कॉल करता है। (2)
इसका मतलब यह है कि आपको अगली रिट्री लाइब्रेरी का उपयोग करने की आवश्यकता नहीं है, आपको एक्स, वाई या जेड प्रोग्रामिंग भाषा में सर्किट ब्रेकिंग और सर्विस डिस्कवरी का अपना कार्यान्वयन नहीं करना है। यह सब और बहुत कुछ उपलब्ध है इस्तियो में बॉक्स और इसकी आवश्यकता नहीं है नहीं कोड बदलता है.
महान! अब आप इस्तियो के साथ यात्रा पर जाना चाह सकते हैं, लेकिन अभी भी कुछ संदेह, खुले प्रश्न हैं। यदि यह जीवन में सभी अवसरों के लिए एक सार्वभौमिक समाधान है, तो आपके पास एक वैध संदेह है: आखिरकार, ऐसे सभी समाधान वास्तव में किसी भी मामले के लिए उपयुक्त नहीं हैं।
और अंत में आप पूछते हैं: "क्या यह अनुकूलन योग्य है?"
अब आप समुद्री यात्रा के लिए तैयार हैं - और आइए कंट्रोल प्लेन से परिचित हों।
विमान नियंत्रण
इसमें तीन घटक शामिल हैं: पायलट, मिक्सर и गढ़, जो एक साथ ट्रैफ़िक को रूट करने, नीतियों को लागू करने और टेलीमेट्री डेटा एकत्र करने के लिए दूतों को कॉन्फ़िगर करते हैं। योजनाबद्ध रूप से, यह सब इस तरह दिखता है:
डेटा प्लेन के साथ कंट्रोल प्लेन का इंटरेक्शन
दूतों (यानी डेटा प्लेन) के साथ कॉन्फ़िगर किया गया है कुबेरनेट्स सीआरडी (कस्टम संसाधन परिभाषाएँ) इस्तियो द्वारा परिभाषित और विशेष रूप से इस उद्देश्य के लिए डिज़ाइन की गई हैं। आपके लिए इसका मतलब यह है कि वे परिचित वाक्यविन्यास के साथ कुबेरनेट्स में सिर्फ एक और संसाधन हैं। एक बार बन जाने के बाद, इस संसाधन को नियंत्रण विमान द्वारा उठाया जाएगा और दूतों पर लागू किया जाएगा।
इस्तियो से सेवाओं का संबंध
हमने इस्तियो के सेवाओं से संबंध का वर्णन किया है, लेकिन इसके विपरीत नहीं: सेवाएं इस्तियो से कैसे संबंधित हैं?
ईमानदार होने के लिए, सेवाओं को इस्तियो की उपस्थिति के बारे में पता है और साथ ही मछली को पानी के बारे में पता है, जब वे खुद से पूछते हैं: "आखिरकार पानी क्या है?"।
इस प्रकार, आप एक कार्यशील क्लस्टर ले सकते हैं और इस्तियो घटकों को तैनात करने के बाद, इसमें सेवाएँ काम करती रहेंगी, और इन घटकों को हटाने के बाद, सब कुछ फिर से ठीक हो जाएगा। यह स्पष्ट है कि इस मामले में आप इस्तियो द्वारा प्रदान किए गए अवसरों को खो देंगे।
सिद्धांत बहुत हो गया - आइए इस ज्ञान को व्यवहार में लाएं!
व्यवहार में इस्तियो
इस्तियो को कुबेरनेट्स क्लस्टर की आवश्यकता है जिसमें कम से कम 4 वीसीपीयू और 8 जीबी रैम उपलब्ध हो। क्लस्टर को शीघ्रता से बढ़ाने और लेख के निर्देशों का पालन करने के लिए, मैं Google क्लाउड प्लेटफ़ॉर्म का उपयोग करने की सलाह देता हूं, जो नए उपयोगकर्ताओं को प्रदान करता है मुफ़्त $300.
