文章/答案/技术大牛

发布

社区首页 >专栏 >5个 Istio 访问外部服务流量控制最常用的例子，你知道几个？

5个 Istio 访问外部服务流量控制最常用的例子，你知道几个？

万猫学社

发布于 2022-12-01 08:06:37

36600

代码可运行

文章被收录于专栏：技术专家成长之路技术专家成长之路

运行总次数：0

代码可运行

5 个 Istio 访问外部服务的流量控制常用例子，强烈建议收藏起来，以备不时之需。

环境准备

部署 sleep 服务，作为发送请求的测试源：

kubectl apply -f samples/sleep/sleep.yaml

在 Istio 外部，使用 Nginx 搭建 duckling 服务的v1和v2两个版本，访问时显示简单的文本：

> curl -s http://192.168.1.118/
This is the v1 version of duckling.
> curl -s http://192.168.1.119/
This is the v2 version of duckling.

访问外部服务

执行如下命名访问外部服务 httpbin.org ：

export SLEEP_POD=$(kubectl get pods -l app=sleep -o 'jsonpath={.items[0].metadata.name}')
kubectl exec "$SLEEP_POD" -c sleep -- curl -s http://httpbin.org/headers

返回结果如下：

{
  "headers": {
    "Accept": "*/*", 
    "Host": "httpbin.org", 
    "User-Agent": "curl/7.81.0-DEV", 
    "X-Amzn-Trace-Id": "Root=1-62bbfa10-3237e3b9662c65ae005148ab", 
    "X-B3-Sampled": "0", 
    "X-B3-Spanid": "9e650093bf7ae862", 
    "X-B3-Traceid": "1da46d7fafa5d71c9e650093bf7ae862", 
    "X-Envoy-Attempt-Count": "1", 
    "X-Envoy-Peer-Metadata": "......", 
    "X-Envoy-Peer-Metadata-Id": "sidecar~......"
  }
}

此时的方法，没有通过Service Entry，没有 Istio 的流量监控和控制特性。创建 Service Entry ：

kubectl apply -f - <<EOF
apiVersion: networking.istio.io/v1alpha3
kind: ServiceEntry
metadata:
  name: httpbin-ext
spec:
  hosts:
  - httpbin.org
  ports:
  - number: 80
    name: http
    protocol: HTTP
  resolution: DNS
  location: MESH_EXTERNAL
EOF

再次访问，返回结果如下：

{
  "headers": {
    "Accept": "*/*", 
    "Host": "httpbin.org", 
    "User-Agent": "curl/7.81.0-DEV", 
    "X-Amzn-Trace-Id": "Root=1-62bbfbd6-254b05344b3cde2c0c41b3b8", 
    "X-B3-Sampled": "0", 
    "X-B3-Spanid": "307c0b106c8b262e", 
    "X-B3-Traceid": "f684a50776c088ac307c0b106c8b262e", 
    "X-Envoy-Attempt-Count": "1", 
    "X-Envoy-Decorator-Operation": "httpbin.org:80/*", 
    "X-Envoy-Peer-Metadata": "......", 
    "X-Envoy-Peer-Metadata-Id": "sidecar~......"
  }
}

可以发现由 Istio 边车添加的请求头：X-Envoy-Decorator-Operation。

设置请求超时

向外部服务 httpbin.org 的 /delay 发出请求：

export SLEEP_POD=$(kubectl get pods -l app=sleep -o 'jsonpath={.items[0].metadata.name}')
kubectl exec "$SLEEP_POD" -c sleep -- time curl -o /dev/null -sS -w "%{http_code}\n" http://httpbin.org/delay/5

返回结果如下：

200
real    0m 5.69s
user    0m 0.00s
sys     0m 0.00s

请求大约在 5 秒后返回 200 （OK）。

创建虚拟服务，访问外部服务 httpbin.org 时，请求超时设置为 3 秒：

kubectl apply -f - <<EOF
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: httpbin-ext
spec:
  hosts:
    - httpbin.org
  http:
  - timeout: 3s
    route:
      - destination:
          host: httpbin.org
        weight: 100
EOF

