logo

Consulting

Perkhidmatan Perundingan

Pembangunan Produk DigitalPerkhidmatan Perundingan Transformasi DigitalPerkhidmatan Perundingan Pembangunan Perisian AgilePerkhidmatan Perundingan WebPerkhidmatan Pembangunan Perisian

Perkhidmatan Perundingan Awan

Perkhidmatan DockerPerkhidmatan KubernetesPerkhidmatan Infrastruktur ChefPerkhidmatan JenkinsPerkhidmatan Infrastruktur PuppetPerkhidmatan TerraformPerundingan Kubernetes untuk PerniagaanSokongan KubernetesPerkhidmatan AWSPerkhidmatan MicrosoftIstio Service MeshPerkhidmatan Rancher

Perkhidmatan Perundingan Perisian

Perkhidmatan Perundingan SpringPerkhidmatan Perundingan Penglihatan KomputerPerkhidmatan Perundingan Realiti Terimbuh

Solution

Pembangunan Perisian

Perkhidmatan Pembangunan PerisianPerkhidmatan Kejuruteraan DataAplikasi Mudah AlihPerkhidmatan Pembangunan WebPerkhidmatan Pembangunan API KhususPerkhidmatan Pembangunan Realiti CampuranPasukan Kejuruteraan Perisian KhususPerkhidmatan Pembangunan MagentoPerkhidmatan Pembangunan Luar PesisirPerkhidmatan Pembangunan ScalaPerkhidmatan Penyumberan Luar PerisianPerkhidmatan Pembangunan Realiti Maya

Reka Bentuk UX/UI

Reka Bentuk UX/UIKajian UXReka Bentuk UX Laman WebReka Bentuk Web PantasReka Bentuk Halaman Pendaratan

Sains Data & Pembelajaran Mesin

Sains Data & Pembelajaran MesinPerkhidmatan Visualisasi DataPerkhidmatan Sokongan Pengurusan Data TerurusData & ETL PipelinePenyelesaian Data BesarSains Data & AIPenyelesaian Gudang DataPenyelesaian ETLAnalisis Data Masa Nyata

Ujian dan Penilaian

Keselamatan SiberUjian dan PenilaianPerkhidmatan Ujian Perisian AutomatikPerkhidmatan Ujian Perisian SeleniumPerkhidmatan Ujian Perisian Profesional

E-dagang B2B

Penyelesaian AR & VR B2BPerkhidmatan Pim E-dagangPerdagangan DigitalPerkhidmatan Pembangunan Laman Web E-dagang

Harga Pembangunan

Berapa kos membina laman web?Laman web e-dagangPlatform Data Pelanggan

AI Generasi Seterusnya

API Pembersihan TeksAPI Klasifikasi TeksAPI Perlombongan TeksSaluran Teks ke GrafKejuruteraan PromptGPT PeribadiPengayaan OntologiGraphRAG

Migrasi Awan

Migrasi AwanPerkhidmatan Migrasi Google CloudPerkhidmatan Migrasi AWS CloudPerkhidmatan Migrasi Microsoft Azure

Partner Solutions

Perkhidmatan AnsibleAmazon EKSGoogle GKEKeycloakKintoneMicrosoft Azure AKSPapan Pemuka Tableau Business IntelligenceAplikasi VMware TanzuOdoo ERPRedHatDocuSignAkeneo PimHubSpotCloudflare

Articles

Success StoryIndustry

About Us

Tentang KamiHubungi KamiNilai SyarikatBudaya KamiSejarah StandupcodePejabat KamiAnugerahPortfolioDasar Privasi

Kuasai Service Mesh dengan Istio

Lepaskan kuasa mikroservis dengan penyelaman mendalam kami ke dalam Istio.

Kuasai Seni Bina Service Mesh dengan Istio

1. Pengenalan

Ungkapkan keajaiban seni bina service mesh dan lihat bagaimana ia meningkatkan sistem teragih anda.

Selami Istio, bintang service mesh, dan pelajari bagaimana ia menyelaraskan kluster Kubernetes anda dengan sempurna.

2. Apa Itu Service Mesh?

Aplikasi monolitik telah berkembang menjadi perkhidmatan yang lebih kecil dan bebas. Peralihan ini mendapat populariti besar dengan pengkomputeran cloud-native dan seni bina mikroservis. Alat seperti Docker dan Kubernetes mempercepatkan trend ini.

