一, 跨語言微服務框架 - Istio 簡紹和概念

微服務的概念已經在各大公司實踐開了，以Java爲表明的spring boot成爲了微服務的表明，K8S+Docker成爲了微服務運行的最佳環境，微服務的概念已經離咱們沒有那麼遙遠了。

固然微服務是複雜的，除了組件繁多還須要代碼作出不少改造才能享受到它帶來的優點，那麼有沒有一種方式能夠不須要太多代碼改動就可以在多種不一樣的開發語言中靈活使用呢?

基於服務網格Istio就誕生了,撥雲見日咱們今天就來一同窗習瞭解微服務和Istio相關的知識.

附上:

喵了個咪的博客:w-blog.cn

Istio官方地址:https://preliminary.istio.io/zh

Istio中文文檔:https://preliminary.istio.io/zh/docs/

PS : 此處基於當前最新istio版本1.0.3版本進行搭建和演示，不一樣的版本各類細節會有些許不一樣！

一. 微服務

在開始講解Istio以前咱們須要先了解微服務的概念，以及在微服務管理中經常須要使用到的一些列的組件：

• 服務註冊：服務提供方將本身調用地址註冊到服務註冊中心，讓服務調用方可以方便地找到本身。
• 服務發現：服務調用方從服務註冊中心找到本身須要調用的服務的地址。
• 負載均衡：服務提供方通常以多實例的形式提供服務，負載均衡功能可以讓服務調用方鏈接到合適的服務節點。而且，節點選擇的工做對服務調用方來講是透明的。
• 服務網關：服務網關是服務調用的惟一入口，能夠在這個組件是實現用戶鑑權、動態路由、灰度發佈、A/B 測試、負載限流等功能。
• 配置中心：將本地化的配置信息（properties, xml, yaml 等）註冊到配置中心，實現程序包在開發、測試、生產環境的無差異性，方便程序包的遷移。
• API 管理：以方便的形式編寫及更新 API 文檔，並以方便的形式供調用者查看和測試。
• 集成框架：微服務組件都以職責單一的程序包對外提供服務，集成框架以配置的形式將全部微服務組件（特別是管理端組件）集成到統一的界面框架下，讓用戶可以在統一的界面中使用系統。
• 分佈式事務：對於重要的業務，須要經過分佈式事務技術（TCC、高可用消息服務、最大努力通知）保證數據的一致性。
• 調用鏈：記錄完成一個業務邏輯時調用到的微服務，並將這種串行或並行的調用關係展現出來。在系統出錯時，能夠方便地找到出錯點。
• 支撐平臺：系統微服務化後，系統變得更加碎片化，系統的部署、運維、監控等都比單體架構更加複雜，那麼，就須要將大部分的工做自動化。如今，能夠經過 Docker 等工具來中和這些微服務架構帶來的弊端。 例如持續集成、藍綠髮布、健康檢查、性能健康等等。嚴重點，以咱們兩年的實踐經驗，能夠這麼說，若是沒有合適的支撐平臺或工具，就不要使用微服務架構。

微服務架構的優勢：

• 下降系統複雜度：每一個服務都比較簡單，只關注於一個業務功能。
• 鬆耦合：微服務架構方式是鬆耦合的，每一個微服務可由不一樣團隊獨立開發，互不影響。
• 跨語言：只要符合服務 API 契約，開發人員能夠自由選擇開發技術。這就意味着開發人員能夠採用新技術編寫或重構服務，因爲服務相對較小，因此這並不會對總體應用形成太大影響。
• 獨立部署：微服務架構可使每一個微服務獨立部署。開發人員無需協調對服務升級或更改的部署。這些更改能夠在測試經過後當即部署。因此微服務架構也使得 CI／CD 成爲可能。
• Docker 容器：和 Docker 容器結合的更好。
• DDD 領域驅動設計：和 DDD 的概念契合，結合開發會更好。

