3.2. Red Hat OpenShift Service Mesh
安装 Service Mesh 包括安装 Elasticsearch 、Jaeger 、Kiali 和 Service Mesh Operators,创建和管理一个ServiceMeshControlPlane 资源 以部署 control plane,创建一个ServiceMeshMemberRoll 资源以指定与 Service Mesh 关联的命名空间。
在默认情况下,Mixer 的策略强制功能被禁用。您必须启用它才能运行策略任务。有关启用 Mixer 策略强制执行的步骤,请参阅更新 Mixer 策略强制执行。
从 Red Hat OpenShift Service Mesh 1.0 开始,多租户 control plane 安装是默认配置。
Service Mesh 文档使用 istio-system 作为示例项目,但您可以将服务网格部署到任何项目中。
先决条件
- 按照准备安装 Red Hat OpenShift Service Mesh 的过程进行操作。
-
具有
cluster-admin角色的帐户。
3.2.1. 从 OperatorHub 安装 Operator
Service Mesh 安装过程使用 OperatorHub 在 openshift-operators 项目内安装 ServiceMeshControlPlane 自定义资源。Red Hat OpenShift Service Mesh 定义并监控与部署、更新和删除 control plane 相关的 ServiceMeshControlPlane。
从 Red Hat OpenShift Service Mesh 1.1.2 开始,您必须安装 Elasticsearch Operator 、Jaeger Operator 和 Kiali Operator,然后才能安装 control plane。
3.2.1.1. 安装 Elasticsearch Operator
您必须为 Red Hat OpenShift Service Mesh Operator 安装 Elasticsearch Operator 以安装 control plane。
不要安装 Operators 的 Community 版本。不支持社区 Operator。
先决条件
- 访问 OpenShift Container Platform Web 控制台。
流程
- 登陆到 OpenShift Container Platform Web 控制台。
- 进入 Operators → OperatorHub。
- 在过滤器框中键入 Elasticsearch 以找到 Elasticsearch Operator。
- 点击 Elasticsearch Operator 显示有关 Operator 的信息。
- 点 Install.
-
在 Create Operator Subscription 页中选 All namespaces on the cluster (default)。这会在默认的
openshift-operators项目中安装 Operator ,并使其可以被集群中的所有项目使用。 - 在更新频道中,选择最新版本。
选择 Automatic 批准策略。
注意手动批准策略需要拥有适当凭证的用户批准 Operator 的安装和订阅过程。
- 点 Subscribe.
- Installed Operators 页会显示 Elasticsearch Operator 的安装进度。。
3.2.1.2. 安装 Jaeger Operator
您必须为 Red Hat OpenShift Service Mesh Operator 安装 Jaeger Operator 以安装 control plane。
不要安装 Operators 的 Community 版本。不支持社区 Operator。
先决条件
- 访问 OpenShift Container Platform Web 控制台。
- 必须安装 Elasticsearch Operator。
流程
- 登陆到 OpenShift Container Platform Web 控制台。
- 进入 Operators → OperatorHub。
- 在过滤器框中键入 Jaeger 来定位 Jaeger Operator。
- 点由红帽提供的 Jaeger Operator 来显示有关 Operator 的信息。
- 点 Install.
-
在 Create Operator Subscription 页中选 All namespaces on the cluster (default)。这会在默认的
openshift-operators项目中安装 Operator ,并使其可以被集群中的所有项目使用。 - 选择 stable 更新频道。
选择 Automatic 批准策略。
注意手动批准策略需要拥有适当凭证的用户批准 Operator 的安装和订阅过程。
- 点 Subscribe.
- Installed Operators 页会显示 Jaeger Operator 的安装进度。
3.2.1.3. 安装 Kiali Operator
必须为 Red Hat OpenShift Service Mesh Operator 安装 Kiali Operator 以安装 control plane。
不要安装 Operators 的 Community 版本。不支持社区 Operator。
先决条件
- 访问 OpenShift Container Platform Web 控制台。
流程
- 登陆到 OpenShift Container Platform Web 控制台。
- 进入 Operators → OperatorHub。
- 在过滤器框中键入 Kiali 来查找 Kiali Operator。
- 点由红帽提供的 Kiali Operator 来显示有关 Operator 的信息。
- 点 Install.
-
在 Create Operator Subscription 页中选 All namespaces on the cluster (default)。这会在默认的
openshift-operators项目中安装 Operator ,并使其可以被集群中的所有项目使用。 - 选择 stable 更新频道。
选择 Automatic 批准策略。
注意手动批准策略需要拥有适当凭证的用户批准 Operator 的安装和订阅过程。
- 点 Subscribe.
