Miverina amin'ny microservices miaraka amin'i Istio. Fizarana 1

Fanamarihana. transl.: Tena lasa vahaolana manan-danja amin'ny fotodrafitrasa maoderina ho an'ny fampiharana manaraka ny maritrano microservice ny meshes. Na dia mety ho eo am-bavan'ny injeniera DevOps maro aza i Istio, dia vokatra vaovao ihany izy io izay, na dia feno aza ny fahaiza-manao omeny, dia mety mitaky fotoana be hahafantarana azy. Ny injeniera alemà Rinor Maloku, izay tompon'andraikitra amin'ny informatika rahona ho an'ny mpanjifa lehibe ao amin'ny orinasam-pifandraisan-davitra Orange Networks, dia nanoratra andiana fitaovana mahafinaritra izay ahafahanao mitsoraka haingana sy lalina ao amin'ny Istio. Manomboka ny tantarany amin'ny zavatra azon'i Istio atao amin'ny ankapobeny sy ny fomba ahafahanao mahita izany haingana amin'ny masonao.

Istio — Tetikasa Open Source novolavolaina niarahana tamin'ireo ekipa avy amin'ny Google, IBM ary Lyft. Izy io dia mamaha ny fahasarotana miseho amin'ny fampiharana mifototra amin'ny microservices, toy ny:

• Fitantanana ny fifamoivoizana: fe-potoana, andrana indray, fampifandanjana entana;
• fiarovana: fanamarinana sy fanomezan-dàlana ho an'ny mpampiasa farany;
• Observability: fanaraha-maso, fanaraha-maso, fametahana.

Ireo rehetra ireo dia azo voavaha amin'ny ambaratonga fampiharana, fa aorian'izay dia tsy ho "micro" intsony ny serivisy. Ny ezaka fanampiny rehetra hamahana ireo olana ireo dia fandaniam-bolan'ny orinasa izay azo ampiasaina mivantana amin'ny sandan'ny orinasa. Andeha isika hijery ohatra iray:

Project Manager: Mandra-pahoviana no ilaina ny manampy endri-javatra fanehoan-kevitra?
Mpamorona: Sprint roa.

Solombavambahoaka: Inona ?.. CRUD fotsiny io an!
R: Ny fanaovana CRUD no ampahany mora, saingy mbola mila manamarina sy manome alalana ireo mpampiasa sy serivisy isika. Koa satria tsy azo ianteherana ny tambajotra, dia mila manatanteraka fangatahana miverimberina ianao, ary koa fomba fiatoana fitetezam-paritra amin'ny mpanjifa. Ary koa, mba hahazoana antoka fa ny rafitra manontolo dia tsy hianjera, dia mila fotoana sy bigheads (raha mila fanazavana fanampiny momba ireo lamina voalaza ireo dia jereo any aoriana ao amin'ny lahatsoratra - eo ho eo amin'ny dikanteny), ary mba hahitana olana, fanaraha-maso, fanaraha-maso, […]

MP: Oh, ndao ary ampidiro ao amin'ny serivisy vokatra ity endri-javatra ity.

Heveriko fa mazava ny hevitra: ny habetsaky ny dingana sy ny ezaka ilaina mba hanampiana serivisy iray dia goavana. Amin'ity lahatsoratra ity dia hojerentsika ny fomba hanesorana ny fahasarotana rehetra voalaza etsy ambony (izay tsy natao ho lojika fandraharahana) amin'ny serivisy i Istio.

fanamarihana: Ity lahatsoratra ity dia mihevitra fa manana fahalalana momba ny Kubernetes ianao. Raha tsy izany dia manoro hevitra ny hamaky aho ny teny fampidirana an'i Kubernetes ary aorian'izay dia tohizo ny famakiana ity lahatsoratra ity.

Istio hevitra

Ao amin'ny tontolo tsy misy Istio, ny serivisy iray dia manao fangatahana mivantana amin'ny iray hafa, ary raha sendra misy tsy fahombiazana dia tsy maintsy miatrika izany ny serivisy: manao andrana vaovao, manome fe-potoana, manokatra fiatoana, sns.

Ny fifamoivoizana amin'ny tambajotra ao Kubernetes

Istio dia manolotra vahaolana manokana, misaraka tanteraka amin'ny serivisy ary miasa amin'ny alàlan'ny fanelingelenana ny fifandraisana amin'ny tambajotra. Ary toy izany no fampiharana:

• fandeferana fahadisoana: Mifototra amin'ny fehezan-dalàna momba ny sata ao amin'ny valinteny, azony raha tsy nahomby ilay fangatahana ary avereno indray izany.
• Famoahana Canary: tsy mamindra afa-tsy isan-jaton'ny fangatahana mankany amin'ny kinova vaovaon'ny serivisy.
• Fanaraha-maso sy metrika: Naharitra hafiriana vao namaly ny serivisy?
• Tracing sy Observability: Manampy lohapejy manokana amin'ny fangatahana tsirairay ary manara-maso azy ireo manerana ny cluster.
• fiarovana: Maka JWT token, manamarina ary manome alalana ny mpampiasa.