क्लस्टर बनाने और कंसोल उपयोगिता के माध्यम से कुबेरनेट्स तक पहुंच स्थापित करने के बाद, आप हेल्म पैकेज मैनेजर के माध्यम से इस्तियो स्थापित कर सकते हैं।
पतवार स्थापना
अपने कंप्यूटर पर हेल्म क्लाइंट स्थापित करें जैसा कि इसमें बताया गया है आधिकारिक दस्तावेज. हम इसका उपयोग अगले भाग में इस्तियो को स्थापित करने के लिए टेम्पलेट तैयार करने के लिए करेंगे।
इंस्टालेशन
यहां से इस्तियो संसाधन डाउनलोड करें नवीनतम रिलीज(संस्करण 1.0.5 के मूल लेखक के लिंक को वर्तमान में बदल दिया गया है, अर्थात 1.0.6 - लगभग अनुवाद।), सामग्री को एक एकल निर्देशिका में निकालें, जिसे मैं संदर्भित करूंगा [istio-resources].
इस्तियो संसाधनों की आसान पहचान के लिए, K8s क्लस्टर में एक नेमस्पेस बनाएं istio-system:
$ kubectl create namespace istio-system
निर्देशिका पर नेविगेट करके इंस्टॉलेशन पूरा करें [istio-resources] और आदेश चला रहा है:
यह कमांड इस्तियो के प्रमुख घटकों को एक फ़ाइल में आउटपुट करेगा istio.yaml. हमने निम्नलिखित पैरामीटर निर्दिष्ट करके अपने लिए मानक टेम्पलेट को संशोधित किया है:
global.mtls.enabled में स्थापित false(यानी एमटीएलएस प्रमाणीकरण अक्षम है - लगभग अनुवाद।)हमारी डेटिंग प्रक्रिया को सरल बनाने के लिए;
tracing.enabled जैगर के साथ अनुरोध अनुरेखण सक्षम बनाता है;
kiali.enabled सेवाओं और यातायात की कल्पना करने के लिए किआली को एक क्लस्टर में स्थापित करता है;
grafana.enabled एकत्रित मेट्रिक्स की कल्पना करने के लिए ग्राफाना स्थापित करता है।
उत्पन्न संसाधनों को कमांड के साथ लागू करें:
$ kubectl apply -f istio.yaml
क्लस्टर में इस्तियो की स्थापना पूरी हो गई है! नेमस्पेस में सभी पॉड्स आने तक प्रतीक्षा करें istio-system सक्षम हो जाएगा Running या Completedनीचे दिए गए आदेश को चलाकर:
$ kubectl get pods -n istio-system
अब हम अगले भाग पर आगे बढ़ने के लिए तैयार हैं, जहां हम एप्लिकेशन को बढ़ाएंगे और चलाएंगे।
भावना विश्लेषण अनुप्रयोग वास्तुकला
आइए पहले से उल्लेखित में उपयोग किए गए सेंटीमेंट एनालिसिस माइक्रोसर्विस एप्लिकेशन के उदाहरण का उपयोग करें कुबेरनेट्स का परिचय लेख. व्यवहार में इस्तियो की संभावनाओं को दिखाने के लिए यह काफी जटिल है।
एप्लिकेशन में चार माइक्रोसर्विसेज शामिल हैं:
सेवा एसए-फ्रंटेंड, जो Reactjs पर फ्रंट-एंड एप्लिकेशन परोसता है;
सेवा एसए वेब ऐप, जो सेंटीमेंट विश्लेषण प्रश्न प्रस्तुत करता है;
सेवा एसए प्रतिक्रिया, जो किए गए विश्लेषण की सटीकता पर उपयोगकर्ताओं से प्रतिक्रिया प्राप्त करता है।
इस आरेख में, सेवाओं के अलावा, हम इनग्रेस कंट्रोलर को भी देखते हैं, जो कुबेरनेट्स में आने वाले अनुरोधों को संबंधित सेवाओं तक रूट करता है। इस्तियो इनग्रेस गेटवे के हिस्से के रूप में एक समान अवधारणा का उपयोग करता है, जिसका विवरण आगे दिया जाएगा।
इस्तियो से प्रॉक्सी के साथ एक एप्लिकेशन लॉन्च करना
लेख में उल्लिखित आगे के संचालन के लिए, अपनी रिपॉजिटरी को क्लोन करें इस्तियो-महारत. इसमें कुबेरनेट्स और इस्तियो के लिए एप्लिकेशन और मैनिफ़ेस्ट शामिल हैं।
साइडकार डालना