- Installed Operators 页会显示 Kiali Operator 的安装进度。
3.2.1.4. 安装 Red Hat OpenShift Service Mesh Operator
先决条件
- 访问 OpenShift Container Platform Web 控制台。
- 必须安装 Elasticsearch Operator。
- 必须安装 Jaeger Operator。
- 必须安装 Kiali Operator。
流程
- 登陆到 OpenShift Container Platform Web 控制台。
- 进入 Operators → OperatorHub。
- 在过滤器框中键入 Red Hat OpenShift Service Mesh 来查找 Red Hat OpenShift Service Mesh Operator。
- 点 Red Hat OpenShift Service Mesh Operator 来显示有关 Operator 的信息。
-
在 Create Operator Subscription 页中选 All namespaces on the cluster (default)。这会在默认的
openshift-operators项目中安装 Operator ,并使其可以被集群中的所有项目使用。 - 点 Install.
- 选择 stable 更新频道。
选择 Automatic 批准策略。
注意手动批准策略需要拥有适当凭证的用户批准 Operator 的安装和订阅过程。
- 点 Subscribe.
- Installed Operators 页会显示 Red Hat OpenShift Service Mesh Operator 的安装进度。
3.2.1.5. 部署 Red Hat OpenShift Service Mesh control plane
ServiceMeshControlPlane 资源定义要在安装过程中使用的配置。您可以部署红帽提供的默认配置,或者自定义 ServiceMeshControlPlane 文件以满足您的业务需求。
您可以使用 OpenShift Container Platform web 控制台或使用 oc 客户端工具从命令行部署 Service Mesh control plane。
3.2.1.5.1. 从 Web 控制台部署 control plane
按照以下步骤,使用 Web 控制台部署 Red Hat OpenShift Service Mesh control plane。
先决条件
- 必须安装 Red Hat OpenShift Service Mesh Operator。
- 查看有关如何自定义 Red Hat OpenShift Service Mesh 安装的说明。
-
具有
cluster-admin角色的帐户。
流程
-
以具有
cluster-admin角色的用户身份登录到 OpenShift Container Platform web 控制台。 创建一个名为
istio-system的项目。- 浏览至 Home → Project。
- 点击 Create Project。
-
在 Name 字段中输入
istio-system。 - 点击 Create。
- 导航到 Operators → Installed Operators。
-
如果需要,请在 Project 菜单中选择
istio-system。您可能需要等待一些时间,让 Operator 复制到新项目中。 点 Red Hat OpenShift Service Mesh Operator。在 Provided APIs 下,Operator 提供了创建两个资源类型的链接:
-
ServiceMeshControlPlane资源 -
ServiceMeshMemberRoll资源
-
- 在 Istio Service Mesh Control Plane 下点 Create ServiceMeshControlPlane。
在 Create Service Mesh Control Plane 页面中,根据需要修改默认
ServiceMeshControlPlane模板的 YAML。注意如需有关自定义 control plane 的更多信息,请参阅“自定义 Red Hat OpenShift Service Mesh 安装”。对于生产环境,您必须更改默认的 Jaeger 模板。
- 点 Create 来创建 control plane。Operator 根据您的配置参数创建 Pod、服务和 Service Mesh control plane 组件。
- 点 Istio Service Mesh Control Plane 标签页。
- 点新的 control plane 的名称。
- 点 Resources 标签页来查看由 Operator 创建并配置的 Red Hat OpenShift Service Mesh control plane 资源。
3.2.1.5.2. 通过 CLI 部署 control plane
按照以下步骤,使用命令行部署 Red Hat OpenShift Service Mesh control plane。
先决条件
- 必须安装 Red Hat OpenShift Service Mesh Operator。
- 查看有关如何自定义 Red Hat OpenShift Service Mesh 安装的说明。
-
具有
cluster-admin角色的帐户。 -
访问 OpenShift Container Platform 命令行界面 (CLI),通常称为
oc。
流程
以具有
cluster-admin角色的用户身份登录到 OpenShift Container Platform CLI。$ oc login https://{HOSTNAME}:6443创建一个名为
istio-system的项目。$ oc new-project istio-system
-
使用“自定义 Red Hat OpenShift Service Mesh 安装”中的完整示例,创建一个名为
istio-installation.yaml的ServiceMeshControlPlane文件。您可以根据需要自定义值来匹配您的用例。对于生产环境,您必须更改默认的 Jaeger 模板。 运行以下命令来部署 control plane:
$ oc create -n istio-system -f istio-installation.yaml
执行以下命令查看 control plane 安装的状态。
$ oc get smcp -n istio-system
当 READY 列为 true 时,安装已成功完成。
NAME READY basic-install True
在安装过程中运行以下命令来监控 Pod 的进度:
$ oc get pods -n istio-system -w
您应该看到类似如下的输出:
NAME READY STATUS RESTARTS AGE grafana-7bf5764d9d-2b2f6 2/2 Running 0 28h istio-citadel-576b9c5bbd-z84z4 1/1 Running 0 28h istio-egressgateway-5476bc4656-r4zdv 1/1 Running 0 28h istio-galley-7d57b47bb7-lqdxv 1/1 Running 0 28h istio-ingressgateway-dbb8f7f46-ct6n5 1/1 Running 0 28h istio-pilot-546bf69578-ccg5x 2/2 Running 0 28h istio-policy-77fd498655-7pvjw 2/2 Running 0 28h istio-sidecar-injector-df45bd899-ctxdt 1/1 Running 0 28h istio-telemetry-66f697d6d5-cj28l 2/2 Running 0 28h jaeger-896945cbc-7lqrr 2/2 Running 0 11h kiali-78d9c5b87c-snjzh 0/1 Running 0 22h prometheus-6dff867c97-gr2n5 2/2 Running 0 28h
对于多租户环境,Red Hat OpenShift Service Mesh 支持集群中有多个独立 control plane。您可以使用 ServiceMeshControlPlane 模板生成可重复使用的配置。如需更多信息,请参阅创建 control plane 模板。
3.2.1.6. 创建 Red Hat OpenShift Service Mesh member roll
ServiceMeshMemberRoll 列出了属于 control plane 的项目。只有 ServiceMeshMemberRoll 中列出的项目会受到 control plane 的影响。在将项目添加到特定 control plane 部署的 member roll 之前,项目不属于服务网格。
您必须在 ServiceMeshControlPlane 所在的同一个项目中创建一个名为 default 的 ServiceMeshMemberRoll 资源。
只有在 Service Mesh control plane 安装成功时才会更新成员项目。
3.2.1.6.1. 从 Web 控制台创建 member roll
按照此流程,使用 Web 控制台将一个或多个项目添加到 Service Mesh member roll 中。
先决条件
- 已安装并验证的 Red Hat OpenShift Service Mesh Operator。
-
安装的
ServiceMeshControlPlane的位置。 - 要添加到服务网格的现存项目列表。
流程
如果您还没有网格的项目,或者您从头开始,请创建一个项目。它必须与
istio-system不同。- 浏览至 Home → Project。
- 在 Name 字段中输入一个名称。
- 点击 Create。
- 登陆到 OpenShift Container Platform Web 控制台。
- 导航到 Operators → Installed Operators。
-
点 Project 菜单,然后从列表中选择部署了
ServiceMeshControlPlane的项目,如istio-system。 - 点 Red Hat OpenShift Service Mesh Operator。
- 点 All Instances 标签。
点 Create New,然后选择 Create Istio Service Mesh Member Roll。
注意Operator 完成复制资源的过程需要一定的时间,因此您可能需要刷新屏幕才能看到 Create Istio Service Mesh Member Roll 按钮。
-
在 Create Service Mesh Member Roll 页面中,修改 YAML 以添加项目作为成员。您可以添加多个项目,但每个项目只能属于一个
ServiceMeshMemberRoll资源。 - 点 Create 保存 Service Mesh Member Roll。
3.2.1.6.2. 通过 CLI 创建 member roll
按照此流程,从命令行将项目添加到 ServiceMeshMemberRoll。
先决条件
- 已安装并验证的 Red Hat OpenShift Service Mesh Operator。
-
安装的
ServiceMeshControlPlane的位置。 - 要添加到服务网格的项目列表。
-
访问 OpenShift Container Platform 命令行界面 (CLI),通常称
oc。
流程
登录 OpenShift Container Platform CLI。
$ oc login
在
ServiceMeshControlPlane资源所在的同一个项目中创建ServiceMeshMemberRoll资源,在本例中为istio-system。资源必须被命名为default。$ oc create -n istio-system -f servicemeshmemberroll-default.yaml
apiVersion: maistra.io/v1 kind: ServiceMeshMemberRoll metadata: name: default namespace: istio-system spec: members: # a list of projects joined into the service mesh - your-project-name - another-project-name-
修改默认 YAML 以添加您的项目作为
members。您可以添加多个项目,但每个项目只能属于一个ServiceMeshMemberRoll资源。
3.2.1.6.3. 创建 Red Hat OpenShift Service Mesh 成员
ServiceMeshMember 资源可由服务网格用户创建,即使这些用户没有权限直接将成员添加到 ServiceMeshMemberRoll 中。虽然项目管理员被自动授予在其项目中创建 ServiceMeshMember 资源的权限,但它们不能将其指向任何 ServiceMeshControlPlane,直到服务网格管理员显式授予服务网格访问权限。管理员可以通过授予 mesh-user 用户角色来授予用户对网格的访问权限,例如:
$ oc policy add-role-to-user -n <control-plane-namespace> --role-namespace <control-plane-namespace> mesh-user <user-name>.