再次访问，返回结果如下：

504
real    0m 3.01s
user    0m 0.00s
sys     0m 0.00s

可以看出，在 3 秒后出现了 504 （Gateway Timeout）。Istio 在 3 秒后切断了响应时间为 5 秒的 httpbin.org 服务。

注入 HTTP 延迟故障

向外部服务 httpbin.org 的 /get 发出请求：

export SLEEP_POD=$(kubectl get pods  -l app=sleep -o 'jsonpath={.items[0].metadata.name}')
kubectl exec "$SLEEP_POD" -c sleep -- time curl -o /dev/null -sS -w "%{http_code}\n" http://httpbin.org/get

返回结果如下：

200
real  0m 0.45s
user  0m 0.00s
sys 0m 0.00s

请求不到 1 秒就返回 200 （OK）。

创建虚拟服务，访问外部服务 httpbin.org 时，注入一个 3 秒的延迟：

kubectl apply -f - <<EOF
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: httpbin-ext
spec:
  hosts:
    - httpbin.org
  http:
    - fault:
        delay:
          fixedDelay: 3s
          percentage:
            value: 100
      route:
        - destination:
            host: httpbin.org
EOF

再次访问 httpbin.org 的 /get ，返回结果如下：

200
real  0m 3.43s
user  0m 0.00s
sys 0m 0.00s

可以看出，在 3 秒后出现了 200 （OK）。

流量转移

访问duckling服务时，所有流量都路由到v1版本，具体配置如下：

kubectl apply -f - <<EOF
apiVersion: networking.istio.io/v1alpha3
kind: ServiceEntry
metadata:
  name: duckling
spec:
  hosts:
  - duckling.com
  ports:
  - number: 80
    name: http
    protocol: HTTP
  location: MESH_EXTERNAL
  resolution: STATIC
  endpoints:
  - address: 172.24.29.118
    ports:
      http: 80
    labels:
      version: v1
  - address: 172.24.29.119
    ports:
      http: 80
    labels:
      version: v2
---
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: duckling
spec:
  hosts:
  - duckling.com
  http:
  - route:
    - destination:
        host: duckling.com
        subset: v1
---
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: duckling
spec:
  host: duckling.com
  subsets:
    - labels:
        version: v1
      name: v1
    - labels:
        version: v2
      name: v2
EOF

执行如下命名访问外部服务 duckling.com ：

export SLEEP_POD=$(kubectl get pods -l app=sleep -o 'jsonpath={.items[0].metadata.name}')
kubectl exec "$SLEEP_POD" -c sleep -- curl -s http://duckling.com/

多次访问后，返回结果一直是：This is the v1 version of duckling.

访问duckling服务时，把50%流量转移到v2版本，具体配置如下：

kubectl apply -f - <<EOF
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: duckling
spec:
  hosts:
  - duckling.com
  http:
  - route:
    - destination:
        host: duckling.com
        subset: v1
      weight: 50
    - destination:
        host: duckling.com
        subset: v2
      weight: 50
EOF

多次访问外部服务 duckling.com ，有时返回This is the v1 version of duckling.，有时返回This is the v2 version of duckling.。

访问duckling服务时，所有流量都路由到v2版本，具体配置如下：

kubectl apply -f - <<EOF
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: duckling
spec:
  hosts:
  - duckling.com
  http:
  - route:
    - destination:
        host: duckling.com
        subset: v2
EOF

多次访问外部服务 duckling.com ，一直返回This is the v2 version of duckling.。

基于请求头的路由

请求头end-user为OneMore的所有流量都路由到v2版本，其他流量都路由到v1版本，具体配置如下：

kubectl apply -f - <<EOF
apiVersion: networking.istio.io/v1alpha3
kind: ServiceEntry
metadata:
  name: duckling
spec:
  hosts:
  - duckling.com
  ports:
  - number: 80
    name: http
    protocol: HTTP
  location: MESH_EXTERNAL
  resolution: STATIC
  endpoints:
  - address: 172.24.29.118
    ports:
      http: 80
    labels:
      version: v1
  - address: 172.24.29.119
    ports:
      http: 80
    labels:
      version: v2
---
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: duckling
spec:
  hosts:
  - duckling.com
  http:
  - match:
    - headers:
        end-user:
          exact: OneMore
    route:
    - destination:
        host: duckling.com
        subset: v2
  - route:
    - destination:
        host: duckling.com
        subset: v1
---
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: duckling
spec:
  host: duckling.com
  subsets:
    - labels:
        version: v1
      name: v1
    - labels:
        version: v2
      name: v2
EOF