निवेशन किया जा सकता है स्वचालित रूप से या मैन्युअल. साइडकार कंटेनरों को स्वचालित रूप से सम्मिलित करने के लिए, आपको लेबल को नेमस्पेस पर सेट करना होगा istio-injection=enabled, जो निम्नलिखित कमांड द्वारा किया जाता है:
अब प्रत्येक पॉड को डिफ़ॉल्ट नेमस्पेस में तैनात किया जाएगा (default) इसका साइडकार कंटेनर मिलेगा। इसे सत्यापित करने के लिए, आइए रिपॉजिटरी की रूट डायरेक्टरी पर जाकर एक परीक्षण एप्लिकेशन तैनात करें [istio-mastery] और निम्न आदेश चला रहा हूँ:
$ kubectl apply -f resource-manifests/kube
persistentvolumeclaim/sqlite-pvc created
deployment.extensions/sa-feedback created
service/sa-feedback created
deployment.extensions/sa-frontend created
service/sa-frontend created
deployment.extensions/sa-logic created
service/sa-logic created
deployment.extensions/sa-web-app created
service/sa-web-app created
सेवाओं को तैनात करने के बाद, कमांड चलाकर जांचें कि पॉड्स में प्रत्येक में दो कंटेनर हैं (स्वयं सेवा और उसके साइडकार के साथ) kubectl get pods और यह सुनिश्चित कर लें कि कॉलम के अंतर्गत READY निर्दिष्ट मूल्य 2/2, यह दर्शाता है कि दोनों कंटेनर चल रहे हैं:
$ kubectl get pods
NAME READY STATUS RESTARTS AGE
sa-feedback-55f5dc4d9c-c9wfv 2/2 Running 0 12m
sa-frontend-558f8986-hhkj9 2/2 Running 0 12m
sa-logic-568498cb4d-2sjwj 2/2 Running 0 12m
sa-logic-568498cb4d-p4f8c 2/2 Running 0 12m
sa-web-app-599cf47c7c-s7cvd 2/2 Running 0 12m
देखने में यह इस तरह दिखता है:
पॉड्स में से एक में दूत प्रॉक्सी
अब जबकि एप्लिकेशन चालू है और चल रहा है, हमें आने वाले ट्रैफ़िक को एप्लिकेशन में प्रवेश करने की अनुमति देनी होगी।
प्रवेश द्वार
इसे प्राप्त करने के लिए सबसे अच्छा अभ्यास (क्लस्टर में ट्रैफ़िक की अनुमति देना) है प्रवेश द्वार इस्तियो में, जो क्लस्टर के "किनारे" पर स्थित है और आपको आने वाले ट्रैफ़िक के लिए रूटिंग, लोड संतुलन, सुरक्षा और निगरानी जैसी इस्तियो सुविधाओं को सक्षम करने की अनुमति देता है।
इनग्रेस गेटवे घटक और इसे बाहर की ओर अग्रेषित करने वाली सेवा इस्तियो इंस्टॉलेशन के दौरान क्लस्टर पर स्थापित की गई थी। किसी सेवा का बाहरी आईपी पता जानने के लिए, चलाएँ:
$ kubectl get svc -n istio-system -l istio=ingressgateway
NAME TYPE CLUSTER-IP EXTERNAL-IP
istio-ingressgateway LoadBalancer 10.0.132.127 13.93.30.120
हम इस आईपी का उपयोग करके एप्लिकेशन तक पहुंच जारी रखेंगे (मैं इसे एक्सटर्नल-आईपी के रूप में संदर्भित करूंगा), इसलिए सुविधा के लिए, हम एक वेरिएबल का मान लिखेंगे:
$ EXTERNAL_IP=$(kubectl get svc -n istio-system
-l app=istio-ingressgateway
-o jsonpath='{.items[0].status.loadBalancer.ingress[0].ip}')
यदि आप अब ब्राउज़र के माध्यम से इस आईपी तक पहुंचने का प्रयास करते हैं, तो आपको एक सेवा अनुपलब्ध त्रुटि मिलेगी, क्योंकि डिफ़ॉल्ट रूप से इस्तियो आने वाले सभी ट्रैफ़िक को ब्लॉक कर देता हैजब तक गेटवे परिभाषित नहीं हो जाता।
गेटवे संसाधन
कुबेरनेट्स में गेटवे एक सीआरडी (कस्टम रिसोर्स डेफिनिशन) है, जिसे एक क्लस्टर में इस्तियो को स्थापित करने और पोर्ट, प्रोटोकॉल और होस्ट को निर्दिष्ट करने की क्षमता को सक्षम करने के बाद परिभाषित किया गया है जिसके लिए हम आने वाले ट्रैफ़िक की अनुमति देना चाहते हैं।