微服務架構的缺點：

• 微服務強調了服務大小，但實際上這並無一個統一的標準：業務邏輯應該按照什麼規則劃分爲微服務，這自己就是一個經驗工程。有些開發者主張 10-100 行代碼就應該創建一個微服務。雖然創建小型服務是微服務架構崇尚的，但要記住，微服務是達到目的的手段，而不是目標。微服務的目標是充分分解應用程序，以促進敏捷開發和持續集成部署。
• 微服務的分佈式特色帶來的複雜性：開發人員須要基於 RPC 或者消息實現微服務之間的調用和通訊，而這就使得服務之間的發現、服務調用鏈的跟蹤和質量問題變得的至關棘手。
• 分區的數據庫體系和分佈式事務：更新多個業務實體的業務交易至關廣泛，不一樣服務可能擁有不一樣的數據庫。CAP 原理的約束，使得咱們不得不放棄傳統的強一致性，而轉而追求最終一致性，這個對開發人員來講是一個挑戰。
• 測試挑戰：傳統的單體WEB應用只需測試單一的 REST API 便可，而對微服務進行測試，須要啓動它依賴的全部其餘服務。這種複雜性不可低估。
• 跨多個服務的更改：好比在傳統單體應用中，如有 A、B、C 三個服務須要更改，A 依賴 B，B 依賴 C。咱們只需更改相應的模塊，而後一次性部署便可。可是在微服務架構中，咱們須要仔細規劃和協調每一個服務的變動部署。咱們須要先更新 C，而後更新 B，最後更新 A。
• 部署複雜：微服務由不一樣的大量服務構成。每種服務可能擁有本身的配置、應用實例數量以及基礎服務地址。這裏就須要不一樣的配置、部署、擴展和監控組件。此外，咱們還須要服務發現機制，以便服務能夠發現與其通訊的其餘服務的地址。所以，成功部署微服務應用須要開發人員有更好地部署策略和高度自動化的水平。

總的來講（問題和挑戰）：API Gateway、服務間調用、服務發現、服務容錯、服務部署、數據調用以及測試。

二, 服務網格

第二點咱們須要瞭解的是服務網格，Istio 提供了一個完整的解決方案，經過爲整個服務網格提供行爲洞察和操做控制來知足微服務應用程序的多樣化需求，Service Mesh這個術語一般用於描述構成這些應用程序的微服務網絡以及應用之間的交互。

隨着規模和複雜性的增加，服務網格愈來愈難以理解和管理。它的需求包括服務發現、負載均衡、故障恢復、指標收集和監控以及一般更加複雜的運維需求，例如 A/B 測試、金絲雀發佈、限流、訪問控制和端到端認證等。

2017 年末，非侵入式的 Service Mesh 技術從萌芽到走向了成熟。若是用一句話來解釋什麼是 Service Mesh，能夠將它比做是應用程序或者說微服務間的 TCP/IP，負責服務之間的網絡調用、限流、熔斷和監控。對於編寫應用程序來講通常無須關心 TCP/IP 這一層（好比經過 HTTP 協議的 RESTful 應用），一樣使用 Service Mesh 也就無須關係服務之間的那些原來是經過應用程序或者其餘框架實現的事情，好比 Spring Cloud、OSS，如今只要交給 Service Mesh 就能夠了。

Service Mesh 的前因後果：

• 從最原始的主機之間直接使用網線相連
• 網絡層的出現
• 集成到應用程序內部的控制流
• 分解到應用程序外部的控制流
• 應用程序的中集成服務發現和斷路器
• 出現了專門用於服務發現和斷路器的軟件包/庫，如 Twitter 的 Finagle 和 Facebook 的 Proxygen，這時候仍是集成在應用程序內部
• 出現了專門用於服務發現和斷路器的開源軟件，如 Netflix OSS、Airbnb 的 synapse 和 nerve
• 最後做爲微服務的中間層 Service Mesh 出現

Service Mesh 有以下幾個特色：

• 應用程序間通信的中間層
• 輕量級網絡代理
• 應用程序無感知
• 解耦應用程序的重試/超時、監控、追蹤和服務發現

Service Mesh 架構圖：

關於微服務和服務網格的區別，個人一些理解：微服務更像是一個服務之間的生態，專一於服務治理等方面，而服務網格更專一於服務之間的通訊，以及和 DevOps 更好的結合。

