openshift/origin工作记录（12）——Openshift3.11安装Istio

测试环境安装Istio进行学习，参考文档连接https://istio.io/zh/docs/setup/kubernetes/

测试环境：Openshift3.11+Centos7.5+Istio1.0.5

下载 Istio 发布包

Istio 会被安装到自己的 istio-system 命名空间，并且能够对所有其他命名空间的服务进行管理。

下载和自动解压缩

#  curl -L https://git.io/getLatestIstio | sh -

[root@master istio-1.0.5]# pwd
/root/istio/istio-1.0.5
[root@master istio-1.0.5]# ls
bin  install  istio.VERSION  LICENSE  README.md  samples  tools

安装目录中包含：

1. 在 install/ 目录中包含了 Kubernetes 安装所需的 .yaml 文件
2. samples/ 目录中是示例应用
3. istioctl 客户端文件保存在 bin/ 目录之中。istioctl 的功能是手工进行 Envoy Sidecar 的注入，以及对路由规则、策略的管理
4. istio.VERSION 配置文件

istioctl 客户端加入 PATH 环境变量

在/etc/profile最后追加：

export PATH=/root/istio/istio-1.0.5/bin:$PATH

[root@master istio-1.0.5]# . /etc/profile
[root@master istio-1.0.5]# istioctl version
Version: 1.0.5
GitRevision: c1707e45e71c75d74bf3a5dec8c7086f32f32fad
User: root@6f6ea1061f2b
Hub: docker.io/istio
GolangVersion: go1.10.4
BuildStatus: Clean

使用 Ansible 安装

• 如果使用 OpenShift，必须满足以下先决条件：

最低版本：3.9.0
oc 配置为可以访问集群
用户已登录到集群
用户在 OpenShift 上具有 cluster-admin 角色

• 缺省情况下，OpenShift 不允许容器使用 User ID（UID） 0 来运行。 下面的命令让 Istio 的 Service account 可以使用 UID 0 来运行容器：

$ oc adm policy add-scc-to-user anyuid -z istio-ingress-service-account -n istio-system
$ oc adm policy add-scc-to-user anyuid -z default -n istio-system
$ oc adm policy add-scc-to-user anyuid -z prometheus -n istio-system
$ oc adm policy add-scc-to-user anyuid -z istio-egressgateway-service-account -n istio-system
$ oc adm policy add-scc-to-user anyuid -z istio-citadel-service-account -n istio-system
$ oc adm policy add-scc-to-user anyuid -z istio-ingressgateway-service-account -n istio-system
$ oc adm policy add-scc-to-user anyuid -z istio-cleanup-old-ca-service-account -n istio-system
$ oc adm policy add-scc-to-user anyuid -z istio-mixer-post-install-account -n istio-system
$ oc adm policy add-scc-to-user anyuid -z istio-mixer-service-account -n istio-system
$ oc adm policy add-scc-to-user anyuid -z istio-pilot-service-account -n istio-system
$ oc adm policy add-scc-to-user anyuid -z istio-sidecar-injector-service-account -n istio-system
$ oc adm policy add-scc-to-user anyuid -z istio-galley-service-account -n istio-system

• Ansible playbook 的所有执行都必须在 Istio 的 install/kubernetes/ansible 路径中进行。

此 playbook 将在您的机器上下载并本地安装 Istio。
自定义安装可参考 https://istio.io/zh/docs/setup/kubernetes/ansible-install/
目前公开的选项有：

在 OpenShift 上部署默认配置的 Istio：

# ansible-playbook main.yml

确认安装

确保所有相应的pod都已被部署且所有的容器都已启动并正在运行：