Mikroservis di platform seperti Kubernetes menawarkan banyak manfaat, tetapi juga memperkenalkan kerumitan. Mengurus komunikasi antara perkhidmatan yang teragih ini memerlukan pertimbangan teliti mengenai penemuan, penghalaan, cubaan semula, dan failover.

Cabaran tambahan termasuk keselamatan dan kebolehlaksanaan.

Mesin A
Perkhidmatan A
Pengurusan Trafik
Keselamatan
Kebolehlaksanaan
Mesin B
Perkhidmatan B
Pengurusan Trafik
Keselamatan
Kebolehlaksanaan

Membina keupayaan komunikasi dalam setiap perkhidmatan memakan masa, terutamanya apabila landskap perkhidmatan berkembang. Di sinilah service mesh bersinar. Ia mengendalikan semua komunikasi antara perkhidmatan dalam sistem teragih.

Service mesh mencapai ini dengan menggunakan proksi rangkaian. Permintaan antara perkhidmatan disalurkan melalui proksi ini, yang berada di luar perkhidmatan dalam lapisan infrastruktur:

Mesin A
Proksi
Perkhidmatan A
Pengurusan Trafik
Keselamatan
Kebolehlaksanaan
Mesin B
Proksi
Perkhidmatan B
Pengurusan Trafik
Keselamatan
Kebolehlaksanaan

Proksi ini membentuk rangkaian mesh untuk perkhidmatan, hence the name. Service mesh mengawal setiap aspek komunikasi antara perkhidmatan, membolehkannya menangani lapan falasi pengkomputeran teragih.

3. Kuasa Super Service Mesh

Lepaskan potensi penuh perkhidmatan anda dengan service mesh! Temui bagaimana alat ajaib ini boleh mengubah landskap aplikasi anda.

Mari kita huraikan keajaiban ini kepada tiga keupayaan teras: sihir trafik, keselamatan tegar, dan kebolehlaksanaan yang jelas seperti kristal.

3.1. Sihir Trafik

Service mesh adalah pengawal trafik utama anda, mengarahkan interaksi perkhidmatan dengan ketepatan. Nikmati penghalaan dinamik, penemuan pintar, dan ciri-ciri menakjubkan seperti shadowing trafik dan pemisahan untuk pelepasan canary dan eksperimen A/B yang lancar.

Katakan selamat tinggal kepada sambungan yang tidak boleh dipercayai! Service mesh membungkus perkhidmatan anda dalam selimut keselesaan kebolehpercayaan, menawarkan cubaan semula, had masa, had kadar, dan pemutus litar untuk melindungi aplikasi anda daripada kekacauan.

3.2. Keselamatan Tegar

Lindungi perkhidmatan anda dengan kubu yang tidak dapat ditembusi! Service mesh menyulitkan semua komunikasi dengan MTLS yang kukuh, mengesahkan identiti dengan pengesahan ketat, dan menguatkuasakan peraturan akses untuk perlindungan terbaik.

Temui kuasa super keselamatan tersembunyi! Pisahkan perkhidmatan, jejak setiap pergerakan untuk audit, dan cipta perimeter selamat di sekitar aplikasi anda dengan service mesh.

3.3. Kebolehlaksanaan Jelas seperti Kristal

Navigasi kerumitan sistem teragih anda dengan mudah! Service mesh menyediakan kebolehlaksanaan yang tiada tandingan ke dalam kerja dalaman aplikasi anda melalui pengesanan teragih.

Temui wawasan berharga dengan kekayaan metrik, log, dan data prestasi. Optimumkan perkhidmatan anda dan selesaikan isu seperti seorang profesional dengan service mesh.

4. Istio Didedahkan

Istio, hasil otak service mesh sumber terbuka dari IBM, Google, dan Lyft, meningkatkan aplikasi teragih secara tidak kelihatan dengan pengurusan trafik, keselamatan, dan wawasan prestasi.

Dideploy dengan fleksibel di premis, dalam awan, dalam Kubernetes, atau pada mesin maya, Istio bersinar dengan mikroservis di Kubernetes. Walaupun agnostik platform, ia sangat sesuai untuk persekitaran berkontena.