管理员可修改 control plane 项目中的 mesh user 角色绑定,以指定授予访问权限的用户和组。ServiceMeshMember 会把项目添加到它所指代的 control plane 项目中的 ServiceMeshMemberRoll。
apiVersion: maistra.io/v1
kind: ServiceMeshMember
metadata:
name: default
spec:
controlPlaneRef:
namespace: control-plane-namespace
name: minimal-install
mesh-users 角色绑定在管理员创建 ServiceMeshControlPlane 资源后自动创建。管理员可使用以下命令为用户添加角色。
$ oc policy add-role-to-user
管理员也可以在创建 ServiceMeshControlPlane 资源前创建 mesh-user 角色绑定。例如,管理员可以在与 ServiceMeshControlPlane 资源相同的 oc apply 操作中创建它。
本例为 alice添加一个角色绑定:
apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: namespace: control-plane-namespace name: mesh-users roleRef: apiGroup: rbac.authorization.k8s.io kind: Role name: mesh-user subjects: - apiGroup: rbac.authorization.k8s.io kind: User name: alice
3.2.1.7. 为服务网格添加或删除项目
按照此流程,使用 Web 控制台修改现有 Service Mesh ServiceMeshMemberRoll 资源。
-
您可以添加多个项目,但每个项目只能属于一个
ServiceMeshMemberRoll资源。 -
当它对应的
ServiceMeshControlPlane资源被删除后,ServiceMeshMemberRoll资源也会被删除。
3.2.1.7.1. 从 web 控制台修改 member roll
先决条件
- 已安装并验证的 Red Hat OpenShift Service Mesh Operator。
-
现有
ServiceMeshMemberRoll资源 -
带有
ServiceMeshMemberRoll资源的项目名称 。 - 您要为网格添加或删除的项目的名称。
流程
- 登陆到 OpenShift Container Platform Web 控制台。
- 导航到 Operators → Installed Operators。
-
点 Project 菜单,然后从列表中选择部署了
ServiceMeshControlPlane的项目,如istio-system。 - 点 Red Hat OpenShift Service Mesh Operator。
- 点 Istio Service Mesh Member Roll 选项卡。
-
点
default链接。 - 点 YAML 标签。
-
修改 YAML 以添加或删除作为成员的项目。您可以添加多个项目,但每个项目只能属于一个
ServiceMeshMemberRoll资源。 - 点 Save。
- 点 Reload。
3.2.1.7.2. 通过 CLI 修改 member roll
按照此流程,使用命令行修改现有的 Service Mesh member roll。
先决条件
- 已安装并验证的 Red Hat OpenShift Service Mesh Operator。
-
现有
ServiceMeshMemberRoll资源 -
带有
ServiceMeshMemberRoll资源的项目名称 。 - 您要为网格添加或删除的项目的名称。
-
访问 OpenShift Container Platform 命令行界面 (CLI),通常称
oc。
流程
- 登录 OpenShift Container Platform CLI。
编辑
ServiceMeshMemberRoll资源。$ oc edit smmr -n <controlplane-namespace>
修改 YAML 以添加或删除作为成员的项目。您可以添加多个项目,但每个项目只能属于一个
ServiceMeshMemberRoll资源。apiVersion: maistra.io/v1 kind: ServiceMeshMemberRoll metadata: name: default namespace: istio-system spec: members: # a list of projects joined into the service mesh - your-project-name - another-project-name
3.2.1.8. 删除 Red Hat OpenShift Service Mesh member roll
ServiceMeshMemberRoll 资源会在与其关联的 ServiceMeshControlPlane 资源删除时自动删除。
3.2.2. 更新应用程序 pod
如果您在安装 Operators 时选择了 Automatic 批准策略 ,那么 Operator 会自动更新 control plane ,但不会更新您的应用程序。现有的应用程序将仍是网格的一部分并可以正常工作。应用程序管理员必须重启应用程序来升级 sidecar。
如果您的部署使用了自动 sidecar 注入功能,则可以通过添加或修改注解来更新部署中的 pod 模板。运行以下命令来重新部署 pod:
$ oc patch deployment/<deployment> -p '{"spec":{"template":{"metadata":{"annotations":{"kubectl.kubernetes.io/restartedAt": "'`date -Iseconds`'"}}}}}'如果您的部署没有使用自动 sidecar 注入功能,则必须通过修改在部署或 pod 中指定的 sidecar 容器镜像来手动更新 sidecar。
