Istio

istio：第二代Servie Mesh产品

新闻

• Istio 1.1 发布 (2019.03)
• Istio v1.0服务网格发布，各特性已生产就绪 (2018.08)

简介

Istio 是一个用于连接、控制、监控微服务和保障微服务安全的开放平台，它降低了管理微服务部署的复杂性。

Istio 是一个开放式服务网格，提供了一种连接、管理和保护微服务的统一方式。它可帮助您管理服务之间的流量、执行访问权限政策和汇总遥测数据，而这一切都不需要更改微服务代码。

简单将就是：连接、保护、控制和观测服务。

功能

• 对 HTTP、gRPC、WebSocket、MongoDB 和 TCP 流量进行自动负载平衡。
• 借助丰富的路由规则、重试、故障转移和故障注入功能对流量行为进行精细控制。
• 支持访问权限控制、速率限制和配额的可配置政策层和 API。
• 自动指标、日志和跟踪记录，适用于集群中的所有流量（包括集群入站流量和出站流量）。
• 利用高强度身份验证及授权机制，在集群中提供安全的服务间通信。

指南

Envoy

Istio 使用 Envoy 代理的扩展版本。Envoy 是用 C++ 开发的高性能代理，用于协调服务网格中所有服务的入站和出站流量。Envoy 代理是唯一与数据平面流量交互的 Istio 组件。

可以简单理解为：Istio built on Envoy Proxy

Envoy 代理被部署为服务的 sidecar，在逻辑上为服务增加了 Envoy 的许多内置特性，例如:

• 动态服务发现
• 负载均衡
• TLS 终端
• HTTP/2 与 gRPC 代理
• 熔断器
• 健康检查
• 基于百分比流量分割的分阶段发布
• 故障注入
• 丰富的指标

由 Envoy 代理启用的一些 Istio 的功能和任务包括:

• 流量控制功能：通过丰富的 HTTP、gRPC、WebSocket 和 TCP 流量路由规则来执行细粒度的流量控制。
• 网络弹性特性：重试设置、故障转移、熔断器和故障注入。
• 安全性和身份验证特性：执行安全性策略以及通过配置 API 定义的访问控制和速率限制。
• 基于 WebAssembly 的可插拔扩展模型，允许通过自定义策略实施和生成网格流量的遥测。

项目

istio ecosystem

解决方案

• 使用 Istio 进行金丝雀部署

用户

Istio in Action

文档

• Introducing Istio Service Mesh for Microservices

图书

• Istio Handbook——Istio 服务网格进阶实战

图集

• 

  Istio架构

• 

  Kiali

• 

  与API网关

• 

  Rancher集群Istio Handbook

• Istio-handbook-mindmap.png

  Istio Handbook

• 

  Cilium Service Mesh验证

链接

• istio官网
• istio @ github
• Istio @ Red Hat