Santionany amin'ireo fahafaha-manao (tena vitsivitsy ihany!) hanintona anao. Andeha hojerentsika ny antsipiriany ara-teknika!

Istio architecture

Istio dia manakana ny fifamoivoizana amin'ny tambajotra rehetra ary mampihatra fitsipika maromaro amin'izany, mampiditra proxy marani-tsaina amin'ny endrika kaontenera sidecar ao anaty pod tsirairay. Ny proxy izay manetsika ny fahaiza-manao rehetra dia mamorona a Data fiaramanidina, ary azo amboarina amin'ny fomba mavitrika izy ireo amin'ny fampiasana Fiaramanidina fanaraha-maso.

Data fiaramanidina

Ny proxy ampidirina ao anaty pods dia ahafahan'i Istio mahafeno mora foana ny fepetra ilaintsika. Ohatra, andeha hojerentsika ny fiasan'ny retry sy ny fiatoana.

Ahoana ny fampiharana ny famerenana sy ny fanapahana ny faritra ao amin'ny Envoy

Raha fintinina:

1. iraka (miresaka momba ny proxy misy ao anaty kaontenera sidecar isika, izay zaraina ho vokatra misaraka - eo ho eo. transl.) mandefa fangatahana amin'ny serivisy B voalohany ary tsy nahomby.
2. Manandrana indray ny Envoy Sidecar (andramo indray). (1)
3. Tsy nahomby ilay fangatahana ary averina amin'ny proxy niantso azy.
4. Manokatra Circuit Breaker izany ary miantso ny serivisy manaraka ho an'ny fangatahana manaraka. (2)

Midika izany fa tsy mila mampiasa tranomboky Retry hafa ianao, tsy mila manao ny fampiharana anao manokana ny Circuit Breaking and Service Discovery amin'ny fiteny fandaharana X, Y na Z. Izany rehetra izany sy ny maro hafa dia azo alaina ivelan'ny boaty ao Istio ary tsy mitaky misy fiovana eo amin'ny kaody.

Mahafinaritra! Ankehitriny ianao dia mety te handeha amin'ny Istio, saingy mbola manana fisalasalana ianao, fanontaniana misokatra. Raha vahaolana manerantany ho an'ny fotoana rehetra eo amin'ny fiainana izany, dia manana ahiahy voajanahary ianao: raha ny marina, ny vahaolana toy izany raha ny marina dia tsy mety amin'ny tranga rehetra.

Ary farany dia manontany ianao hoe: "Azo atao ve izany?"

Efa vonona amin'ny dia an-dranomasina ianao izao, andao hifankahalala amin'ny fiaramanidina Control.

Fiaramanidina fanaraha-maso

Misy singa telo izy io: Pilot, Mixer и Citadel, izay miara-miasa amin'ny fanefena ny Envoys mba hitarika ny fifamoivoizana, hampihatra ny politika, ary hanangona angona telemetry. Schematically dia toy izao manaraka izao:

Fifandraisana amin'ny fiaramanidina fanaraha-maso amin'ny fiaramanidina data

Ny iraka (izany hoe angon-drakitra) dia namboarina mampiasa Kubernetes CRD (Famaritana loharanon-karena manokana) nofaritan'i Istio ary natao manokana ho an'io tanjona io. Ny dikan'izany aminao dia toa loharano hafa ao amin'ny Kubernetes izy ireo miaraka amin'ny fehezanteny mahazatra. Rehefa noforonina, ity loharano ity dia alain'ny fiaramanidina fanaraha-maso ary ampiharina amin'ny Iraka.

Fifandraisana amin'ny serivisy amin'ny Istio

Nofaritanay ny fifandraisan'i Istio amin'ny serivisy, fa tsy ny mifanohitra amin'izany: ahoana no ifandraisan'ny serivisy amin'i Istio?

Raha ny marina, ny serivisy dia mahafantatra ny fisian'i Istio toy ny trondro an-drano rehefa manontany tena izy ireo hoe: "Inona anefa ny rano?"

SARY Victoria Dimitrakopoulos: - Ahoana ny fitiavanao ny rano? - Inona anefa no atao hoe rano?

Noho izany, afaka maka cluster miasa ianao ary aorian'ny fametrahana ny singa Istio dia hanohy hiasa ny serivisy hita ao, ary aorian'ny fanesorana ireo singa ireo dia ho tsara indray ny zava-drehetra. Mazava fa amin'ity tranga ity dia ho very ny fahaiza-manao omen'ny Istio.

Ampy ny teoria - andao hampihatra izany fahalalana izany!