हमारे मामले में, हम सभी होस्ट के लिए पोर्ट 80 पर HTTP ट्रैफ़िक की अनुमति देना चाहते हैं। समस्या का एहसास निम्नलिखित परिभाषा से होता है (http-gateway.yaml):
इस कॉन्फ़िगरेशन को चयनकर्ता के अलावा किसी स्पष्टीकरण की आवश्यकता नहीं है istio: ingressgateway. इस चयनकर्ता के साथ, हम निर्दिष्ट कर सकते हैं कि कॉन्फ़िगरेशन को किस इनग्रेस गेटवे पर लागू करना है। हमारे मामले में, यह इनग्रेस गेटवे नियंत्रक है, जिसे इस्तियो में डिफ़ॉल्ट रूप से स्थापित किया गया था।
निम्न कमांड को कॉल करके कॉन्फ़िगरेशन लागू किया जाता है:
$ kubectl apply -f resource-manifests/istio/http-gateway.yaml gateway.networking.istio.io/http-gateway created
गेटवे अब पोर्ट 80 तक पहुंच की अनुमति देता है लेकिन यह पता नहीं है कि अनुरोधों को कहां रूट किया जाए। इसके लिए आपको आवश्यकता होगी आभासी सेवाएँ.
आभासी सेवा संसाधन
वर्चुअल सर्विस इनग्रेस गेटवे को बताती है कि क्लस्टर के भीतर अनुमत अनुरोधों को कैसे रूट किया जाए।
http-गेटवे के माध्यम से आने वाले हमारे आवेदन के अनुरोधों को sa-frontend, sa-web-app और sa-फीडबैक सेवाओं पर भेजा जाना चाहिए:
वर्चुअल सर्विसेज के साथ कॉन्फ़िगर किए जाने वाले रूट
उन अनुरोधों पर विचार करें जिन्हें एसए-फ्रंटेंड को भेजा जाना चाहिए:
रास्ते में सटीक मिलान / Index.html प्राप्त करने के लिए SA-Frontend को भेजा जाना चाहिए;
उपसर्ग के साथ पथ /static/* सीएसएस और जावास्क्रिप्ट जैसी फ्रंटएंड में उपयोग की जाने वाली स्थिर फ़ाइलें प्राप्त करने के लिए एसए-फ्रंटेंड को भेजा जाना चाहिए;
नियमित अभिव्यक्ति से मेल खाने वाले पथ '^.*.(ico|png|jpg)$', एसए-फ्रंटेंड को भेजा जाना चाहिए, क्योंकि ये पृष्ठ पर प्रदर्शित चित्र हैं।
Этот VirtualService относится к запросам, приходящим через http-gateway;
В destination определяется сервис, куда отправляются запросы.
Примечание: Конфигурация выше хранится в файле sa-virtualservice-external.yaml, который также содержит настройки для маршрутизации в SA-WebApp и SA-Feedback, но был сокращён здесь в статье для лаконичности.
Применим VirtualService вызовом:
$ kubectl apply -f resource-manifests/istio/sa-virtualservice-external.yaml
virtualservice.networking.istio.io/sa-external-services created
Примечание: Когда мы применяем ресурсы Istio, Kubernetes API Server создаёт событие, которое получает Istio Control Plane, и уже после этого новая конфигурация применяется к прокси-серверам Envoy каждого pod'а. А контроллер Ingress Gateway представляется очередным Envoy, сконфигурированным в Control Plane. Всё это на схеме выглядит так:
Конфигурация Istio-IngressGateway для маршрутизации запросов
Приложение Sentiment Analysis стало доступным по http://{EXTERNAL-IP}/. Не переживайте, если вы получаете статус Not Found: иногда требуется чуть больше времени для того, чтобы конфигурация вступила в силу и кэши Envoy обновились.
