编辑“︁Kubernetes Istio”︁

= Kubernetes Istio =

== 介绍 ==
'''Istio''' 是一个开源的[[服务网格]]（Service Mesh）平台，专为[[Kubernetes]]设计，用于管理、保护和监控微服务之间的通信。它通过提供流量管理、安全性、可观测性和策略执行等功能，简化了分布式应用的运维复杂性。Istio 的核心组件包括：

* '''数据平面（Data Plane）'''：由 [[Envoy]] 代理组成，负责处理服务间的通信。
* '''控制平面（Control Plane）'''：管理配置并协调代理的行为。

Istio 的主要功能包括：
* 流量管理（如金丝雀发布、A/B 测试）
* 服务身份认证与加密（mTLS）
* 可观测性（指标、日志、追踪）
* 策略执行（速率限制、访问控制）

== 核心架构 ==
Istio 的架构分为控制平面和数据平面：

<mermaid>
graph TD
    A[Pilot] -->|配置| B[Envoy Proxy]
    C[Citadel] -->|证书| B
    D[Galley] -->|配置验证| A
    E[Mixer] -->|策略/遥测| B
</mermaid>

=== 组件说明 ===
* '''Pilot'''：动态配置 Envoy 代理的路由规则。
* '''Citadel'''：管理服务间的 TLS 证书。
* '''Galley'''：验证配置的正确性。
* '''Mixer'''（已弃用，1.5+版本功能并入其他组件）：处理策略和遥测数据。

== 安装 Istio ==
通过 [[istioctl]] 安装 Istio：

<syntaxhighlight lang="bash">
# 下载 Istio
curl -L https://istio.io/downloadIstio | sh -
cd istio-*
export PATH=$PWD/bin:$PATH

# 安装默认配置
istioctl install --set profile=default
</syntaxhighlight>

验证安装：
<syntaxhighlight lang="bash">
kubectl get pods -n istio-system
</syntaxhighlight>

输出示例：
<pre>
NAME                                    READY   STATUS    RESTARTS   AGE
istiod-5f7b5d8f8b-6z9xv                 1/1     Running   0          2m
istio-ingressgateway-7d8c8f8c6c-4j6kq   1/1     Running   0          2m
</pre>

== 流量管理示例 ==
=== 金丝雀发布 ===
通过 Istio 的 [[VirtualService]] 和 [[DestinationRule]] 实现流量分流：

<syntaxhighlight lang="yaml">
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: myapp
spec:
  hosts:
  - myapp.example.com
  http:
  - route:
    - destination:
        host: myapp
        subset: v1
      weight: 90
    - destination:
        host: myapp
        subset: v2
      weight: 10
---
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: myapp
spec:
  host: myapp
  subsets:
  - name: v1
    labels:
      version: v1
  - name: v2
    labels:
      version: v2
</syntaxhighlight>

== 安全功能 ==
=== 双向 TLS（mTLS） ===
启用全局 mTLS：
<syntaxhighlight lang="yaml">
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: default
  namespace: istio-system
spec:
  mtls:
    mode: STRICT
</syntaxhighlight>

== 可观测性 ==
Istio 集成以下工具：
* '''Prometheus'''：收集指标
* '''Grafana'''：可视化监控
* '''Jaeger'''：分布式追踪
* '''Kiali'''：服务拓扑图

访问仪表盘：
<syntaxhighlight lang="bash">
istioctl dashboard grafana
</syntaxhighlight>

== 实际案例 ==
=== 电商平台应用 ===
一个电商平台使用 Istio 实现：
1. 流量管理：将 5% 用户路由到新支付服务版本
2. 安全：服务间通信强制 mTLS
3. 监控：通过 Prometheus 发现高延迟的微服务

== 数学基础 ==
Istio 的负载均衡算法（如一致性哈希）可用公式表示：
<math>
h(key) \mod N
</math>
其中：
* <math>h</math> 是哈希函数
* <math>N</math> 是后端实例数

== 常见问题 ==
{| class="wikitable"
|-
! 问题 !! 解决方案
|-
| 代理未注入 || 检查命名空间标签：<code>kubectl label ns default istio-injection=enabled</code>
|-
| 503 错误 || 验证 DestinationRule 和 Service 端口匹配
|}

== 进阶主题 ==
* 多集群部署
* 自定义 Mixer 适配器（1.5 前版本）
* 使用 WebAssembly 扩展 Envoy

== 总结 ==
Istio 为 Kubernetes 提供了完整的服务网格解决方案，通过非侵入式方式增强了微服务架构的运维能力。初学者可以从流量管理入手，逐步掌握安全策略和监控功能。

[[Category:集成部署]]
[[Category:Kubernetes]]
[[Category:Kubernetes服务网格]]