Pada terasnya, Istio mendepoy proksi Envoy sebagai sidecar di sebelah setiap mikroservis:

Pod A
Perkhidmatan A
Trafik Masuk
Proksi Envoy
Pod A
Perkhidmatan A
Trafik Mesh
Proksi Envoy
Trafik Keluar
Pelan Data

Rangkaian proksi ini membentuk pelan data Istio, diselaraskan oleh pelan kawalan:

Pod A
Perkhidmatan A
Trafik Masuk
Proksi Envoy
Pod A
Perkhidmatan A
Trafik Mesh
Proksi Envoy
Trafik Keluar
Pelan Data
Istiod
Pilot
Citadel
Galley
Pelan Kawalan

Pelan kawalan, otak Istio, memperkasakan proksi Envoy dengan penemuan, konfigurasi, dan pengurusan sijil.

Lepaskan potensi Istio dengan pelbagai mikroservis yang saling berkaitan, di mana proksi sidecar menenun infrastruktur service mesh yang kukuh:

Pelan Kawalan Istio
Envoy
Envoy
Envoy
Envoy
Envoy
Envoy
Envoy
Envoy
Envoy
Envoy
Envoy
Envoy

Fleksibiliti Istio bersinar melalui integrasi lancar dengan sistem logging, telemetri, dan polisi luaran.

5. Membongkar Komponen Utama Istio

Seni bina Istio adalah duo dinamik: pelan data dan pelan kawalan. Bersama-sama, mereka menyelaraskan keajaiban di sebalik keupayaan Istio. Mari kita selami komponen teras yang menggerakkan platform luar biasa ini.

Bersiaplah untuk meneroka butiran rumit komponen teras Istio.

5.1. Pelan Data: Pusat Epic Envoy

Pelan data Istio pada dasarnya adalah versi yang dipertingkatkan dari proksi Envoy. Keajaiban sumber terbuka ini mengendalikan kerumitan rangkaian, membebaskan aplikasi untuk fokus pada perniagaan teras mereka. Aplikasi berinteraksi tanpa gangguan, tanpa mengetahui infrastruktur rangkaian yang kompleks.

Pada terasnya, Envoy adalah ahli sihir rangkaian yang beroperasi di lapisan 3 dan 4 model OSI. Ia mengendalikan sambungan dengan cekap menggunakan rangkaian penapis rangkaian yang boleh disesuaikan. Di luar ini, penapis lapisan L7 Envoy memberikannya keupayaan untuk mengendalikan trafik HTTP dengan kemahiran. Dan itu bukan sahaja - ia juga mahir dengan protokol HTTP/2 dan gRPC.

Ramai ciri-ciri hebat Istio sebenarnya adalah kuasa super yang diwarisi daripada keupayaan terbina dalam Envoy:

  • Pengawalan Trafik: Envoy memiliki kawalan terperinci ke atas trafik HTTP, gRPC, WebSocket, dan TCP, mengalihkan dengan ketepatan.
  • Ketahanan Rangkaian: Cubaan semula automatik terbina, pemutusan litar, dan suntikan kecacatan memastikan kebolehpercayaan rangkaian yang tidak tergoyahkan.
  • Keselamatan: Lindungi komunikasi anda dengan polisi keselamatan yang kukuh, kawalan akses, dan had kadar.

Potensi sebenar Envoy bersinar apabila dipasangkan dengan Istio. Kebolehluasannya, didorong oleh WebAssembly, adalah perubahan permainan untuk penguatkuasaan polisi tersuai dan telemetri. Selain itu, API sandbox Proxy-Wasm Istio membuka pintu kepada lebih banyak penyesuaian Envoy.

5.2. Pelan Kawalan: Maestro Istiod

Temui istiod, konduktor orkestrasi pelan kawalan Istio. Maestro ini mengubah peraturan penghalaan aras tinggi dan arahan pengurusan trafik menjadi konfigurasi yang mesra Envoy, menyebarkannya dengan lancar kepada sidecar.

Ingat seni bina awal Istio dengan komponen individu? Baiklah, untuk memudahkan, komponen-komponen ini digabungkan menjadi istiod yang bersatu. Tetapi jangan risau, fungsi teras tetap utuh.

Pada hatinya, istiod menggunakan kod dan API yang sama seperti pendahulunya. Pilot, contohnya, terus menjadi maestro penemuan perkhidmatan, menterjemahkan butiran khusus platform ke dalam bahasa universal yang difahami oleh sidecar. Fleksibiliti ini membolehkan Istio menyelaraskan dengan pelbagai persekitaran seperti Kubernetes dan Mesin Maya.

istiod juga mengambil alih keselamatan, membina pengesahan perkhidmatan-ke-perkhidmatan dan pengesahan pengguna akhir yang kukuh dengan sistem pengurusan identiti dan kredensial terbina dalam. Menguatkuasakan polisi keselamatan terperinci berdasarkan identiti perkhidmatan dengan mudah. Selain itu, istiod berfungsi sebagai Pihak Berkuasa Sijil (CA) yang dipercayai, mengeluarkan sijil untuk memastikan komunikasi antara perkhidmatan menggunakan mutual TLS (MTLS).

