sidecar

这个task展示Istio Mutual TLS如何同HTTPS服务一起工作。它包括： 部署一个没有Istio sidecar的HTTPS服务。 部署一个不开启互相TLS认证的Istio HTTPS服务 部署一个开启互相TLS认证的HTTPS服务。对每个部署，连接此服务并验证它是否工作。 当Istio sidecar采用HTTPS服务部署时，代理自动从L7降级为L4（无论是否启用互相TLS），这意味着它不会终止原始HTTPS流量。这就是Istio可以使用HTTPS服务的原因。 Before you begin 按照 quick start 的步骤安装Istio。注意在第五步禁用身份验证。 Generate certificates and configmap 你需要运行这个命令安装openssl： openssl req -x509 -nodes -days 365 -newkey rsa: 2048 -keyout /tmp/nginx . key -out /tmp/nginx . crt -subj "/CN=my-nginx/O=my-nginx" kubectl create secret tls nginxsecret -- key /tmp/nginx . key -- cert /tmp/nginx . crt secret “nginxsecret”

Control Egress Traffic task 演示了在服务网格内的应用如何访问外部（k8s集群外）的HTTP和HTTPS服务。快速提醒：默认情况下，启用Istio的应用不能访问集群外部的URL。为了启用这种访问，必须定义 ServiceEntry ，或者必须经过配置 direct access to external services （直接访问外部服务）。 TLS Origination for Egress Traffic task示范了如何允许应用在外部服务需要HTTPS的时候发送HTTP请求。 这个task展示如何配置Istio以通过被称为 Egress Gateway 的专用服务来引导egress流量。我们实现了与TLS Origination for Egress Traffic task中相同的功能，只是这次我们通过增加egress gateway来完成。 Use case 考虑一个组织有严格的安全需求。根据这些需求，离开服务网格的所有流量必须流经一组专用节点。这些节点将运行在专用机器上，与用于在集群中运行应用的其余节点分开运行。特殊节点将用于出口流量的策略执行，并且将比其他节点更加彻底地进行监控。 Istio 0.8引入了ingress和egress网关地概念（ ingress and egress gateways ）

8.1 Service Mesh 概述 　　 新兴的下一代微服务架构，被称为下一代微服务，同时也是云原生技术栈的代表技术之一。 　　8.1.1 Service Mesh的由来 　　　　 从2016年到2018年，service mesh经历了从无到有的过程 　　8.1.2 Service Mesh的定义 　　　　 服务网格是一个基础设施层，用于处理服务间通信。现代云原生应用有着复杂的服务拓扑结构，服务网格负责在这些拓扑结构中实现请求的可靠传递。实践中，服务网格通常被实现为一组轻量级网络代理，它们与应用程序部署在一起，对应用程序透明。 　　8.1.3 Service Mesh详解 单个服务调用：应用实例和Service mesh 代理实例是两个独立的进程，它们之间的通信时远程调用，而不是代码层面的方法调用。客户端的请求会先到Service Mesh代理实例，代理实例表现为Sidecar,完成服务发现、负载均衡等基本功能，熔断、限流、重试等容错功能，路由功能，以及认证、授权、加密等，最后将请求发送给应用服务。 多个服务调用：Service mesh负责所有服务间请求转发，服务只负责发送和处理请求，不必再负责传递请求的具体逻辑。 大量服务调用：当系统存在大量服务时，服务间调用关系表现为网状。Sidecar之间的服务调用关系形成一个网络，这就是Service Mesh(服务网格)名字的由来

官方文档： https://www.consul.io/docs/connect/index.html#getting-started-with-connect consul connect的功能类似与envoy，作为一个sidecar，用于实现service mesh，按我的理解，所谓的service mesh其实就是通过服务注册和服务发现，以及sidecar，屏蔽调用服务的ip和端口，仅仅通过服务名即可相互调用，同时由于sidecar的存在，还可以在sidecar这一层增加对服务的鉴权、流量控制等功能。 其实最终又归为计算机界的那句名言，任何都可以通过增加一层来解决，这里的这一层就是sidecar。 来源: https://www.cnblogs.com/lit10050528/p/11330284.html

SpringCloud提供了一个组件Sidecar，可以将非Java的微服务整合到SpringCloud中，本质就是建立一个Sidecar工程作为代理，Sidecar工程注册到Eureka服务，同时Sidecar工程调用非Java微服务的Http接口。 吐槽：看了很多博客，都是举得一个Python微服务的例子，如果Python只有一个服务，而不是分布式的服务，直接通过Rest调用就完了，何必还要用Sidecar代理一下，绕了一圈，SpringCloud的初衷就是为了治理分布式应用，实际上是用不上SpringCloud的。 言归正传，如果是分布式的话，思路也很简单，以Python为例，为每一个Python微服务副本都启动一个Sidecar应用即可，需要注意的一点，Sidecar应用必须和Python微服务运行在同一个IP。 非Java微服务有一个条件，必须提供一个用于SpringCloud检查其状态的接口，这个接口需要返回 {“status”:“UP”} 固定返回值，配置完毕后，Python微服务就可以像Java Eureka客户端一样调用，并且也是客户端的负载均衡。 对于Python调用Java微服务： 来源：博客园 作者： Jong_L 链接：https://www.cnblogs.com/lishaojun/p/11485418.html

