使用 Istioctl 安装

请按照本指南安装和配置 Istio 网格,以进行深入评估或用于生产。 如果您刚接触 Istio 或者只是要简单试用,请参考开始文档进行操作。

本指南使用可以高度自定义 Istio 控制平面和数据平面的 istioctl 命令行工具。 该命令行工具具有用户输入校验功能,可以防止错误的安装和自定义选项。

使用这些命令说明,您可以选择 Istio 的任何内置配置文件然后 根据您的特定需求进一步自定义配置。

前提条件

开始之前,请检查以下前提条件:

  1. 下载 Istio 发行版本
  2. 执行任何必要的特定于平台的设置
  3. 检查 Pods 和 Services 的要求

使用默认配置文件安装 Istio

最简单的选择是安装 default Istio 配置文件使用以下命令:

$ istioctl manifest apply

此命令将在您配置的 Kubernetes 集群上安装 default 配置文件。 default 配置文件建立生产环境的良好起点,这与旨在评估广泛的 Istio 功能特性的较大的 demo 配置文件不同。

如果要在 default 配置文件之上启用 Grafana dashboard,用下面的命令设置 addonComponents.grafana.enabled 配置参数:

$ istioctl manifest apply --set addonComponents.grafana.enabled=true

通常,您可以像使用 helm 一样在 istioctl 中配置 --set 标志。 唯一的区别是必须为配置路径增加 values. 前缀,因为这是 Helm 透传 API 的路径,如下所述。

从外部 Chart 安装

通常,istioctl 使用内置 Chart 生成安装清单。这些 Chart 与 istioctl 一起发布,用于审核和自定义,它们 放置在 install/kubernetes/operator/charts 目录下。 除了使用内置 Chart 外,istioctl 还可以使用外部 Chart 生成安装清单。要选择外部 Chart ,请配置 installPackagePath 参数(接收本地文件系统路径):

$ istioctl manifest apply --set installPackagePath=< base directory where installed >/istio-releases/istio-1.6.7/install/kubernetes/operator/charts

如果使用 istioctl 1.6.7 二进制文件,该命令执行结果与通过 istioctl manifest apply 安装相同,因为它指向的 Chart 与内置 Chart 相同。 除了试验或测试新特性之外,我们建议使用内置 Chart 而不是外部提供,以确保 istioctl 二进制文件与 Chart 的兼容性。

安装其他配置文件

可以通过在命令行上设置配置文件名称安装其他 Istio 配置文件到群集中。 例如,可以使用以下命令,安装 demo 配置文件:

$ istioctl manifest apply --set profile=demo

显示可用配置文件的列表

您可以使用以下 istioctl 命令来列出 Istio 配置文件名称:

$ istioctl profile list
Istio configuration profiles:
    remote
    separate
    default
    demo
    empty
    minimal

显示配置文件的配置

您可以查看配置文件的配置设置。例如,通过以下命令查看 default 配置文件的设置:

$ istioctl profile dump demo
addonComponents:
  grafana:
    enabled: true
  kiali:
    enabled: true
  prometheus:
    enabled: true
  tracing:
    enabled: true
components:
  egressGateways:
  - enabled: true
    k8s:
      resources:
        requests:
          cpu: 10m
          memory: 40Mi
    name: istio-egressgateway

...

要查看整个配置的子集,可以使用 --config-path 标志,该标志仅选择部分给定路径下的配置:

$ istioctl profile dump --config-path components.pilot demo
enabled: true
k8s:
  env:
  - name: POD_NAME
    valueFrom:
      fieldRef:
        apiVersion: v1
        fieldPath: metadata.name
  - name: POD_NAMESPACE
    valueFrom:
      fieldRef:
        apiVersion: v1
        fieldPath: metadata.namespace
  - name: GODEBUG
    value: gctrace=1
  - name: PILOT_TRACE_SAMPLING
    value: "100"
  - name: CONFIG_NAMESPACE
    value: istio-config
...

显示配置文件中的差异

profile diff 子命令可用于显示配置文件之间的差异,在将更改应用于集群之前,这对于检查自定义的效果很有用。

您可以使用以下命令显示 default 和 demo 配置文件之间的差异:

$ istioctl profile diff default demo
 gateways:
   egressGateways:
-  - enabled: false
+  - enabled: true
...
     k8s:
        requests:
-          cpu: 100m
-          memory: 128Mi
+          cpu: 10m
+          memory: 40Mi
       strategy:
...

安装前生成清单

您可以在安装 Istio 之前使用 manifest generate 子命令生成清单,而不是 manifest apply。 例如,使用以下命令为 default 配置文件生成清单:

$ istioctl manifest generate > $HOME/generated-manifest.yaml

根据需要检查清单,然后使用以下命令应用清单:

$ kubectl apply -f $HOME/generated-manifest.yaml

显示清单差异

您可以使用以下命令显示默认配置文件和自定义安装之间生成的清单中的差异:

$ istioctl manifest generate > 1.yaml
$ istioctl manifest generate -f samples/operator/pilot-k8s.yaml > 2.yaml
$ istioctl manifest diff 1.yam1 2.yaml
Differences of manifests are:

Object Deployment:istio-system:istio-pilot has diffs:

spec:
  template:
    spec:
      containers:
        '[0]':
          resources:
            requests:
              cpu: 500m -> 1000m
              memory: 2048Mi -> 4096Mi
      nodeSelector: -> map[master:true]
      tolerations: -> [map[effect:NoSchedule key:dedicated operator:Exists] map[key:CriticalAddonsOnly
        operator:Exists]]