Istio amin'ny fampiharana

Istio dia mitaky kluster Kubernetes manana vCPU 4 farafahakeliny ary RAM 8 GB azo alaina. Mba hananganana cluster haingana sy hanaraka ny torolàlana avy amin'ny lahatsoratra, manoro hevitra aho ny hampiasa Google Cloud Platform, izay manolotra mpampiasa vaovao maimaim-poana $300.

Aorian'ny famoronana cluster sy ny fametrahana ny fidirana amin'ny Kubernetes amin'ny alàlan'ny fampitaovana fampiononana dia azonao atao ny mametraka Istio amin'ny alàlan'ny mpitantana fonosana Helm.

Fametrahana fiarovan-doha

Apetraho amin'ny solosainao ny mpanjifa Helm, araka ny voalaza ao antontan-taratasy ofisialy. Hampiasa izany izahay hamorona modely amin'ny fametrahana Istio amin'ny fizarana manaraka.

Fametrahana Istio

Misintona loharano Istio avy amin'ny famoahana farany (Ny rohin'ny mpanoratra tany am-boalohany mankany amin'ny version 1.0.5 dia novaina ho an'ny ankehitriny, izany hoe 1.0.6 - eo ho eo amin'ny transl.), esory ao anaty lahatahiry iray ny atiny, izay hantsoiko manomboka izao [istio-resources].

Mba hamantarana mora foana ny loharanon'i Istio, mamorona sehatra anarana ao amin'ny cluster K8s istio-system:

$ kubectl create namespace istio-system

Fenoy ny fametrahana amin'ny alàlan'ny fandehanana any amin'ny lahatahiry [istio-resources] ary mitantana ny baiko:

$ helm template install/kubernetes/helm/istio 
  --set global.mtls.enabled=false 
  --set tracing.enabled=true 
  --set kiali.enabled=true 
  --set grafana.enabled=true 
  --namespace istio-system > istio.yaml

Ity baiko ity dia hamoaka ireo singa fototra amin'ny Istio amin'ny rakitra istio.yaml. Nanova ny môdely manara-penitra izahay mba hifanaraka amin'ny tenanay, ka mamaritra ireto mason-tsivana manaraka ireto:

• global.mtls.enabled napetraka ao false (izany hoe tsy mandeha ny fanamarinana mTLS - eo ho eo)hanamora ny fizotry ny fiarahantsika;
• tracing.enabled dia ahitana ny fanaraha-maso ny fangatahana mampiasa Jaeger;
• kiali.enabled mametraka an'i Kiali ao anatin'ny vondrona iray mba hijery ny serivisy sy ny fifamoivoizana;
• grafana.enabled mametraka Grafana mba hijery ireo metrika voaangona.

Andao hampiasa ireo loharano novokarina miaraka amin'ny baiko:

$ kubectl apply -f istio.yaml

Vita ny fametrahana ny Istio amin'ny cluster! Andraso mandra-pahatongan'ny pods rehetra ao amin'ny namespace istio-system dia ho afaka Running na Completedamin'ny alàlan'ny baiko etsy ambany:

$ kubectl get pods -n istio-system

Ankehitriny isika dia vonona ny hanohy amin'ny fizarana manaraka, izay hanombohantsika ny fampiharana.

Architecture ny fampiharana Fanadihadiana Sentiment

Andao hampiasa ny ohatry ny fampiharana microservice Sentiment Analysis ampiasaina amin'ny efa voalaza Lahatsoratra fampidirana amin'ny Kubernetes. Sarotra be ny mampiseho ny fahaizan'i Istio amin'ny fampiharana.

Ny fampiharana dia misy microservices efatra:

1. fanompoana SA-Frontend, izay miasa eo anoloana amin'ny fampiharana Reactjs;
2. fanompoana SA-WebApp, izay manolotra fanontaniana fanadihadiana momba ny fihetseham-po;
3. fanompoana SA-Lojika, izay manao ny tenany famakafakana fihetseham-po;
4. fanompoana SA-Feedback, izay mandray fanehoan-kevitra avy amin'ny mpampiasa momba ny fahamarinan'ny fanadihadiana.

Ao amin'ity kisary ity, ankoatry ny serivisy, dia hitantsika ihany koa ny Ingress Controller, izay ao amin'ny Kubernetes dia mandefa ny fangatahana miditra amin'ny serivisy mety. Istio dia mampiasa hevitra mitovy amin'izany ao anatin'ny Ingress Gateway, izay manaraka ny antsipiriany bebe kokoa.

Mandeha fampiharana miaraka amin'ny proxy avy amin'ny Istio

Ho an'ny asa hafa voalaza ao amin'ny lahatsoratra, clone ny repository anao istio-fifehezana. Ahitana ny fampiharana sy fanehoana ho an'ny Kubernetes sy Istio.