Перед тем, как продолжить, поработайте немного с приложением, чтобы сгенерировать трафик (его наличие необходимо для наглядности в последующих действиях — прим. перев.).
Kiali : наблюдаемость
Чтобы попасть в административный интерфейс Kiali, выполните следующую команду:
$ kubectl port-forward
$(kubectl get pod -n istio-system -l app=kiali
-o jsonpath='{.items[0].metadata.name}')
-n istio-system 20001
… и откройте http://localhost:20001/, залогинившись под admin/admin. Здесь вы найдете множество полезных возможностей, например, для проверки конфигурации компонентов Istio, визуализации сервисов по информации, собранной при перехвате сетевых запросов, получения ответов на вопросы «Кто к кому обращается?», «У какой версии сервиса возникают сбои?» и т.п. В общем, изучите возможности Kiali перед тем, как двигаться дальше — к визуализации метрик с Grafana.
Grafana: визуализация метрик
Собранные в Istio метрики попадают в Prometheus и визуализируются с Grafana. Чтобы попасть в административный интерфейс Grafana, выполните команду ниже, после чего откройте http://localhost:3000/:
$ kubectl -n istio-system port-forward
$(kubectl -n istio-system get pod -l app=grafana
-o jsonpath={.items[0].metadata.name}) 3000
Кликнув на меню Home слева сверху и выбрав Istio Service Dashboard в левом верхнем углу, начните с сервиса sa-web-app, чтобы посмотреть на собранные метрики:
Здесь нас ждёт пустое и совершенно скучное представление — руководство никогда такое не одобрит. Давайте же создадим небольшую нагрузку следующей командой:
$ while true; do
curl -i http://$EXTERNAL_IP/sentiment
-H "Content-type: application/json"
-d '{"sentence": "I love yogobella"}';
sleep .8; done
Вот теперь у нас гораздо более симпатичные графики, а в дополнение к ним — замечательные инструменты Prometheus для мониторинга и Grafana для визуализации метрик, что позволят нам узнать о производительности, состоянии здоровья, улучшениях/деградации в работе сервисов на протяжении времени.
Наконец, посмотрим на трассировку запросов в сервисах.
Jaeger : трассировка
Трассировка нам потребуется, потому что чем больше у нас сервисов, тем сложнее добраться до причины сбоя. Посмотрим на простой случай из картинки ниже:
Типовой пример случайного неудачного запроса
Запрос приходит, падает — в чём же причина? Первый сервис? Или второй? Исключения есть в обоих — давайте посмотрим на логи каждого. Как часто вы ловили себя за таким занятием? Наша работа больше похожа на детективов программного обеспечения, а не разработчиков…
Это широко распространённая проблема в микросервисах и решается она распределёнными системами трассировки, в которых сервисы передают друг другу уникальный заголовок, после чего эта информация перенаправляется в систему трассировки, где она сопоставляется с данными запроса. Вот иллюстрация:
Для идентификации запроса используется TraceId
В Istio используется Jaeger Tracer, который реализует независимый от вендоров фреймворк OpenTracing API. Получить доступ к пользовательского интерфейсу Jaeger можно следующей командой:
$ kubectl port-forward -n istio-system
$(kubectl get pod -n istio-system -l app=jaeger
-o jsonpath='{.items[0].metadata.name}') 16686
Теперь зайдите на http://localhost:16686/ и выберите сервис sa-web-app. Если сервис не показан в выпадающем меню — проявите/сгенерируйте активность на странице и обновите интерфейс. После этого нажмите на кнопку Find Traces, которая покажет самые последние трейсы — выберите любой — покажется детализированная информация по всем трейсам:
Этот трейс показывает:
Запрос приходит в istio-ingressgateway (это первое взаимодействие с одним из сервисов, и для запроса генерируется Trace ID), после чего шлюз направляет запрос в сервис sa-web-app.