Object HorizontalPodAutoscaler:istio-system:istio-pilot has diffs:

spec:
  maxReplicas: 5 -> 10
  minReplicas: 1 -> 2

验证安装成功

您可以使用 verify-install 命令检查 Istio 安装是否成功,它将集群上的安装与您指定的清单进行比较。

如果未在部署之前生成清单,请运行以下命令以现在生成它:

$ istioctl manifest generate <your original installation options> > $HOME/generated-manifest.yaml

然后运行以下 verify-install 命令以查看安装是否成功:

$ istioctl verify-install -f $HOME/generated-manifest.yaml

定制配置

除了安装 Istio 的任何内置组件配置文件istioctl manifest 提供了用于自定义配置的完整 API。

可以使用命令上的 --set 选项分别设置此 API 中的配置参数。例如,要在 default 配置文件之上启用控制面安全特性,请使用以下命令:

$ istioctl manifest apply --set values.global.controlPlaneSecurityEnabled=true

或者,可以在 YAML 文件中指定 IstioOperator 配置,并使用 -f 选项将其传给 istioctl

$ istioctl manifest apply -f samples/operator/pilot-k8s.yaml

标识 Istio 功能或组件

IstioOperator API 定义的 components 如下表所示:

Components
base
pilot
proxy
sidecarInjector
telemetry
policy
citadel
nodeagent
galley
ingressGateways
egressGateways
cni

除了核心的 Istio 组件之外,还提供了第三方附加功能和组件。它们可以通过配置 IstioOperator API 的 addonComponents spec,或者使用 Helm 透传 API 来启动。

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  addonComponents:
    grafana:
      enabled: true
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  values:
    grafana:
      enabled: true

配置功能或组件设置

从上表中识别功能部件或组件的名称后,可以使用 API 设置值 使用 --set 标志,或创建一个覆盖文件并使用 --filename 标志。 --set 标志自定义一些参数的效果很好。 覆盖文件旨在进行更广泛的自定义,或者跟踪配置更改。

最简单的自定义是从配置配置文件默认值打开或关闭功能或组件。

要在默认配置配置文件中禁用遥测功能,请使用以下命令:

$ istioctl manifest apply --set components.telemetry.enabled=false

或者,您可以使用配置覆盖文件禁用遥测功能:

  1. 创建一个文件 telemetry_off.yaml 文件并且写入以下内容:
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  components:
    telemetry:
      enabled: false
  1. telemetry_off.yaml 覆盖文件与 manifest apply 命令一起使用:
$ istioctl manifest apply -f telemetry_off.yaml

另一个定制是为功能部件和组件选择不同的命名空间。 以下是一个定制命名空间的例子:

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  namespace: istio-system
spec:
  components:
    citadel:
      namespace: istio-citadel

安装此文件将应用默认配置文件,并将组件安装到以下命名空间中:

  • Citadel 组件 将被安装到 istio-citadel 命名空间
  • 剩余的 Istio 组件安装到 istio-system 命名空间

自定义 Kubernetes 设置

IstioOperator API 允许以一致的方式自定义每个组件的 Kubernetes 设置。

每一个组件都有一个允许修改配置的 KubernetesResourceSpec,使用此列表来标识要自定义的设置:

  1. Resources
  2. Readiness probes
  3. Replica count
  4. HorizontalPodAutoscaler
  5. PodDisruptionBudget
  6. Pod annotations
  7. Service annotations
  8. ImagePullPolicy
  9. Priority class name
  10. Node selector
  11. Affinity and anti-affinity
  12. Service
  13. Toleration
  14. Strategy
  15. Env

所有这些 Kubernetes 设置都使用 Kubernetes API 定义,因此 Kubernetes 文档可以用作参考。

以下示例覆盖文件调整了 Pilot 的 resource 和 pod 水平自动伸缩的设置:

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  components:
    pilot:
      k8s:
        resources:
          requests:
            cpu: 1000m # override from default 500m
            memory: 4096Mi # ... default 2048Mi
        hpaSpec:
          maxReplicas: 10 # ... default 5
          minReplicas: 2  # ... default 1
        nodeSelector:
          master: "true"
        tolerations:
        - key: dedicated
          operator: Exists
          effect: NoSchedule
        - key: CriticalAddonsOnly
          operator: Exists

使用 manifest apply 将修改后的设置应用于集群:

$ istioctl manifest apply -f samples/operator/pilot-k8s.yaml

使用 Helm API 自定义 Istio 设置

IstioOperator API 使用 values 字段直接调用 Helm API 的接口对字段进行设值。

下面的 YAML 文件可以通过 Helm API 配置全局和 Pilot 配置:

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  values:
    pilot:
      traceSampling: 0.1 # override from 1.0
    global:
      monitoringPort: 15050

一些参数将在 Helm 和 IstioOperator API 中暂时存在,包括 Kubernetes 资源, 命名空间和启用设置。Istio 社区建议使用 IstioOperator API,因为它更专一,经过验证并遵循社区毕业流程

卸载 Istio

可以使用以下命令来卸载 Istio:

$ istioctl manifest generate <your original installation options> | kubectl delete -f -
这些信息有用吗?
Do you have any suggestions for improvement?

Thanks for your feedback!