Mampiditra sidecars

Azo atao ny fampidirana ho azy na amin'ny tanana. Mba hampidirana ho azy ireo kaontenera sidecar dia mila mametraka etikety amin'ny namespace ianao istio-injection=enabled, izay atao amin'ny baiko manaraka:

$ kubectl label namespace default istio-injection=enabled
namespace/default labeled

Ankehitriny ny pod tsirairay izay hapetraka ao amin'ny toerana misy anarana (default) dia hahazo ny kaontenera sidecar. Mba hanamarinana izany, andao hametraka ny fampiharana fitsapana amin'ny alàlan'ny fandehanana any amin'ny lahatahiry fototry ny tahiry [istio-mastery] ary mandehana ity baiko manaraka ity:

$ kubectl apply -f resource-manifests/kube
persistentvolumeclaim/sqlite-pvc created
deployment.extensions/sa-feedback created
service/sa-feedback created
deployment.extensions/sa-frontend created
service/sa-frontend created
deployment.extensions/sa-logic created
service/sa-logic created
deployment.extensions/sa-web-app created
service/sa-web-app created

Rehefa avy nametraka ny serivisy, andeha hojerentsika fa manana kaontenera roa ny pods (miaraka amin'ny serivisy sy ny sisiny) amin'ny alàlan'ny baiko. kubectl get pods ary manao izay hahazoana antoka fa eo ambanin'ny tsanganana READY sanda voafaritra 2/2, maneho fa samy mandeha ny container:

$ kubectl get pods
NAME                           READY     STATUS    RESTARTS   AGE
sa-feedback-55f5dc4d9c-c9wfv   2/2       Running   0          12m
sa-frontend-558f8986-hhkj9     2/2       Running   0          12m
sa-logic-568498cb4d-2sjwj      2/2       Running   0          12m
sa-logic-568498cb4d-p4f8c      2/2       Running   0          12m
sa-web-app-599cf47c7c-s7cvd    2/2       Running   0          12m

Raha jerena dia toa izao:

Mpisolo vava amin'ny iray amin'ireo pods

Ankehitriny rehefa mandeha ny fampiharana dia mila mamela ny fifamoivoizana miditra hiditra ao amin'ny fampiharana isika.

Ingress Gateway

Ny fomba tsara indrindra hanatrarana izany (avelao ny fifamoivoizana ao amin'ny cluster) dia ny mandalo Ingress Gateway ao amin'ny Istio, izay hita eo amin'ny "tsisin'ny" cluster ary ahafahanao mamela ny endri-javatra Istio toy ny routing, ny fifandanjana entana, ny fiarovana ary ny fanaraha-maso ny fifamoivoizana miditra.

Ny singa Ingress Gateway sy ny serivisy izay mandefa azy any ivelany dia napetraka tao amin'ny cluster nandritra ny fametrahana Istio. Raha te hahalala ny adiresy IP ivelany an'ny serivisy dia mandehana:

$ kubectl get svc -n istio-system -l istio=ingressgateway
NAME                   TYPE           CLUSTER-IP     EXTERNAL-IP
istio-ingressgateway   LoadBalancer   10.0.132.127   13.93.30.120

Hanohy ny fidirana amin'ny fampiharana amin'ny fampiasana ity IP ity izahay (Antsoiko hoe EXTERNAL-IP izy io), noho izany dia hanoratra ny sanda amin'ny fari-piainana izahay:

$ EXTERNAL_IP=$(kubectl get svc -n istio-system 
  -l app=istio-ingressgateway 
  -o jsonpath='{.items[0].status.loadBalancer.ingress[0].ip}')

Raha manandrana miditra amin'ity IP ity ianao amin'ny alàlan'ny navigateur izao, dia hahazo serivisy tsy azo ampiasaina ianao, satria amin'ny alàlan'ny default Istio dia manakana ny fifamoivoizana miditra rehetra, Tsy mbola voafaritra ny vavahady.

Loharano vavahady

Gateway dia CRD (Custom Resource Definition) ao amin'ny Kubernetes, voafaritra taorian'ny fametrahana an'i Istio ao amin'ny cluster ary mamela ny fahafahana mamaritra ny seranana, protocol ary mpampiantrano izay tiantsika hamela ny fifamoivoizana miditra.

Amin'ity tranga ity, te-hamela ny fifamoivoizana HTTP amin'ny seranan-tsambo 80 ho an'ny mpampiantrano rehetra izahay. Ny asa dia ampiharina amin'ny famaritana manaraka (http-gateway.yaml):

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: http-gateway
spec:
  selector:
    istio: ingressgateway
  servers:
  - port:
      number: 80
      name: http
      protocol: HTTP
    hosts:
- "*"

Tsy mila fanazavana io fanefena io afa-tsy ny mpifidy istio: ingressgateway. Amin'ity mpifidy ity dia azontsika atao ny mamaritra hoe iza amin'ny Ingress Gateway hampiharana ny fanitsiana. Amin'ity tranga ity dia ity ny Ingress Gateway controller, izay napetraka amin'ny alàlan'ny Istio.