В сервисе sa-web-app запрос подхватывается Envoy sidecar'ом, создаётся «ребёнок» в span'е (поэтому мы видим его в трейсах) и перенаправляется в контейнер sa-web-app. (Span — логическая единица работы в Jaeger, имеющая название, время начало операции и её продолжительность. Span'ы могут быть вложенными и упорядоченными. Ориентированный ациклический граф из span'ов образует trace. — прим. перев.)
Здесь запрос обрабатывается методом sentimentAnalysis. Эти трейсы уже сгенерированы приложением, т.е. для них потребовались изменения в коде.
С этого момента инициируется POST-запрос в sa-logic. Trace ID должен быть проброшен из sa-web-app.
…
Примечание: На 4 шаге приложение должно увидеть заголовки, сгенерированные Istio, и передать их в последующие запросы, как показано на изображении ниже:
(A) За проброс заголовков отвечает Istio; (B) За заголовки отвечают сервисы
Istio делает основную работу, т.к. генерирует заголовки для входящих запросов, создаёт новые span'ы в каждом sidecare'е и пробрасывает их. Однако без работы с заголовками внутри сервисов полный путь трассировки запроса будет утерян.
Необходимо учитывать (пробрасывать) следующие заголовки:
Это несложная задача, однако для упрощения её реализации уже существует множество библиотек — например, в сервисе sa-web-app клиент RestTemplate пробрасывает эти заголовки, если просто добавить библиотеки Jaeger и OpenTracing в его зависимости.
Заметьте, что приложение Sentiment Analysis демонстрирует реализации на Flask, Spring и ASP.NET Core.
Теперь, когда стало ясно, что мы получаем из коробки (или почти «из коробки»), рассмотрим вопросы тонко настраиваемой маршрутизации, управления сетевым трафиком, безопасности и т.п.!
Прим. перев.: об этом читайте в следующей части материалов по Istio от Rinor Maloku, переводы которых последуют в нашем блоге в ближайшее время. UPDATE (14 марта): Вторая часть уже опубликована.
यह वर्चुअल सेवा आने वाले अनुरोधों को संदर्भित करती है http-गेटवे;
В destination उस सेवा को परिभाषित करता है जिस पर अनुरोध भेजे जाते हैं।
नोट: उपरोक्त कॉन्फ़िगरेशन एक फ़ाइल में संग्रहीत है sa-virtualservice-external.yaml, जिसमें SA-WebApp और SA-फीडबैक पर रूटिंग के लिए सेटिंग्स भी शामिल हैं, लेकिन संक्षिप्तता के लिए यहां लेख में इसे छोटा कर दिया गया है।
कॉल करके वर्चुअल सेवा लागू करें:
नोट: जब हम इस्तियो संसाधनों को लागू करते हैं, तो कुबेरनेट्स एपीआई सर्वर एक इवेंट को फायर करता है जो इस्तियो कंट्रोल प्लेन को प्राप्त होता है, और उसके बाद, प्रत्येक पॉड के एनवॉय प्रॉक्सी पर नया कॉन्फ़िगरेशन लागू होता है। और इनग्रेस गेटवे कंट्रोलर कंट्रोल प्लेन में कॉन्फ़िगर किया गया एक अन्य दूत प्रतीत होता है। यह सब चित्र में इस तरह दिखता है:
अनुरोध रूटिंग के लिए इस्तियो-इन्ग्रेसगेटवे कॉन्फ़िगरेशन
भावना विश्लेषण अब उपलब्ध है http://{EXTERNAL-IP}/. यदि आपको 'नहीं मिला' स्थिति मिलती है तो चिंता न करें: कभी-कभी कॉन्फ़िगरेशन को प्रभावी होने और एन्वॉय कैश को अपडेट होने में थोड़ा अधिक समय लगता है.
आगे बढ़ने से पहले, ट्रैफ़िक उत्पन्न करने के लिए एप्लिकेशन के साथ थोड़ा खेलें (बाद की कार्रवाइयों में स्पष्टता के लिए इसकी उपस्थिति आवश्यक है - लगभग अनुवाद।).