6. Bagaimana Istio Berfungsi

Kami telah meneroka ciri-ciri tipikal service mesh dan menganalisis seni bina serta komponen teras Istio. Kini, mari kita bongkar bagaimana Istio menyampaikan ciri-ciri ini menggunakan komponen terasnya.

Kami akan mengulangi kategori ciri yang sama yang telah kami teliti sebelum ini.

6.1. Pengurusan Trafik

API pengurusan trafik Istio menawarkan kawalan terperinci ke atas trafik service mesh. Sesuaikan konfigurasi trafik menggunakan API ini dan definisikan sumber API dengan definisi sumber tersuai Kubernetes (CRD). Sumber API utama untuk penghalaan trafik adalah perkhidmatan maya dan peraturan destinasi:

Perkhidmatan A
Perkhidmatan B
Peraturan Destinasi - v1
75%
Peraturan Destinasi - v2
25%
Perkhidmatan B- v1
Perkhidmatan B- v2

Perkhidmatan maya menentukan bagaimana permintaan dihalakan ke perkhidmatan dalam mesh Istio. Ia terdiri daripada satu atau lebih peraturan penghalaan yang dinilai secara berurutan. Selepas penghalaan perkhidmatan maya, peraturan destinasi digunakan untuk mengawal trafik ke destinasi, seperti mengumpulkan contoh perkhidmatan mengikut versi.

6.2. Keselamatan

Asas keselamatan Istio adalah identiti yang kukuh untuk setiap perkhidmatan. Agen Istio di samping setiap proksi Envoy bekerjasama dengan istiod untuk mengautomatikkan pusingan kunci dan sijil:

Perkhidmatan
Agen Istio
Sijil
Permintaan TandatanganDitandatangani
Sijil
Proksi Envoy
Pihak Berkuasa Sijil
Istio
Polisi Pengesahan
Polisi Pengesahan

Istio menyokong dua jenis pengesahan: pengesahan rakan sebaya dan pengesahan permintaan. Pengesahan rakan sebaya memastikan komunikasi perkhidmatan-ke-perkhidmatan dengan solusi mutual TLS Istio. Pengesahan permintaan mengendalikan pengesahan pengguna akhir melalui pengesahan JSON Web Token (JWT) menggunakan penyedia pengesahan tersuai atau penyedia OpenID Connect (OIDC).

Istio menguatkuasakan kawalan akses perkhidmatan dengan menerapkan polisi pengesahan. Polisi ini mengawal trafik masuk dalam proksi Envoy, membolehkan kawalan akses di peringkat mesh, namespace, dan perkhidmatan.

6.3. Kebolehlaksanaan

Istio menghasilkan telemetri yang komprehensif, termasuk metrik, jejak teragih, dan log akses, untuk semua komunikasi perkhidmatan dalam mesh. Telemetri ini merangkumi metrik peringkat proksi, berorientasikan perkhidmatan, dan metrik pelan kawalan.

Sebelumnya, Mixer adalah komponen pusat dalam seni bina telemetri Istio. Walau bagaimanapun, Telemetri v2 menggantikan ciri-ciri Mixer dengan plugin proksi Envoy:

Prometheus
metrik peringkat proksi
metrik peringkat perkhidmatan
Plugin
Plugin
Plugin
Proksi Envoy
Perkhidmatan A
metrik peringkat proksi
metrik peringkat perkhidmatan
Plugin
Plugin
Plugin
Proksi Envoy
Perkhidmatan B

Istio mencipta jejak teragih melalui proksi Envoy dan menyokong pelbagai backend pengesanan seperti Zipkin, Jaeger, Lightstep, dan Datadog. Kadar pensampelan penjanaan jejak boleh disesuaikan. Selain itu, Istio menghasilkan log akses untuk trafik perkhidmatan dalam format yang boleh disesuaikan.

7. Selami Istio

Cukup latar belakang, mari kita lihat Istio beraksi! Kami akan memasang Istio pada kluster Kubernetes dan menggunakan aplikasi mikroservis mudah untuk menunjukkan kuasanya.

