我的书签
添加书签
移除书签使用 Istio Operator 安装
除了手动在生产环境中安装、升级、和卸载 Istio,您还可以用 Istio Operator 管理安装。 这样做还能缓解管理不同 Istio 版本的负担。 您只需简单的更新 Operator 自定义资源(CR)即可, Operator 控制器将为您应用更改的相应配置。
当您用安装 Istio 时,底层使用的是和 Operator 安装相同的IstioOperator API。在这两种场景下,都会以架构验证配置,并执行同样的正确性检查。
使用 Operator 确实存在安全隐患: 这是因为当使用 命令时,操作运行于管理员用户的安全上下文中; 而使用 Operator 时,操作运行于集群内 pod 自己的安全上下文中。 为避免此漏洞,需要确保 Operator 自身部署的足够安全。
执行必要的平台安装。
检查 。
安装 istioctl 可执行程序。
安装
istioctl 命令可用于自动部署 Istio 操作符:
此命令运行 Operator 在 istio-operator 命名空间中创建以下资源:
- Operator 自定义资源定义(CRD)
- Operator 控制器的 deployment 对象
- 一个用来访问 Operator 指标的服务
- Istio Operator 运行必须的 RBAC 规则
您可以配置 Operator 控制器安装的命名空间、Operator 观测的命名空间、Istio 的镜像源和版本、以及更多。 例如,可以使用参数 --watchedNamespaces 指定一个或多个命名空间来观测:
$ istioctl operator init --watchedNamespaces=istio-namespace1,istio-namespace2
更多详细信息,请参阅 。
您也可以使用 Helm 部署 Operator:
创建
istio-operator命名空间.$ kubectl create namespace istio-operator
使用 Helm 安装 operator.
$ helm install istio-operator manifests/charts/istio-operator \--set watchedNamespaces="istio-namespace1\,istio-namespace2" \-n istio-operator
在 Istio 1.10.0 之前,需要在安装 operator 之前创建命名空间 istio-system。从 Istio 1.10.0 开始,istioctl operator init 将创建 istio-system 命名空间。
如果你使用的不是 istioctl operator init,那么 istio-system 命名空间需要手动创建。
使用 operator 安装 Istio
要使用 Operator 安装 Istio demo ,请运行以下命令:
$ kubectl apply -f - <<EOFapiVersion: install.istio.io/v1alpha1kind: IstioOperatormetadata:namespace: istio-systemname: example-istiocontrolplanespec:profile: demoEOF
控制器将检测 IstioOperator 资源,然后安装(demo)配置指定的 Istio 组件。
如果在初始化 Istio Operator 时使用了 --watchedNamespaces,请将 IstioOperator 资源应用于任一观测的命名空间中,而不是应用于 istio-system 中。
默认情况下,Istio 控制平面(istiod)将安装在 istio-system 命名空间中。要将其安装到其他命名空间,请使用 values.global.istioNamespace 字段,如下:
apiVersion: install.istio.io/v1alpha1kind: IstioOperatorspec:profile: demovalues:global:istioNamespace: istio-namespace1
Istio Operator 控制器在创建 资源的 90 秒内启动 Istio 的安装。 Istio 安装过程将在 120 秒内完成。
可以使用以下命令确认 Istio 控制平面服务是否成功:
$ kubectl get services -n istio-systemNAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGEistio-egressgateway ClusterIP 10.96.65.145 <none> ... 30sistio-ingressgateway LoadBalancer 10.96.189.244 192.168.11.156 ... 30sistiod ClusterIP 10.96.189.20 <none> ... 37s
现在,控制器已经运行起来,您可以通过编辑或替换 IstioOperator 来改变 Istio 配置。 控制器将检测到改变,继而用相应配置更新 Istio 的安装内容。
例如,使用以下命令将安装切换到 default 配置:
$ kubectl apply -f - <<EOFapiVersion: install.istio.io/v1alpha1kind: IstioOperatormetadata:namespace: istio-systemname: example-istiocontrolplanespec:profile: defaultEOF
您还可以启用或禁用组件、修改资源设置。 例如,启用 istio-egressgateway 组件并增加 pilot 的内存要求:
$ kubectl apply -f - <<EOFapiVersion: install.istio.io/v1alpha1kind: IstioOperatormetadata:namespace: istio-systemname: example-istiocontrolplanespec:profile: defaultcomponents:pilot:k8s:resources:requests:memory: 3072Mi- name: istio-egressgatewayenabled: trueEOF
通过检查 Operator 控制器日志,您可以检测到控制器为了响应 IstioOperator CR 的更新,而在集群中所做的改变:
$ kubectl logs -f -n istio-operator $(kubectl get pods -n istio-operator -lname=istio-operator -o jsonpath='{.items[0].metadata.name}')
参阅 获取完整的配置设置。
就地升级
$ <extracted-dir>/bin/istioctl operator init
您会看到 的 Pod 已重新启动,其版本已更改到目标版本:
$ kubectl logs -f -n istio-operator "$(kubectl get pods -n istio-operator -lname=istio-operator -o jsonpath='{.items[0].metadata.name}')"
经过一两分钟后,Istio 控制平面组件也会重新启动为新版本:
$ kubectl get pods --namespace istio-system \-o=jsonpath='{range .items[*]}{"\n"}{.metadata.name}{":\t"}{range .spec.containers[*]}{.image}{", "}{end}{"\n"}{end}'
金丝雀升级的过程类似于 istioctl 版本的金丝雀升级。
例如,要升级上一节中安装的 Istio 修订版本,首先验证群集中名为 example-istiocontrolplane 的 IstioOperator CR 是否存在:
下载并提取希望升级到的 Istio 版本对应的 istioctl。 然后,运行以下命令,基于集群内的 IstioOperator CR 的方式,安装 Istio 目标版本的控制平面 (这里,我们假设目标修订版本为 1.8.1):
$ istio-1.8.1/bin/istioctl operator init --revision 1-8-1
您也可以通过 Helm 用不同的修订设置部署另一个 Operator:
$ helm install istio-operator manifests/charts/istio-operator \--set hub=docker.io/istio \--set tag=1.16.0 \--set operatorNamespace=istio-operator \--set watchedNamespaces=istio-system \--set revision=1-7-0
注意:您需要来运行上面的命令。
复制 example-istiocontrolplane CR 并将其另存为 example-istiocontrolplane-1-8-1.yaml 文件。 在 CR 中修改该文件的名称为 example-istiocontrolplane-1-8-1,并添加 revision: 1-8-1。 更新后的 IstioOperator CR 如下所示:
$ cat example-istiocontrolplane-1-8-1.yamlapiVersion: install.istio.io/v1alpha1kind: IstioOperatormetadata:namespace: istio-systemname: example-istiocontrolplane-1-8-1spec:revision: 1-8-1profile: demo
运行该命令后,您将看到两组并排运行的控制平面 Deployments 和 Services:
$ kubectl get pods -n istio-system -l app=istiodNAME READY STATUS RESTARTS AGEistiod-5f4f9dd5fc-4xc8p 1/1 Running 0 10mistiod-1-8-1-55887f699c-t8bh8 1/1 Running 0 8m13s
$ kubectl get services -n istio-system -l app=istiodNAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGEistiod ClusterIP 10.87.7.69 <none> 15010/TCP,15012/TCP,443/TCP,15014/TCP,853/TCP 10mistiod-1-8-1 ClusterIP 10.87.4.92 <none> 15010/TCP,15012/TCP,443/TCP,15014/TCP,853/TCP 7m55s
要完成升级,请给工作负载的命名空间打这个标签:istio.io/rev=1-8-1,并重新启动工作负载,就如 数据平面升级 文档的描述。
卸载
如果您使用 Operator 完成了控制平面的金丝雀升级,请运行以下命令卸载旧版本的控件平面,并保留新版本:
$ kubectl delete istiooperators.install.istio.io -n istio-system example-istiocontrolplane
等到 Istio 卸载完成 - 这可能需要一些时间。 然后删除 Istio Operator:
如果省略 revision 标志,则 Istio Operator 的所有修订版本都将被删除。
$ kubectl delete ns istio-system --grace-period=0 --force