किआली: अवलोकनीयता
किआली एडमिन इंटरफ़ेस तक पहुंचने के लिए, निम्नलिखित कमांड चलाएँ:
...और खोलो http://localhost:20001/व्यवस्थापक/व्यवस्थापक के रूप में लॉग इन करके। यहां आपको कई उपयोगी सुविधाएं मिलेंगी, उदाहरण के लिए, इस्तियो घटकों के कॉन्फ़िगरेशन की जांच करना, नेटवर्क अनुरोधों को इंटरसेप्ट करके एकत्र की गई जानकारी से सेवाओं की कल्पना करना, सवालों के जवाब प्राप्त करना "कौन किससे संपर्क कर रहा है?", "सेवा का कौन सा संस्करण अनुभव कर रहा है" असफलताएँ?” और इसी तरह। सामान्य तौर पर, ग्राफाना के साथ मेट्रिक्स की कल्पना करने के लिए आगे बढ़ने से पहले किआली की संभावनाओं का पता लगाएं।
ग्राफाना: मेट्रिक्स का विज़ुअलाइज़ेशन
इस्तियो में एकत्र किए गए मेट्रिक्स प्रोमेथियस में समाप्त होते हैं और ग्राफाना के साथ देखे जाते हैं। ग्राफाना एडमिन इंटरफ़ेस तक पहुंचने के लिए, नीचे दिए गए कमांड को चलाएँ, फिर खोलें http://localhost:3000/:
मेनू पर क्लिक करके होम ऊपर बाईं ओर चुनें और चुनें इस्तियो सर्विस डैशबोर्ड ऊपरी बाएँ कोने में, सेवा से प्रारंभ करें सा-वेब-ऐपएकत्रित मेट्रिक्स देखने के लिए:
यहां हम एक खाली और पूरी तरह से उबाऊ प्रदर्शन की प्रतीक्षा कर रहे हैं - प्रबंधन इसे कभी भी स्वीकार नहीं करेगा। आइए निम्नलिखित कमांड के साथ एक छोटा लोड बनाएं:
अब हमारे पास बहुत सुंदर ग्राफ़ हैं, और उनके अलावा, मॉनिटरिंग के लिए प्रोमेथियस और मेट्रिक्स को विज़ुअलाइज़ करने के लिए ग्राफाना जैसे अद्भुत उपकरण हैं, जो हमें समय के साथ सेवाओं में प्रदर्शन, स्वास्थ्य स्थिति, सुधार / गिरावट के बारे में जानने की अनुमति देंगे।
अंत में, आइए सेवाओं में अनुरोध अनुरेखण को देखें।
जैगर: ट्रेसिंग
हमें ट्रेसिंग की आवश्यकता होगी, क्योंकि हमारे पास जितनी अधिक सेवाएँ होंगी, विफलता के कारण तक पहुँचना उतना ही कठिन होगा। आइए नीचे दी गई तस्वीर से एक साधारण मामला देखें:
यादृच्छिक विफल अनुरोध का विशिष्ट उदाहरण
अनुरोध आता है, गिर जाता है - कारण क्या है? पहली सेवा? या दूसरा? दोनों में अपवाद हैं - आइए प्रत्येक के लॉग देखें। आपने खुद को कितनी बार ऐसा करते हुए पकड़ा है? हमारा काम डेवलपर्स से ज्यादा सॉफ्टवेयर जासूसों जैसा है...
यह माइक्रोसर्विसेज में एक व्यापक समस्या है और इसे वितरित ट्रेसिंग सिस्टम द्वारा हल किया जाता है, जिसमें सेवाएं एक-दूसरे को एक अद्वितीय हेडर पास करती हैं, जिसके बाद यह जानकारी ट्रेसिंग सिस्टम पर रीडायरेक्ट की जाती है, जहां इसकी तुलना अनुरोध डेटा से की जाती है। यहाँ एक उदाहरण है:
अनुरोध की पहचान करने के लिए ट्रेसआईडी का उपयोग किया जाता है
इस्तियो जैगर ट्रैसर का उपयोग करता है, जो एक विक्रेता-स्वतंत्र ओपनट्रेसिंग एपीआई ढांचे को लागू करता है। आप निम्नलिखित कमांड से जैगर यूजर इंटरफेस तक पहुंच सकते हैं:
अब जाओ http://localhost:16686/ और एक सेवा चुनें सा-वेब-ऐप. यदि सेवा ड्रॉपडाउन मेनू में नहीं दिखाई जाती है, तो पृष्ठ पर गतिविधि दिखाएं/उत्पन्न करें और इंटरफ़ेस अपडेट करें। इसके बाद बटन पर क्लिक करें निशान खोजें, जो सबसे हाल के निशान दिखाएगा - कोई भी चुनें - सभी निशानों पर विस्तृत जानकारी दिखाई देगी:
यह ट्रेस दिखाता है:
अनुरोध आता है इस्तिओ-इनग्रेसगेटवे (यह सेवाओं में से किसी एक के साथ पहली बातचीत है, और अनुरोध के लिए एक ट्रेस आईडी उत्पन्न होती है), जिसके बाद गेटवे सेवा को अनुरोध भेजता है सा-वेब-ऐप.