7.1 Pemasangan

Istio dipasang dalam pelbagai cara, tetapi memuat turun dan mengekstrak pelepasan terkini untuk OS anda (seperti Windows) adalah yang paling mudah. Pakej yang diekstrak termasuk klien istioctl dalam folder bin. Gunakan istioctl untuk memasang Istio pada kluster Kubernetes anda:

istioctl install --set profile=demo -y

Ini memasang komponen Istio pada kluster Kubernetes lalai menggunakan profil demo. Tukar 'demo' dengan profil khusus vendor lain jika perlu.

Seterusnya, beritahu Istio untuk secara automatik menyuntik proksi sidecar Envoy apabila menyebarkan aplikasi pada kluster Kubernetes ini:

kubectl label namespace default istio-injection=enabled

Kami menggunakan kubectl di sini, mengandaikan anda mempunyai kluster Kubernetes (seperti Minikube) dan CLI Kubernetes kubectl yang disediakan.

7.2 Aplikasi Contoh

Bayangkan aplikasi pesanan dalam talian yang mudah untuk demo ini. Ia terdiri daripada tiga mikroservis yang bekerjasama untuk memenuhi pesanan:

Perkhidmatan Tempahan
Perkhidmatan Inventori
Perkhidmatan Penghantaran

Kami tidak akan menyelami butiran mikroservis, tetapi mereka mudah untuk dibuat dengan Spring Boot dan REST APIs. Pentingnya, cipta imej Docker untuk mikroservis ini untuk disebarkan di Kubernetes.

7.3 Penyebaran

Menyebarkan beban kerja berkontena pada kluster Kubernetes seperti Minikube adalah mudah. Gunakan sumber Deployment dan Service untuk mendeklarasikan dan mengakses beban kerja. Biasanya, definisikan mereka dalam fail YAML:

apiVersion: apps/v1beta1
kind: Deployment
metadata:
  name: order-service
  namespace: default
spec:
  replicas: 1
  template:
    metadata:
      labels:
        app: order-service
        version: v1
    spec:
      containers:
      - name: order-service
        image: kchandrakant/order-service:v1
        resources:
          requests:
            cpu: 0.1
            memory: 200
---
apiVersion: v1
kind: Service
metadata:
  name: order-service
spec:
  ports:
  - port: 80
    targetPort: 80
    protocol: TCP
    name: http
  selector:
    app: order-service

Ini adalah definisi Deployment dan Service asas untuk perkhidmatan pesanan. Cipta fail YAML serupa untuk perkhidmatan inventori dan perkhidmatan penghantaran.

Sediakan sumber-sumber ini menggunakan kubectl dengan mudah:

kubectl apply -f booking-service.yaml -f inventory-service.yaml -f shipping-service.yaml

Oleh kerana kami telah mengaktifkan suntikan automatik proksi sidecar Envoy untuk namespace lalai, semuanya diuruskan. Atau, suntik secara manual proksi sidecar Envoy menggunakan perintah kube-inject istioctl.

7.4 Mengakses Aplikasi

Istio terutamanya mengendalikan trafik mesh. Secara lalai, trafik ke atau dari luar mesh disekat. Istio menggunakan gerbang untuk mengurus trafik mesh masuk dan keluar, memberikan anda kawalan tepat ke atas apa yang masuk atau keluar. Istio menawarkan penyebaran proksi gerbang pra-konfigurasi: istio-ingressgateway dan istio-egressgateway.

Cipta Gerbang dan Perkhidmatan Maya untuk aplikasi anda:

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: booking-gateway
spec:
  selector:
    istio: ingressgateway
  servers:
  - port:
      number: 80
      name: http
      protocol: HTTP
    hosts:
    - "*"
---
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: booking
spec:
  hosts:
  - "*"
  gateways:
  - booking-gateway
  http:
  - match:
    - uri:
        prefix: /api/v1/booking
    route:
    - destination:
        host: booking-service
        port:
          number: 8080

Kami menggunakan pengawal ingress Istio lalai di sini. Selain itu, kami telah mentakrifkan perkhidmatan maya untuk mengarahkan permintaan ke perkhidmatan tempahan.

Anda juga boleh mentakrifkan gerbang egress untuk trafik mesh keluar.

8. Kes Penggunaan Istio yang Biasa

Kami telah menyebarkan aplikasi mudah pada Kubernetes dengan Istio. Mari kita teroka ciri-ciri kuat Istio dan lihat bagaimana ia boleh meningkatkan aplikasi kita.