三. Istio

最終萬衆期待的Istio誕生了，Istio於 2017 年 5 月 24 日首發布，由 Google、IBM 和 Lyft 聯合開發，就在前不久2018年8月份1.0正式版本已經發布，簡單一句概況就是Istio 容許您鏈接、保護、控制和觀測服務。

鏈接

• 智能控制服務之間的流量和 API 調用，進行一系列測試，並經過紅/黑部署逐步升級。

保護

• 經過託管身份驗證、受權和服務之間通訊加密自動保護您的服務。

控制

• 應用策略並確保其執行使得資源在消費者之間公平分配。

觀測

• 經過豐富的自動跟蹤、監控和記錄全部服務，瞭解正在發生的狀況。

PS: 如下內容來自官網文檔

Istio 服務網格邏輯上分爲數據平面和控制平面。

數據平面由一組以 sidecar 方式部署的智能代理（Envoy）組成。這些代理能夠調節和控制微服務及 Mixer 之間全部的網絡通訊。 控制平面負責管理和配置代理來路由流量。此外控制平面配置 Mixer 以實施策略和收集遙測數據。

下圖顯示了構成每一個面板的不一樣組件：

Envoy

Istio 使用 Envoy 代理的擴展版本，Envoy 是以 C++ 開發的高性能代理，用於調解服務網格中全部服務的全部入站和出站流量。Envoy 的許多內置功能被 istio 發揚光大，例如：

• 動態服務發現
• 負載均衡
• TLS 終止
• HTTP/2 & gRPC 代理
• 熔斷器
• 健康檢查、基於百分比流量拆分的灰度發佈
• 故障注入
• 豐富的度量指標

Envoy 被部署爲 sidecar，和對應服務在同一個 Kubernetes pod 中。這容許 Istio 將大量關於流量行爲的信號做爲屬性提取出來，而這些屬性又能夠在 Mixer 中用於執行策略決策，併發送給監控系統，以提供整個網格行爲的信息。

Sidecar 代理模型還能夠將 Istio 的功能添加到現有部署中，而無需從新構建或重寫代碼。能夠閱讀更多來了解爲何咱們在設計目標中選擇這種方式。

Mixer

Mixer 是一個獨立於平臺的組件，負責在服務網格上執行訪問控制和使用策略，並從 Envoy 代理和其餘服務收集遙測數據。代理提取請求級屬性，發送到 Mixer 進行評估。有關屬性提取和策略評估的更多信息，請參見 Mixer 配置。

Mixer 中包括一個靈活的插件模型，使其可以接入到各類主機環境和基礎設施後端，從這些細節中抽象出 Envoy 代理和 Istio 管理的服務。

Pilot

Pilot 爲 Envoy sidecar 提供服務發現功能，爲智能路由（例如 A/B 測試、金絲雀部署等）和彈性（超時、重試、熔斷器等）提供流量管理功能。它將控制流量行爲的高級路由規則轉換爲特定於 Envoy 的配置，並在運行時將它們傳播到 sidecar。

Pilot 將平臺特定的服務發現機制抽象化並將其合成爲符合 Envoy 數據平面 API 的任何 sidecar 均可以使用的標準格式。這種鬆散耦合使得 Istio 可以在多種環境下運行（例如，Kubernetes、Consul、Nomad），同時保持用於流量管理的相同操做界面。

Citadel

Citadel 經過內置身份和憑證管理能夠提供強大的服務間和最終用戶身份驗證。可用於升級服務網格中未加密的流量，併爲運維人員提供基於服務標識而不是網絡控制的強制執行策略的能力。從 0.5 版本開始，Istio 支持基於角色的訪問控制，以控制誰能夠訪問您的服務。

四. 服務監控鏈路監控

Istio結合了鏈路監控和服務監控,對於K8S狀態監控也天然而然也在其中

zipkin + jaeger 來對zipkin的數據進行更加友好的展現

.

PS : 須要實現鏈路監控須要代碼中作出基礎的適配

prometheus + grafana 來對prometheus獲取的數據進行展現監控報警配置