Ny fanamafisana dia ampiharina amin'ny fiantsoana ity baiko manaraka ity:

$ kubectl apply -f resource-manifests/istio/http-gateway.yaml gateway.networking.istio.io/http-gateway created

Ny vavahady izao dia mamela ny fidirana amin'ny seranan-tsambo 80, saingy tsy manana hevitra hoe aiza no handefasana fangatahana. Ho an'ity dia mila Serivisy virtoaly.

Loharano VirtualService

Ny VirtualService dia milaza amin'ny Ingress Gateway ny fomba handefasana ireo fangatahana avela ao anatin'ny cluster.

Ny fangatahana amin'ny fangatahanay avy amin'ny vavahady http dia tsy maintsy alefa any amin'ny serivisy sa-frontend, sa-web-app ary sa-feedback:

Lalana mila amboarina amin'ny VirtualServices

Andeha hojerentsika ny fangatahana tokony halefa any amin'ny SA-Frontend:

• Mifanaraka tsara eny an-dalana / tokony halefa any amin'ny SA-Frontend mba hahazoana index.html;
• Lalana voatondro /static/* tsy maintsy alefa any amin'ny SA-Frontend mba handraisana rakitra static ampiasaina amin'ny frontend, toy ny CSS sy JavaScript;
• Lalana mifanandrify amin'ny fomba fiteny mahazatra '^.*.(ico|png|jpg)$', dia tsy maintsy alefa any amin'ny SA-Frontend, satria Ireo no sary aseho amin'ny pejy.

Ny fampiharana dia tanterahana amin'ny alàlan'ny fanamafisana manaraka (sa-virtualservice-external.yaml):

kind: VirtualService
metadata:
  name: sa-external-services
spec:
  hosts:
  - "*"
  gateways:
  - http-gateway                      # 1
  http:
  - match:
    - uri:
        exact: /
    - uri:
        exact: /callback
    - uri:
        prefix: /static
    - uri:
        regex: '^.*.(ico|png|jpg)

Важные моменты:



 	
 Этот VirtualService относится к запросам, приходящим через http-gateway;


 	
 В destination определяется сервис, куда отправляются запросы.




Примечание: Конфигурация выше хранится в файле sa-virtualservice-external.yaml, который также содержит настройки для маршрутизации в SA-WebApp и SA-Feedback, но был сокращён здесь в статье для лаконичности.

Применим VirtualService вызовом:

$ kubectl apply -f resource-manifests/istio/sa-virtualservice-external.yaml
virtualservice.networking.istio.io/sa-external-services created
Примечание: Когда мы применяем ресурсы Istio, Kubernetes API Server создаёт событие, которое получает Istio Control Plane, и уже после этого новая конфигурация применяется к прокси-серверам Envoy каждого pod'а. А контроллер Ingress Gateway представляется очередным Envoy, сконфигурированным в Control Plane. Всё это на схеме выглядит так:


Конфигурация Istio-IngressGateway для маршрутизации запросов
Приложение Sentiment Analysis стало доступным по http://{EXTERNAL-IP}/. Не переживайте, если вы получаете статус Not Found: иногда требуется чуть больше времени для того, чтобы конфигурация вступила в силу и кэши Envoy обновились.
Перед тем, как продолжить, поработайте немного с приложением, чтобы сгенерировать трафик (его наличие необходимо для наглядности в последующих действиях — прим. перев.).
Kiali : наблюдаемость
Чтобы попасть в административный интерфейс Kiali, выполните следующую команду:
$ kubectl port-forward 
    $(kubectl get pod -n istio-system -l app=kiali 
    -o jsonpath='{.items[0].metadata.name}') 
    -n istio-system 20001
… и откройте http://localhost:20001/, залогинившись под admin/admin. Здесь вы найдете множество полезных возможностей, например, для проверки конфигурации компонентов Istio, визуализации сервисов по информации, собранной при перехвате сетевых запросов, получения ответов на вопросы «Кто к кому обращается?», «У какой версии сервиса возникают сбои?» и т.п. В общем, изучите возможности Kiali перед тем, как двигаться дальше — к визуализации метрик с Grafana.

Grafana: визуализация метрик
Собранные в Istio метрики попадают в Prometheus и визуализируются с Grafana. Чтобы попасть в административный интерфейс Grafana, выполните команду ниже, после чего откройте http://localhost:3000/:
$ kubectl -n istio-system port-forward 
    $(kubectl -n istio-system get pod -l app=grafana 
    -o jsonpath={.items[0].metadata.name}) 3000
Кликнув на меню Home слева сверху и выбрав Istio Service Dashboard в левом верхнем углу, начните с сервиса sa-web-app, чтобы посмотреть на собранные метрики:

Здесь нас ждёт пустое и совершенно скучное представление — руководство никогда такое не одобрит. Давайте же создадим небольшую нагрузку следующей командой:
$ while true; do 
    curl -i http://$EXTERNAL_IP/sentiment 
    -H "Content-type: application/json" 
    -d '{"sentence": "I love yogobella"}'; 
    sleep .8; done
Вот теперь у нас гораздо более симпатичные графики, а в дополнение к ним — замечательные инструменты Prometheus для мониторинга и Grafana для визуализации метрик, что позволят нам узнать о производительности, состоянии здоровья, улучшениях/деградации в работе сервисов на протяжении времени.
Наконец, посмотрим на трассировку запросов в сервисах.
Jaeger : трассировка
Трассировка нам потребуется, потому что чем больше у нас сервисов, тем сложнее добраться до причины сбоя. Посмотрим на простой случай из картинки ниже:


Типовой пример случайного неудачного запроса
Запрос приходит, падает — в чём же причина? Первый сервис? Или второй? Исключения есть в обоих — давайте посмотрим на логи каждого. Как часто вы ловили себя за таким занятием? Наша работа больше похожа на детективов программного обеспечения, а не разработчиков…
Это широко распространённая проблема в микросервисах и решается она распределёнными системами трассировки, в которых сервисы передают друг другу уникальный заголовок, после чего эта информация перенаправляется в систему трассировки, где она сопоставляется с данными запроса. Вот иллюстрация:


Для идентификации запроса используется TraceId
В Istio используется Jaeger Tracer, который реализует независимый от вендоров фреймворк OpenTracing API. Получить доступ к пользовательского интерфейсу Jaeger можно следующей командой:
$ kubectl port-forward -n istio-system 
    $(kubectl get pod -n istio-system -l app=jaeger 
    -o jsonpath='{.items[0].metadata.name}') 16686
Теперь зайдите на http://localhost:16686/ и выберите сервис sa-web-app. Если сервис не показан в выпадающем меню — проявите/сгенерируйте активность на странице и обновите интерфейс. После этого нажмите на кнопку Find Traces, которая покажет самые последние трейсы — выберите любой — покажется детализированная информация по всем трейсам:

Этот трейс показывает:

 Запрос приходит в istio-ingressgateway (это первое взаимодействие с одним из сервисов, и для запроса генерируется Trace ID), после чего шлюз направляет запрос в сервис sa-web-app.
 В сервисе sa-web-app запрос подхватывается Envoy sidecar'ом, создаётся «ребёнок» в span'е (поэтому мы видим его в трейсах) и перенаправляется в контейнер sa-web-app. (Span — логическая единица работы в Jaeger, имеющая название, время начало операции и её продолжительность. Span'ы могут быть вложенными и упорядоченными. Ориентированный ациклический граф из span'ов образует trace. — прим. перев.)
 Здесь запрос обрабатывается методом sentimentAnalysis. Эти трейсы уже сгенерированы приложением, т.е. для них потребовались изменения в коде.
 С этого момента инициируется POST-запрос в sa-logic. Trace ID должен быть проброшен из sa-web-app.
 …

Примечание: На 4 шаге приложение должно увидеть заголовки, сгенерированные Istio, и передать их в последующие запросы, как показано на изображении ниже:


(A) За проброс заголовков отвечает Istio; (B) За заголовки отвечают сервисы
Istio делает основную работу, т.к. генерирует заголовки для входящих запросов, создаёт новые span'ы в каждом sidecare'е и пробрасывает их. Однако без работы с заголовками внутри сервисов полный путь трассировки запроса будет утерян.
Необходимо учитывать (пробрасывать) следующие заголовки:
x-request-id
x-b3-traceid
x-b3-spanid
x-b3-parentspanid
x-b3-sampled
x-b3-flags
x-ot-span-context
Это несложная задача, однако для упрощения её реализации уже существует множество библиотек — например, в сервисе sa-web-app клиент RestTemplate пробрасывает эти заголовки, если просто добавить библиотеки Jaeger и OpenTracing в его зависимости.
Заметьте, что приложение Sentiment Analysis демонстрирует реализации на Flask, Spring и ASP.NET Core.
Теперь, когда стало ясно, что мы получаем из коробки (или почти «из коробки»), рассмотрим вопросы тонко настраиваемой маршрутизации, управления сетевым трафиком, безопасности и т.п.!
Прим. перев.: об этом читайте в следующей части материалов по Istio от Rinor Maloku, переводы которых последуют в нашем блоге в ближайшее время. UPDATE (14 марта): Вторая часть уже опубликована.
P.S. от переводчика
Читайте также в нашем блоге:

 «Назад к микросервисам вместе с Istio»: часть 2 (маршрутизация, управление трафиком), часть 3 (аутентификация и авторизация);
 «Conduit — легковесный service mesh для Kubernetes»;
 «Что такое service mesh и почему он мне нужен [для облачного приложения с микросервисами]?»;
 «Иллюстрированное руководство по устройству сети в Kubernetes. Части 1 и 2»;
 «Как этот sidecar-контейнер оказался здесь [в Kubernetes]?».

