编辑“︁Jenkins服务网格集成”︁（章节）

= Jenkins服务网格集成 =

== 简介 ==
'''Jenkins服务网格集成'''是指将Jenkins与'''服务网格（Service Mesh）'''技术（如Istio、Linkerd或Consul Connect）结合，实现CI/CD流水线在云原生环境中的高级流量管理、安全通信和可观测性。服务网格通过'''Sidecar代理'''（如Envoy）为微服务提供透明的通信层，而Jenkins作为自动化引擎，可通过集成利用这些能力优化部署流程。

核心优势包括：
* '''零信任安全模型'''：自动mTLS加密服务间通信
* '''金丝雀发布'''：通过网格流量控制实现渐进式交付
* '''故障注入测试'''：在CI/CD中模拟网络异常
* '''指标收集'''：集成Prometheus实现构建链路监控

== 架构原理 ==
<mermaid>
graph LR
    Jenkins -->|触发部署| Kubernetes
    subgraph Service Mesh
        Kubernetes -->|注入Sidecar| Pod[Jenkins Agent Pod]
        Pod --> Envoy[Envoy Sidecar]
        Envoy -->|路由控制| Istio[Istio Control Plane]
    end
    Envoy -->|指标数据| Prometheus
</mermaid>

关键组件交互：
# Jenkins主服务器通过Kubernetes插件动态创建构建Pod
# 服务网格自动注入Sidecar代理到Pod中
# Sidecar代理拦截所有进出容器的网络流量
# 控制平面（如Istiod）下发流量规则到Sidecar

== 配置示例 ==

=== 前置条件 ===
需已安装：
* Kubernetes集群
* Istio 1.10+ 
* Jenkins with Kubernetes插件

=== 步骤1：启用Sidecar注入 ===
为Jenkins agent命名空间打标签：
<syntaxhighlight lang="bash">
kubectl create namespace jenkins-agents
kubectl label namespace jenkins-agents istio-injection=enabled
</syntaxhighlight>

=== 步骤2：定义Jenkins Kubernetes Pod模板 ===
在Jenkins系统配置中添加Pod模板（片段）：
<syntaxhighlight lang="groovy">
podTemplate {
    label 'istio-agent'
    yaml """
apiVersion: v1
kind: Pod
metadata:
  annotations:
    proxy.istio.io/config: |
      holdApplicationUntilProxyStarts: true
spec:
  containers:
  - name: jnlp
    image: jenkins/inbound-agent:4.3-4
    env:
    - name: ISTIO_META_APP_CONTAINERS
      value: jnlp
"""
}
</syntaxhighlight>

=== 步骤3：创建带流量规则的Pipeline ===
示例声明式Pipeline：
<syntaxhighlight lang="groovy">
pipeline {
    agent {
        kubernetes {
            label 'istio-agent'
            yamlFile 'jenkins-agent-pod.yaml'
        }
    }
    stages {
        stage('Deploy with Canary') {
            steps {
                sh '''
                # 通过istioctl设置流量权重
                istioctl set-weight my-service.default.svc.cluster.local \
                  --version-tags v1=90,v2=10
                '''
            }
        }
    }
}
</syntaxhighlight>

== 实际应用场景 ==

=== 场景1：安全构建环境 ===
* '''问题'''：构建时需要访问私有仓库等敏感系统
* '''解决方案'''：
  * Sidecar自动为构建Pod间通信启用mTLS
  * 通过AuthorizationPolicy限制构建容器仅能访问白名单服务

=== 场景2：混沌工程测试 ===
在Pipeline中集成故障注入：
<syntaxhighlight lang="yaml">
# istio-fault-injection.yaml
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: payment-service
spec:
  hosts:
    - payment-service
  http:
    - fault:
        delay:
          percentage:
            value: 30
          fixedDelay: 5s
      route:
        - destination:
            host: payment-service
</syntaxhighlight>

在Jenkinsfile中应用配置：
<syntaxhighlight lang="groovy">
sh 'kubectl apply -f istio-fault-injection.yaml'
</syntaxhighlight>

== 监控与调优 ==

服务网格提供的关键指标（通过Prometheus）：
* '''构建成功率'''：<math>success\_rate = \frac{successful\_builds}{total\_builds} \times 100</math>
* '''网络延迟百分位'''：P99构建阶段通信延迟
* '''Sidecar资源消耗'''：CPU/memory使用量

示例Grafana查询：
<syntaxhighlight lang="sql">
sum(rate(istio_requests_total{
  destination_app="jenkins-agent",
  response_code=~"2.."
}[1m])) by (pod)
</syntaxhighlight>

== 常见问题 ==

{| class="wikitable"
|-
! 问题 !! 解决方案
|-
| Sidecar未注入 || 检查命名空间标签及istiod Pod状态
|-
| 构建Pod启动超时 || 调整`holdApplicationUntilProxyStarts`参数
|-
| 网络策略冲突 || 检查NetworkPolicy与AuthorizationPolicy的匹配规则
|}

== 进阶主题 ==
* '''多集群部署'''：通过服务网格实现跨集群Jenkins agent管理
* '''Wasm插件'''：使用Envoy Wasm扩展定制流量过滤逻辑
* '''eBPF加速'''：配合Cilium实现内核层网络优化

[[Category:Jenkins容器化与云原生]]

[[Category:集成部署]]
[[Category:Jenkins]]