8.1 Penghalaan Permintaan

Bayangkan menyebarkan pelbagai versi mikroservis seperti perkhidmatan penghantaran. Anda ingin memperkenalkan ciri baru secara beransur-ansur tanpa menjejaskan semua pengguna. Penghalaan permintaan membolehkan anda melakukan ini dengan mengarahkan sebahagian trafik ke versi terbaru.

Gunakan peraturan penghalaan perkhidmatan maya untuk mencapai ini.

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: shipping-service
spec:
  hosts:
    - shipping-service
  http:
  - route:
    - destination:
        host: shipping-service
        subset: v1
      weight: 90
    - destination:
        host: shipping-service
        subset: v2
      weight: 10
---
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: shipping-service
spec:
  host: shipping-service
  subsets:
  - name: v1
    labels:
      version: v1
  - name: v2
    labels:
      version: v2

Peraturan penghalaan juga boleh menapis trafik berdasarkan tajuk atau atribut lain. Medan destinasi menentukan perkhidmatan sasaran untuk permintaan yang sepadan.

8.2 Pemutusan Litar

Cegah kegagalan berantai dengan pemutus litar. Corak ini mengesan ralat dan sementara menghentikan trafik ke perkhidmatan yang gagal, melindungi kesihatan keseluruhan aplikasi anda.

Peraturan Destinasi Istio membolehkan anda mengkonfigurasi tingkah laku pemutusan litar untuk perkhidmatan seperti perkhidmatan inventori.

apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: inventory-service
spec:
  host: inventory-service
  trafficPolicy:
    connectionPool:
      tcp:
        maxConnections: 1
      http:
        http1MaxPendingRequests: 1
        maxRequestsPerConnection: 1
    outlierDetection:
      consecutive5xxErrors: 1
      interval: 1s
      baseEjectionTime: 3m
      maxEjectionPercent: 100

Dengan mengehadkan sambungan maksimum, permintaan tertangguh, dan permintaan per sambungan, anda boleh mengurus trafik dengan berkesan dan mencegah beban berlebihan.

8.3 Mengaktifkan Mutual TLS

Mutual TLS memastikan komunikasi selamat antara perkhidmatan dengan memerlukan kedua-dua pihak untuk mengesahkan identiti. Istio secara automatik mengaktifkan mutual TLS untuk perkhidmatan yang menggunakan proksinya.

Walaupun Istio menguatkuasakan mutual TLS antara perkhidmatan yang diproxied, trafik teks biasa masih boleh mencapai perkhidmatan tanpa proksi. Gunakan polisi Pengesahan Rakan Sebaya untuk menguatkuasakan mutual TLS di seluruh mesh anda.

apiVersion: "security.istio.io/v1beta1"
kind: "PeerAuthentication"
metadata:
  name: "default"
  namespace: "istio-system"
spec:
  mtls:
    mode: STRICT

Anda boleh menerapkan mutual TLS di peringkat mesh, namespace, atau perkhidmatan. Polisi khusus perkhidmatan mengatasi tetapan merata namespace.

8.4 Kawalan Akses Dengan JWT

JSON Web Tokens (JWT) adalah standard untuk menghantar maklumat pengguna secara selamat. Mereka banyak digunakan untuk pengesahan dan autorisasi.

Polisi Autorisasi Istio membolehkan anda mengawal akses ke perkhidmatan seperti perkhidmatan tempahan berdasarkan tuntutan JWT.

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: require-jwt
  namespace: default
spec:
  selector:
    matchLabels:
      app: booking-service
  action: ALLOW
  rules:
  - from:
    - source:
       requestPrincipals: ["[email protected]/[email protected]"]

Memerlukan JWT yang sah dengan tuntutan tertentu untuk akses yang dibenarkan. Istio mencipta atribut requestPrincipal dari penerbit dan subjek JWT.

9. Pemikiran Akhir

Istio memudahkan pengurusan cabaran biasa dalam seni bina mikroservis teragih. Walau bagaimanapun, kerumitannya boleh menambah beban pada penyebaran. Seperti mana-mana alat, Istio bukanlah penyelesaian ajaib dan memerlukan pertimbangan teliti.

