Istio怎么劫持了流量

Istio怎么劫持了流量

当我们使用istio的时候,有时候会思考Istio到底是怎么劫持了k8s集群的流量呢?
首先我们要明白k8s本身的流量是怎么流转的。举个例子,服务A通过服务B部署时注册的Service名称来填写调用地址,这个地址被翻译成一个域名,通过k8s中的私有DNS系统翻译成一个虚拟的ClusterIP,再通过部署在每一个节点上的Kube-proxy服务负载给Service对应的Pod。那使用Istio的部署会对k8s
原有的服务网格结构造成哪些影响呢?

Sidecar

Sidecar是与应用一起部署的,它代理一切出入应用的请求,并将其转发到正确的目的地。这样一来,复杂的分布式调用网络本身就对应用透明了。也许会有人对单独部署一个Sidecar进程的稳定性产生疑问,Sidecar的独特之处就在于每个应用本身都独立部署了一套进程,即使出问题也只影响一个或几个服务。

Sidecar的注入方式

Sidecar的部署支持自动注入与手动配置两种方式,手动注入需要对部署的yaml文件进行简单的修改即可。

istioctl kube-inject -f book-info.yml | kubectl apply -f -

自动注入目前需要k8s配合使用,只需将应用对应的Namespace设置一个label即可

kubectl label namespace default istio-injection=enabled

这样一来,服务一旦启动,Sidecar就会使用Kubernetes的Mutating Webhook Admission Controller扩展自动注入。
那么,Mutating Webhook Admission Controller是怎么自动注入的呢?为什么配置了自动注入的namespace就会在创建pod的时候创建Sidecar容器呢?

动态准入控制

Admission webhook是一种用于接收准入请求并对其进行处理的HTTP回调机制。可以定义两种类型的admission webhook,即 validating admission webhook 和 mutating admission webhook。 Mutating admission webhook 会先被调用。它们可以更改发送到 API 服务器的对象以执行自定义的设置默认值操作。在完成了所有对象修改并且 API 服务器也验证了所传入的对象之后,validating admission webhook 会被调用,并通过拒绝请求的方式来强制实施自定义的策略。这样,就回答了为什么配置自动注入后创建的pod就能自动创建Sidecar容器。
那么,Istio中的mutating admission webhook是怎么定义的呢?其实,要想使用admission webhook首先要定义 ValidatingWebhookConfiguration 或者 MutatingWebhookConfiguration 动态配置哪些资源要被哪些 admission webhook 处理。Istio中定义的MutatingWebhookConfiguration如下:

# Source: istio/charts/sidecarInjectorWebhook/templates/mutatingwebhook.yaml

apiVersion: admissionregistration.k8s.io/v1beta1
kind: MutatingWebhookConfiguration
metadata:
  name: istio-sidecar-injector
  labels:
    app: sidecarInjectorWebhook
    chart: sidecarInjectorWebhook
    heritage: Tiller
    release: istio
webhooks:
  - name: sidecar-injector.istio.io
    clientConfig:
      service:
        name: istio-sidecar-injector
        namespace: istio-system
        path: "/inject"
      caBundle: ""
    rules:
      - operations: [ "CREATE" ]
        apiGroups: [""]
        apiVersions: ["v1"]
        resources: ["pods"]
    failurePolicy: Fail
    namespaceSelector:
      matchLabels:
        istio-injection: enabled

创建一个 service 作为 webhook 服务器的前端,这里就是istio-sidecar-injector service。这个MutatingWebhookConfiguration很清晰,就是匹配带有istio-injection标签的namespace中的 CREATE POD 请求,匹配到之后按照clientConfig中制定的方向发送请求给istio-sidecar-injector service。
istio-sidecar-injector指定的是一个deployment,内容如下:

# Source: istio/charts/sidecarInjectorWebhook/templates/deployment.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  name: istio-sidecar-injector
  namespace: istio-system
  labels:
    app: sidecarInjectorWebhook
    chart: sidecarInjectorWebhook
    heritage: Tiller
    release: istio
    istio: sidecar-injector
spec:
  replicas: 1
  selector:
    matchLabels:
      istio: sidecar-injector
  strategy:
    rollingUpdate:
      maxSurge: 100%
      maxUnavailable: 25%
  template:
    metadata:
      labels:
        app: sidecarInjectorWebhook
        chart: sidecarInjectorWebhook
        heritage: Tiller
        release: istio
        istio: sidecar-injector
      annotations:
        sidecar.istio.io/inject: "false"
    spec:
      serviceAccountName: istio-sidecar-injector-service-account
      containers:
        - name: sidecar-injector-webhook
          image: "docker.io/istio/sidecar_injector:1.5.1"
          imagePullPolicy: IfNotPresent
          args:
            - --caCertFile=/etc/istio/certs/root-cert.pem
            - --tlsCertFile=/etc/istio/certs/cert-chain.pem
            - --tlsKeyFile=/etc/istio/certs/key.pem
            - --injectConfig=/etc/istio/inject/config
            - --meshConfig=/etc/istio/config/mesh
            - --healthCheckInterval=2s
            - --healthCheckFile=/tmp/health
            - --reconcileWebhookConfig=true
          volumeMounts:
          - name: config-volume
            mountPath: /etc/istio/config
            readOnly: true
          - name: certs
            mountPath: /etc/istio/certs
            readOnly: true
          - name: inject-config
            mountPath: /etc/istio/inject
            readOnly: true
          livenessProbe:
            exec:
              command:
                - /usr/local/bin/sidecar-injector
                - probe
                - --probe-path=/tmp/health
                - --interval=4s
            initialDelaySeconds: 4
            periodSeconds: 4
          readinessProbe:
            exec:
              command:
                - /usr/local/bin/sidecar-injector
                - probe
                - --probe-path=/tmp/health
                - --interval=4s
            initialDelaySeconds: 4
            periodSeconds: 4
          resources:
            requests:
              cpu: 10m
            
      volumes:
      - name: config-volume
        configMap:
          name: istio
      - name: certs
        secret:
          secretName: istio.istio-sidecar-injector-service-account
      - name: inject-config
        configMap:
          name: istio-sidecar-injector
          items:
          - key: config
            path: config
          - key: values
            path: values
      affinity:      
        nodeAffinity:
          requiredDuringSchedulingIgnoredDuringExecution:
            nodeSelectorTerms:
            - matchExpressions:
              - key: beta.kubernetes.io/arch
                operator: In
                values:
                - "amd64"
                - "ppc64le"
                - "s390x"
          preferredDuringSchedulingIgnoredDuringExecution:
          - weight: 2
            preference:
              matchExpressions:
              - key: beta.kubernetes.io/arch
                operator: In
                values:
                - "amd64"
          - weight: 2
            preference:
              matchExpressions:
              - key: beta.kubernetes.io/arch
                operator: In
                values:
                - "ppc64le"
          - weight: 2
            preference:
              matchExpressions:
              - key: beta.kubernetes.io/arch
                operator: In
                values:
                - "s390x"   

这个Pod主要做的事我们通过现象来分析。

Pod中的三个容器

我们通过istio官方的demo我们可以发现,开启了自动注入后创建的review Pod中有三个容器,分别是:

  • k8s_reviews_revierws-v3
  • k8s_istio_proxy_reviews-v3
  • k8s_POD_reviews
    通过分析,第一个就是应用本身,第三个是kubernetes的pause容器,第二个容器就是istio系统中的Sidecar,并且进入容器我们也能看到里边运行的就是Envoy。这个容器是和Pod一一对应的,所以Sidecar是部署在Pod这个层级的,这一点很重要。

Sidecar是如何劫持流量的呢

我们发现了istio会给我们的每个Pod创建一个Sidecar容器,那么他是如何劫持流量的呢?
我们进入到这个容器后,执行ifconfig会惊奇发现,应用容器使用的IP地址与istio-proxy竟然是一样的。这说明应用容器与istio-proxy两个容器共享了网络。也就是说,istio在pod启动的时候使用自己的特殊pause容器istio-proxy替换掉了Kubernetes官方的pause,使得应用与istio-proxy处于同一个网络栈下。那最后的问题就是istio如何将应用的进出流量都重新定向到istio-proxy容器监听的端口。为了搞明白这个问题,我们可以手动注入Sidecar,来对比yaml文件的变化。主要变化是init container中多了一个proxy_init容器,查看它的Dockerfile文件可以发现,这个容器主要就是运行了一个脚本:

FROM ubuntu:xenial
RUN apt-get update && apt-get install -y \
    iproute2 \
    iptables \
 && rm -rf /var/lib/apt/lists/*
ADD istio-iptables.sh /usr/local/bin/
ENTRYPOINT ["/usr/local/bin/istio-iptables.sh"]

该脚本源码就不具体分析了,不过也能猜出大概。istio正是通过iptables以及iproute2这个工具对Linux网络流量配置了过滤规则来实现Sidecar的流量劫持,其执行的脚本正是istio-iptables这个脚本文件。

你可能感兴趣的:(kubernetes)