सेवा में सा-वेब-ऐप अनुरोध एन्वॉय साइडकार द्वारा उठाया जाता है, एक "बच्चा" स्पैन में बनाया जाता है (यही कारण है कि हम इसे निशान में देखते हैं) और कंटेनर पर रीडायरेक्ट किया जाता है सा-वेब-ऐप. (विस्तार - जैगर में काम की एक तार्किक इकाई, जिसका नाम, ऑपरेशन का प्रारंभ समय और उसकी अवधि होती है। स्पैन को नेस्टेड और ऑर्डर किया जा सकता है। स्पैन का एक निर्देशित चक्रीय ग्राफ एक ट्रेस बनाता है। - लगभग। अनुवाद)
यहां अनुरोध को विधि द्वारा संसाधित किया जाता है भावनाओं का विश्लेषण. ये निशान पहले से ही एप्लिकेशन द्वारा उत्पन्न होते हैं, यानी। उन्हें कोड परिवर्तन की आवश्यकता थी।
इस क्षण से, एक POST अनुरोध शुरू किया जाता है sa-तर्क. ट्रेस आईडी से अग्रेषित किया जाना चाहिए सा-वेब-ऐप.
...
नोट: चरण 4 में, एप्लिकेशन को इस्तियो द्वारा जेनरेट किए गए हेडर को देखना चाहिए और उन्हें बाद के अनुरोधों में पास करना चाहिए, जैसा कि नीचे दी गई छवि में दिखाया गया है:
(ए) हेडर अग्रेषण इस्तियो की जिम्मेदारी है; (बी) सेवाएँ हेडर के लिए जिम्मेदार हैं
इस्तियो अधिकांश काम करता है क्योंकि आने वाले अनुरोधों के लिए हेडर बनाता है, प्रत्येक साइडकेयर में नए स्पैन बनाता है और उन्हें अग्रेषित करता है। हालाँकि, सेवाओं के अंदर हेडर के साथ काम किए बिना, पूरा अनुरोध ट्रेस पथ खो जाएगा।
निम्नलिखित शीर्षलेखों पर विचार किया जाना चाहिए (अग्रेषित):
यह एक सरल कार्य है, लेकिन इसके कार्यान्वयन को सरल बनाने के लिए पहले से ही कुछ है कई पुस्तकालय - उदाहरण के लिए, sa-वेब-ऐप सेवा में, यदि आप बस इसमें Jaeger और OpenTracing लाइब्रेरी जोड़ते हैं, तो रेस्टटेम्पलेट क्लाइंट इन हेडर को अग्रेषित करता है इसकी निर्भरता.
ध्यान दें कि सेंटीमेंट एनालिसिस एप्लिकेशन फ्लास्क, स्प्रिंग और ASP.NET कोर में कार्यान्वयन को प्रदर्शित करता है।
अब जब यह स्पष्ट हो गया है कि हम बॉक्स से बाहर (या लगभग बॉक्स से बाहर) क्या प्राप्त कर रहे हैं, तो आइए फ़ाइन-ट्यूनिंग रूटिंग, नेटवर्क ट्रैफ़िक प्रबंधन, सुरक्षा और बहुत कुछ देखें!
टिप्पणी। अनुवाद।: इसके बारे में रिनोर मालोकु द्वारा इस्तियो पर सामग्री के अगले भाग में पढ़ें, जिसका अनुवाद निकट भविष्य में हमारे ब्लॉग पर आएगा। अद्यतन (14 मार्च): दूसरा भाग पहले ही प्रकाशित हो चुका है.