9.1. Adakah Service Mesh Sentiasa Diperlukan?

Walaupun service mesh menawarkan kelebihan, pertimbangkan kelemahan ini:

  • Service mesh memperkenalkan beban dengan mengurus semua komunikasi perkhidmatan-ke-perkhidmatan. Ini mungkin tidak perlu untuk aplikasi yang lebih mudah.
  • Jika anda sudah mengendalikan kebimbangan seperti pemutusan litar dalam kod aplikasi, menggunakan service mesh boleh menyebabkan usaha yang berganda.
  • Kebergantungan pada service mesh boleh menghalang keterangkuman aplikasi disebabkan kekurangan standard industri.
  • Proksi service mesh boleh memperkenalkan kelewatan kepada permintaan.
  • Service mesh memerlukan kepakaran untuk menguruskan komponen dan konfigurasi yang kompleks.
  • Menggabungkan logik operasi (ideal untuk service mesh) dengan logik perniagaan (harus tetap di luar) boleh menjadi bermasalah.

Service mesh menawarkan manfaat, tetapi penilaian teliti terhadap kerumitan aplikasi anda adalah penting. Timbangkan kelebihan berbanding kerumitan tambahan.

9.2. Alternatif Istio

Istio adalah service mesh yang popular disokong oleh pemimpin industri, tetapi ia bukan pilihan satu-satunya. Berikut adalah gambaran ringkas mengenai Linkerd dan Consul.

Linkerd adalah service mesh sumber terbuka asli Kubernetes yang semakin popular. Ia adalah projek CNCF yang menginkubasi dan berfungsi serupa dengan Istio, menggunakan proksi TCP. Proksi mikro berbasis Rust Linkerd dikenali sebagai Linkerd-proxy.

Linkerd umumnya lebih mudah daripada Istio kerana fokusnya pada Kubernetes. Walau bagaimanapun, set ciri-cirinya hampir menyerupai Istio, dan seni binanya yang teras adalah serupa. Linkerd terdiri daripada antara muka pengguna, pelan data, dan pelan kawalan.

Consul adalah service mesh sumber terbuka dari HashiCorp yang berintegrasi dengan alat infrastruktur HashiCorp lain. Pelan data Consul menyokong kedua-dua model integrasi proksi dan asli. Ia menawarkan proksi terbina dalam tetapi juga boleh berfungsi dengan Envoy.

Consul beroperasi melebihi Kubernetes, menyokong platform seperti Nomad. Ia menggunakan agen pada setiap nod untuk pemeriksaan kesihatan dan berkomunikasi dengan pelayan Consul untuk penyimpanan data dan replikasi. Walaupun menawarkan ciri-ciri service mesh standard, Consul lebih kompleks untuk dipasang dan diurus.

10. Menyimpulkan

Tutorial ini telah meneroka asas-asas seni bina service mesh dan keupayaan kuat Istio. Kami telah menyelami struktur teras Istio, komponen, dan aplikasi praktikal. Pada akhir, anda sepatutnya mempunyai pemahaman yang kukuh tentang cara memasang dan menggunakan Istio untuk senario biasa.

Maklum Balas Pelanggan

Ulasan berikut dikumpulkan di laman web kami.