Источник: habr.com
route:

- destination:

host: sa-frontend             # 2

port:

number: 80

Hevitra lehibe:

 Ity serivisy virtoaly ity dia manondro ny fangatahana tonga http-vavahady;
 В destination Ny serivisy handefasana ny fangatahana dia voafaritra.

fanamarihana: Voatahiry ao anaty rakitra ny fandrindrana etsy ambony sa-virtualservice-external.yaml, izay misy ihany koa ny firafitry ny lalana ao amin'ny SA-WebApp sy SA-Feedback, saingy nohafohezina eto amin'ny lahatsoratra ho fohy.
Andao hampihatra VirtualService amin'ny fiantsoana:

fanamarihana: Rehefa mandany ny loharanon'i Istio isika, ny Kubernetes API Server dia mamorona hetsika izay raisin'ny Istio Control Plane, ary aorian'izay dia ampiharina amin'ny solon'ny Envoy tsirairay ny fandrindrana vaovao. Ary ny mpifehy Ingress Gateway dia toa iraka hafa natsangana tao amin'ny Plane Control. Izany rehetra izany dia toy izao ao amin'ny diagram:


Fikirakirana Istio-IngressGateway ho an'ny fandefasana fangatahana
Ny fampiharana Fanadihadiana Sentiment dia azo alaina ao amin'ny http://{EXTERNAL-IP}/. Aza manahy raha mahazo sata tsy hita ianao: Indraindray dia mila fotoana elaela kokoa vao mihatra ny fanamafisam-peo ary ny cache Envoy dia manavao.
Alohan'ny hanohizana, milalao kely amin'ny fampiharana mba hiteraka fifamoivoizana. (Ilaina ny fisiany mba hanazavana ny hetsika manaraka - eo ho eo amin'ny transl.).
Kiali: azo jerena
Mba hahatongavana any amin'ny interface administrative Kiali dia araho ity baiko manaraka ity:

... ary misokatra http://localhost:20001/, miditra ho admin/admin. Eto ianao dia hahita endri-javatra mahasoa maro, ohatra, hanamarina ny fanamafisana ny singa Istio, alaivo sary an-tsaina ny serivisy mampiasa fampahalalana voaangona avy amin'ny fangatahan'ny tambajotra, mahazo valiny amin'ireo fanontaniana hoe "Iza no mifandray amin'iza?", "Iza no dikan'ny serivisy iainana. tsy fahombiazana?” sy ny sisa. Amin'ny ankapobeny, diniho ny fahaizan'i Kiali alohan'ny hirosoana amin'ny fijerena metrika miaraka amin'i Grafana.

Grafana: metric visualization
Mandeha ao amin'ny Prometheus ireo metrika voaangona ao Istio ary aseho miaraka amin'i Grafana. Mba hahatongavana any amin'ny interface administratif Grafana dia araho ny baiko etsy ambany ary sokafy http://localhost:3000/:

Tsindrio eo amin'ny sakafo Home ambony ankavia sy mifidy Istio Service Dashboard eo amin'ny zoro ambony havia, manomboka amin'ny serivisy sa-web-appraha hijery ireo metrika voaangona:

Ny zavatra miandry antsika eto dia fampisehoana poakaty sy mankaleo tanteraka - tsy hankasitraka izany velively ny fitantanana. Andao hamorona entana kely miaraka amin'ity baiko manaraka ity:

Ankehitriny dia manana grafika tsara kokoa isika, ary ho fanampin'izy ireo, fitaovana Prometheus mahafinaritra ho an'ny fanaraha-maso sy Grafana ho an'ny fijerena metrika izay ahafahantsika mianatra momba ny fahombiazana, ny fahasalamana, ny fanatsarana / ny fahasimbana amin'ny serivisy rehefa mandeha ny fotoana.
Farany, andeha hojerentsika ny fangatahana fanaraha-maso amin'ny serivisy.
Jaeger: tracing
Mila fanaraha-maso isika satria arakaraka ny tolotra ananantsika no sarotra kokoa ny manatona ny anton'ny tsy fahombiazana. Andeha hojerentsika ny tranga tsotra avy amin'ny sary etsy ambany:


Ohatra mahazatra amin'ny fangatahana tsy nahomby
Tonga ny fangatahana, mianjera - inona no antony? Fanompoana voalohany? Sa ilay faharoa? Misy maningana amin'izy roa - andao hojerentsika ny diarin'ny tsirairay. Impiry ianao no tratranao nanao izany? Ny asantsika dia mitovy amin'ny mpitsikilo lozisialy noho ny mpamorona...
Olana mahazatra amin'ny microservices io ary voavaha amin'ny alàlan'ny rafitra tracing mizara, izay ahafahan'ny serivisy mifampizara lohapejy tokana, ary avy eo dia alefa any amin'ny rafitra fanaraha-maso izany fampahalalana izany, izay ampitahaina amin'ny angona fangatahana. Ity misy fanoharana iray:


TraceId dia ampiasaina hamantarana ny fangatahana
Istio dia mampiasa Jaeger Tracer, izay mametraka ny rafitra OpenTracing API tsy miankina amin'ny mpivarotra. Afaka miditra amin'ny mpampiasa Jaeger ianao miaraka amin'ity baiko manaraka ity:

Mandehana izao http://localhost:16686/ ary mifidiana serivisy sa-web-app. Raha tsy hita ao amin'ny menio midina ny serivisy dia asehoy/mamorona hetsika eo amin'ny pejy ary manavao ny interface. Aorian'izay, tsindrio ny bokotra Mitadiava Traces, izay hampiseho ny dian farany - safidio izay rehetra - hiseho ny fampahalalana amin'ny antsipiriany momba ny dian rehetra:

Ity soritra ity dia mampiseho:

 Tonga ny fangatahana istio-ingressgateway (Ity no fifaneraserana voalohany amin'ny iray amin'ireo tolotra, ary misy ID Trace novokarina ho an'ny fangatahana), ary avy eo ny vavahady dia mandefa ny fangatahana amin'ny serivisy sa-web-app.
 Amin'ny fanompoana sa-web-app Ny fangatahana dia noraisin'ny Envoy sidecar, "ankizy" no noforonina tao anatin'ny elanelam-potoana (izany no antony ahitantsika azy amin'ny dian) ary averina mankany amin'ny fitoeran-javatra. sa-web-app. (androm - singa lojika amin'ny asa ao Jaeger, izay manana anarana, fotoana fanombohana ny fandidiana ary ny faharetany. Ny spans dia azo alaina sy alaina. Ny kisarisary acyclic mivantana amin'ny elanelana dia mamorona dian. — eo ho eo. transl.)
 Eto ny fangatahana dia karakaraina amin'ny fomba sentimentAnalysis. Ireo soritra ireo dia efa novokarin'ny fampiharana, i.e. Nitaky fanovana code izy ireo.
 Manomboka izao dia misy fangatahana POST atomboka ao sa-lojika. Tsy maintsy ampitaina avy amin'ny ny kaomandin'ny trace sa-web-app.
 ...

fanamarihana: Amin'ny dingana 4, ny fampiharana dia tokony hahita ny lohatenin'ny Istio ary handefa azy ireo amin'ny fangatahana manaraka araka ny aseho amin'ny sary etsy ambany:


(A) Istio no tompon'andraikitra amin'ny fandefasana lohateny; (B) Ny serivisy dia tompon'andraikitra amin'ny lohateny
Istio no manao ny ankamaroan'ny asa satria... mamorona lohapejy ho an'ny fangatahana ho avy, mamorona velarana vaovao amin'ny lafiny tsirairay ary mandefa azy ireo. Na izany aza, raha tsy miasa miaraka amin'ny lohapejy ao anatin'ny serivisy dia ho very ny lalan'ny trace fangatahana feno.
Ireto lohateny manaraka ireto dia tsy maintsy raisina:

Tsy asa sarotra izany, fa ny fanatsorana ny fampiharana azy dia efa misy tranomboky maro - ohatra, amin'ny serivisy sa-web-app, ny mpanjifa RestTemplate dia mandefa ireo lohapejy ireo raha ampidirinao fotsiny ny tranomboky Jaeger sy OpenTracing amin'ny ny fiankinan-dohany.
Mariho fa ny fampiharana ny Sentiment Analysis dia mampiseho fampiharana amin'ny Flask, Spring, ary ASP.NET Core.
Ankehitriny rehefa mazava tsara ny zavatra azonay avy ao anaty boaty (na saika tsy ho ao anaty boaty), andao hojerentsika ny zotra tsara, ny fitantanana ny fifamoivoizana amin'ny tambajotra, ny fiarovana, sns.
Fanamarihana. transl.: Vakio ny momba izany ao amin'ny tapany manaraka amin'ny fitaovana ao amin'ny Istio avy amin'i Rinor Maloku, izay ny fandikana azy dia hanaraka ao amin'ny bilaoginay ato ho ato. UPDATE (14 martsa): Fizarana faharoa efa navoaka.
PS avy amin'ny mpandika teny
Vakio ihany koa ao amin'ny bilaoginay:

 "Miverena amin'ny microservices miaraka amin'i Istio": Fizarana 2 (lalana, fanaraha-maso ny fifamoivoizana), Fizarana 3 (fanamarinana sy fanomezan-dàlana);
 «Conduit - harato serivisy maivana ho an'ny Kubernetes";
 «Inona no atao hoe mesh serivisy ary nahoana aho no mila izany [ho an'ny fampiharana rahona misy microservices]?";
 «Torolalana misy sary momba ny tambajotra ao Kubernetes. Fizarana 1 sy 2";
 «Ahoana no niafaran'ity kaontenera sidecar ity teto [amin'ny Kubernetes]?".

Source: www.habr.com