▲扫码报名活动 数人云11月Meetup报名开启，看中西方大神如何论道云原生与微服务！本文作者敖小剑老师将在本次Meetup上继续分享Service Mesh相关内容，欢迎报名~ 数人云 之前给大家分享过敖小剑老师的《万字解读:Service Mesh服务网格新生代--Istio》，详细地阐述了发展及理念，在Qcon2017上，敖小剑老师又做了关于Service Mesh的演讲，以下是本次演讲的实录。 敖小剑/数人云资深架构师 十五年软件开发经验，微服务专家，专注于基础架构，Cloud Native拥护者，敏捷实践者。曾在亚信，爱立信，唯品会和ppmoney任职。 简单回顾一下过去三年微服务的发展历程。在过去三年当中，微服务成为我们的业界技术热点，我们看到大量的互联网公司都在做微服务架构的落地。也有很多传统企业在做互联网技术转型，基本上还是以微服务和容器为核心。 在这个技术转型中，我们发现有一个大的趋势，伴随着微服务的大潮，Spring Cloud微服务开发框架非常普及。而今天讲的内容在Spring Cloud之外，我们发现最近新一代的微服务开发技术正在悄然兴起，就是今天要给大家带来的Service Mesh/服务网格。 我做一个小的调查，今天在座的各位，有没有之前了解过服务网格的，请举手。（备注：调查结果，现场数百人仅有3个人举手） 既然大家都不了解，那我给大家介绍，首先

准备 Java $ sudo yum install java - 1.8 .0 -openjdk -headless . x86_64 安装MongoDB $ sudo vim /etc/yum .repos .d /mongodb-org- 3.2 .repo 添加如下内容： [mongodb-org-3.2] name= MongoDB Repository baseurl= https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/ 3.2 /x86_64/ gpgcheck= 1 enabled= 1 gpgkey= https://www.mongodb.org/static/pgp/server- 3.2 .asc 保存文件并退出编辑。 执行命令： $ sudo yum install mongodb-org 启动服务： $ sudo chkconfig --add mongod $ sudo systemctl daemon-reload $ sudo systemctl enable mongod.service $ sudo systemctl start mongod.service 安装Elasticsearch $ sudo rpm --import https: / /artifacts

graylog可以收集操作系统日志，包括linux，windows，macos等。在linux上配置使用rsyslog服务，比较容易，在windows 配置比较复杂。 参考官方配置手册http://docs.graylog.org/en/latest/pages/sidecar.html#windows 一 、linux主机日志收集 公司很多的虚拟机都是centos7的操作系统，带有rsyslog服务，可以使用syslog协议将系统日志发送到graylog上进行收集，可以指定端口。 必须注意的是， 很多linux发行版的非root用户是无法使用1024以下的端口的，这些被称为特权端口。本次使用udp1515端口收集。 使用rsyslog转发syslog消息很容易。充分利用日志的唯一重要事项是遵循 RFC 5424。按照如下示例配置您的rsyslog守护程序将RFC 5424日期发送到Graylog syslog输入： touch /etc/rsyslog.d/greylog.conf #创建rsyslog额外配置文件 cat << EOF > /etc/rsyslog.d/greylog.conf #编辑配置文件 *.* @192.168.99.40:1515;RSYSLOG_SyslogProtocol23Format #*.* 代表linux中所有模块所有级别的日志，

8.1 Service Mesh 概述 　　 新兴的下一代微服务架构，被称为下一代微服务，同时也是云原生技术栈的代表技术之一。 　　8.1.1 Service Mesh的由来 　　　　 从2016年到2018年，service mesh经历了从无到有的过程 　　8.1.2 Service Mesh的定义 　　　　 服务网格是一个基础设施层，用于处理服务间通信。现代云原生应用有着复杂的服务拓扑结构，服务网格负责在这些拓扑结构中实现请求的可靠传递。实践中，服务网格通常被实现为一组轻量级网络代理，它们与应用程序部署在一起，对应用程序透明。 　　8.1.3 Service Mesh详解 单个服务调用：应用实例和Service mesh 代理实例是两个独立的进程，它们之间的通信时远程调用，而不是代码层面的方法调用。客户端的请求会先到Service Mesh代理实例，代理实例表现为Sidecar,完成服务发现、负载均衡等基本功能，熔断、限流、重试等容错功能，路由功能，以及认证、授权、加密等，最后将请求发送给应用服务。 多个服务调用：Service mesh负责所有服务间请求转发，服务只负责发送和处理请求，不必再负责传递请求的具体逻辑。 大量服务调用：当系统存在大量服务时，服务间调用关系表现为网状。Sidecar之间的服务调用关系形成一个网络，这就是Service Mesh(服务网格)名字的由来

本文来自lstio的中文社区： https://istio.cn/t/topic/18 我最近没有多少时间去玩k8s，并承认Istio到底给k8s带来了什么方面有点迷失了。这是否会增加更多的运营开销？它是否简化了我们通常需要做的事情？这些问题都浮现在我的脑海里。 （我怀疑在发布了这些内容之后，我的团队中比我更懂k8s的人可能会想找我谈谈……虽然我讲会跟团队中的成员辩论，但那将是我最喜欢的对话） 那么Istio究竟是什么？ Istio网站 4上说： Istio带给你： HTTP、gRPC、WebSocket和TCP流量的自动负载均衡。 通过丰富的路由规则、重试、故障转移和故障注入对流量行为进行细粒度控制。 支持访问控制、速率限制和配额的可拔插策略层和配置API。 自动指标、日志和集群内所有流量的跟踪，包括集群入口和出口。 通过集群中的服务之间的强身份断言来实现服务间的身份验证。 通过在整个环境中部署一个特殊的sidecar代理（辅助容器），您可以将Istio支持添加到服务中（这给我留下了深刻的印象，如果您想做到这一点，请参阅后面的内容）。安装了sidecar代理之后，（微）服务之间的所有网络通信都通过这个代理。此外，所有的网络通信都是使用Istio的控制平面功能进行配置和管理的。 Istio是 Service Mesh（服务网格） 。我认为的service mesh定义就是