4 bintang berdasarkan 130 ulasan
Pelaksanaan Istio Service Mesh yang Luar Biasa
Pelaksanaan Istio Service Mesh secara signifikan meningkatkan arsitektur mikroservis kami, menghasilkan peningkatan efisiensi sebesar 40%.
Diulas oleh Encik Ahmad Yusof (Juruanalisis Perisian)
Sangat Disarankan untuk Pengurusan Mikroservis
Istio Service Mesh telah menjadi pengubah permainan, mengurangkan latensi kami sebanyak 30%. Sangat disarankan!
Diulas oleh Cik Siti Aminah (Pakar DevOps)
Alat Hebat untuk Pengurusan Trafik
Menggunakan Istio Service Mesh untuk pengurusan trafik meningkatkan efisiensi pengimbangan beban kami sebanyak 25%.
Diulas oleh Encik Jamaludin Hassan (Pengurus IT)
Ciri-ciri Keselamatan yang Ditingkatkan
Ciri-ciri keselamatan Istio Service Mesh telah menjadikan sistem kami lebih kukuh, mengurangkan kerentanan sebanyak 50%.
Diulas oleh Encik Johan Tan (Penganalisis Keselamatan Siber)
Peningkatan Kebolehamatan dan Pemantauan
Alat kebolehamatan Istio Service Mesh meningkatkan keupayaan pemantauan kami, mengurangkan masa penyelesaian masalah sebanyak 35%.
Diulas oleh Encik Charles Nguyen (Pentadbir Sistem)
Pengurusan Perkhidmatan yang Teratur
Pengurusan perkhidmatan tidak pernah lebih mudah terima kasih kepada Istio Service Mesh, yang mengurangkan masa henti perkhidmatan kami sebanyak 45%.
Diulas oleh Encik Eric Simon (Pengurus Projek)
Efektif untuk Penyebaran Skala Besar
Istio Service Mesh adalah efektif untuk penyebaran skala besar, meningkatkan kelajuan penyebaran sebanyak 50%.
Diulas oleh Encik William Hart (Arkitek Awan)
Kemajuan Kerjaya yang Mudah
Syarikat menyediakan peluang yang banyak untuk pengembangan diri melalui pelbagai kursus latihan dan bimbingan sokongan dari penyelia, membolehkan kemajuan kerjaya yang cepat.
Diulas oleh Encik Richard Powell (Pengarah Jualan)
Pengurusan Polisi yang Kukuh
Pengurusan polisi dengan Istio Service Mesh adalah kukuh, mengurangkan pelanggaran polisi sebanyak 40%.
Diulas oleh Cik Laura Mitchell (Ketua Pegawai Teknologi (CTO))
Sokongan dan Dokumentasi yang Cemerlang
Sokongan dan dokumentasi untuk Istio Service Mesh adalah cemerlang, mengurangkan masa onboarding kami sebanyak 20%.
Diulas oleh Encik Daniel Singh (Juruanalisis Sokongan Teknikal)
Penyelesaian yang Serbaguna dan Boleh Skala
Istio Service Mesh adalah penyelesaian yang serbaguna dan boleh skala, yang meningkatkan skalabiliti sistem kami sebanyak 35%.
Diulas oleh Puan Anita Robinson (Arkitek Penyelesaian)
Mempermudah Komunikasi Perkhidmatan-ke-Perkhidmatan
Dengan mempermudah komunikasi perkhidmatan-ke-perkhidmatan, Istio Service Mesh telah mengurangkan kadar kesilapan kami sebanyak 30%.
Diulas oleh Encik Ethan Carter (Pembangun Backend)
Penyelesaian Service Mesh yang Kos-Efektif
Istio Service Mesh adalah penyelesaian yang kos-efektif, menjimatkan kami 20% dalam kos infrastruktur awan kami.
Diulas oleh Encik Ryan Edwards (Pengurus Kewangan)

Ada Soalan? Cari Jawapan Di Bawah!

Soalan-soalan yang paling kerap ditanya

Istio adalah service mesh sumber terbuka yang menyediakan cara seragam untuk mengamankan, menghubungkan, dan memantau mikroservis. Ia menawarkan keupayaan seperti pengurusan trafik, keselamatan, dan pemantauan, memudahkan pengurusan kerumitan seni bina mikroservis.
Istio membolehkan kawalan halus ke atas tingkah laku trafik dengan peraturan penghalaan yang kaya, cubaan semula, failover, dan suntikan kecacatan. Ini membantu dalam mengoptimumkan aliran trafik antara mikroservis, memastikan kebolehpercayaan dan ketahanan.
Istio menyediakan ciri-ciri keselamatan yang kukuh termasuk mutual TLS untuk pengesahan service-ke-service, kawalan akses berasaskan peranan, dan penguatkuasaan polisi. Ciri-ciri ini memastikan komunikasi antara perkhidmatan adalah selamat dan mematuhi polisi organisasi.
Ya, Istio boleh diintegrasikan dengan paip saluran CI/CD yang sedia ada untuk mengautomatikkan penyebaran dan memastikan penghantaran berterusan mikroservis. Integrasi ini membantu dalam mengekalkan kelincahan dan kelajuan kitaran pembangunan perisian.
Pembangunan Perisian
Pembangunan web
Aplikasi Mudah Alih
Odoo ERP
Perkhidmatan Kintone
Perkhidmatan DocuSign
Sains Data
Data & ETL Pipeline
Analitis Data Masa Nyata
Sains Data & AI
Pengujian & Penanda Aras
Automatik & Pengujian
Perkhidmatan AWS
Perkhidmatan microsoft
Perkhidmatan cloudflare
Keycloak
Reka Bentuk UX/UI
Reka Bentuk Laman Web
Mengenai Kami
Sejarah Standupcode
Anugerah
Portfolio
Dasar Privasi

[email protected]

StandUpCode

StandUpCode

Stand Up Code

Tel

+662-096-6567 (Pejabat)
+6681-670-5867 (Jualan)
+6688-040-6061 (Arm)
logo © Copyright 2022-2024 Standupcode
Bahasa Melayu