执行如下命名访问外部服务 duckling.com ：

export SLEEP_POD=$(kubectl get pods -l app=sleep -o 'jsonpath={.items[0].metadata.name}')
kubectl exec "$SLEEP_POD" -c sleep -- curl -s http://duckling.com/

多次访问的返回结果一直是：This is the v1 version of duckling.

设置请求头end-user为OneMore，访问外部服务 duckling.com ：

kubectl exec "$SLEEP_POD" -c sleep -- curl -H "end-user:OneMore" -s http://duckling.com/

多次访问的返回结果一直是：This is the v2 version of duckling.

本文参与腾讯云自媒体同步曝光计划，分享自微信公众号。

原始发表：2022-07-25，如有侵权请联系 cloudcommunity@tencent.com 删除

com

本文分享自万猫学社微信公众号，前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体同步曝光计划，欢迎热爱写作的你一起参与！

登录后参与评论

暂无评论

编辑精选文章

换一批

万字详解高可用架构设计

1671

Go 开发者必备：Protocol Buffers 入门指南

亿级月活的社交 APP，陌陌如何做到 3 分钟定位故障？

758

60页PPT全解：DeepSeek系列论文技术要点整理

1531

Service Mesh - Istio流量控制篇（下）

负载测试腾讯云测试服务

部署 httpbin 服务，同样，官方demo已经提供了该配置文件，执行如下命令应用即可：

端碗吹水

2020/12/23

1K0

Istio 小入门 —— ServiceEntry 的对外通信

https http 网络安全

上一篇讲了一些入口流量的事情，在实际项目运行中，还有另外一类边界流量，就是出口流量，也常被称为 egress 流量。这一篇结合一点实际需求，设计一些常用场景，讲讲服务网格中对外部服务的调用过程。

崔秀龙

2019/07/23

3.3K0

Service Mesh - Istio流量控制篇（上）

腾讯云测试服务 http https 网络安全

路由这个功能是流量控制里面非常重要，也是最常用的一个功能。在Istio里一般通过Virtual Service（虚拟服务）以及Destination Rule（目标规则）这两个API资源进行动态路由的设置。

端碗吹水

2020/12/23

1.6K0

Istio 入门（五）：访问控制和流量管理

istio 服务管理流量入门

主要演示了使用 Istio Gateway、VirtualService 对外暴露服务的访问地址，以及基于 Istio 实现可观察性的 Kiali 组件。让我们回在上一章中部署的 bookinfo 示例已经学习了什么：

痴者工良

2023/07/24

9880

10个 Istio 流量管理最常用的例子，你知道几个？

微服务 http 网络安全

为了方便理解，以Istio官方提供的Bookinfo应用示例为例，引出 Istio 流量管理的常用例子。

万猫学社

2022/12/01

4040

Istio的流量管理(实操三)

SSL 证书 tcp/ip http 网络安全 kubernetes

涵盖官方文档Traffic Management章节中的egress部分。其中有一小部分问题(已在下文标注)待官方解决。

charlieroro

2020/09/01

4.7K0

四, 跨语言微服务框架 - Istio官方示例(超时控制,熔断器,流量复制)

微服务

基础的Istio环境已经搭建完成,我们需要开始了解Istio提供作为微服务网格的各种机制,也就是本文标题的(超时控制,熔断器,流量复制,速率控制)官方很给力的准备的实例项目也不需要大家自己编写demo来进行测试,那就来时跑跑看吧.

喵了个咪233

2019/05/26

1.1K0

Istio的流量管理(实操一)(istio 系列三)

http linux go html 编程算法

使用官方的Bookinfo应用进行测试。涵盖官方文档Traffic Management章节中的请求路由，故障注入，流量迁移，TCP流量迁移，请求超时，熔断处理和流量镜像。不含ingress和Egree，后续再补充。

charlieroro

2020/05/20

8410

六, 跨语言微服务框架 - Istio Ingress和Egress详解(解决Istio无法外网访问问题)

tcp/ip http https 网络安全 SSL 证书

在微服务中另外一个重点就是网关,网关理论包含入口网关和出口网关,传统意义上的网关很难做到出口网络控制,但是对于Istio是一件非常轻松的事情(因为所有的出口流量都会经过Istio),入口网关控制解析路由数据流向,出口网关控制对外访问的限制,在Istio中使用了 Ingress和Egress 来实现网关的功能.

喵了个咪233

2019/05/26

4.5K0

Istio边界流量-Ingress Gateway拓展用法

微服务 gateway 服务流量配置

该应用由四个单独的微服务构成。这个应用模仿在线书店的一个分类，显示一本书的信息。页面上会显示一本书的描述，书籍的细节（ISBN、页数等），以及关于这本书的一些评论。

王先森sec

2023/04/24

7170

Istio 大入门 — Egress Gateway

负载均衡负载均衡缓存

之前的 Service Entry 一文中讲到了 ServiceEntry 对象，让网格内部的应用在访问外部应用时，可以使用 VirtualService 进行部分控制。但是如果我们进一步尝试策略的话，会发现常用的 Denier 等适配器都是无效的（这点并没有经过官方验证）。这里就需要使用刚才说的 Egress Gateway 了。

崔秀龙

2019/07/23

3.6K0

深入理解 Istio 流量管理的超时时间设置

flags gateway istio response sleep

httpbin 服务作为接收请求的服务端， sleep 服务作为发送请求的客户端。

万猫学社

2022/12/01

9180

Istio 入门（七）：出入口网关 - 负载均衡和熔断等一系列功能

负载均衡 istio 服务入门网关

Istio 可以管理集群的出入口流量，当客户端访问集群内的应用时， Istio 可以将经过 istio-ingressgateway 的流量实现负载均衡和熔断等一系列功能。

痴者工良

2023/10/27

9320

Service Mesh · Istio · 以实践入门

容器微服务 SSL 证书 https

heidsoft

2020/02/25

1.1K0

【译文连载】理解Istio服务网格（第三章流控）

kubernetes 命令行工具

第3章流控............................................................................................... 1

SammyLiu

2020/02/25

5440

Istio的流量管理(实操二)(istio 系列四)

nginx SSL 证书命令行工具 html 缓存

在kubernetes环境中，kubernetes ingress资源用于指定暴露到集群外的服务。在istio服务网格中，使用了一种不同的配置模型，称为istio网关。一个网关允许将istio的特性，如镜像和路由规则应用到进入集群的流量上。

charlieroro

2020/05/26

1.5K0

在 Istio 服务网格内连接外部 MySQL 数据库

云数据库 SQL Server 数据库 sql 微服务

为了方便理解，以 Istio 官方提供的 Bookinfo 应用示例为例，利用 ratings 服务外部 MySQL 数据库。

万猫学社

2022/12/01

1.9K0

istio流量路由小试牛刀

istio

下载https://github.com/istio/istio/releases/download/1.18.2/istio-1.18.2-osx-arm64.tar.gz

code4it

2023/07/27

2710

istio流量路由小试牛刀

io istio networking 流量路由

下载https://github.com/istio/istio/releases/download/1.18.2/istio-1.18.2-osx-arm64.tar.gz

code4it

2023/08/31

2570

Istio流量管理之请求路由分析

istio 服务管理流量路由

前面我们了解了 Gateway 和 VirtualService 资源对象的作用，以及它们是如何影响 Envoy 的配置的，那么这些资源对象又是如何影响流量的呢？通过 Istio 如何实现流量管理的呢？

我是阳明

2023/11/09

4860