微服務架構已經成為現代應用的主流,也因為服務越來越多樣,管理不同服務之間通訊、流量治理、安全控管、可觀測性等,都變得複雜。 為了讓開發者關注在自身程式,由 Service Mesh 負責監控正是他被設計出來的目的。 而在 Kubernetes 與 OpenShift 世界裡,最知名的 Service Mesh 實作就是 Istio。
這篇會介紹什麼是 Istio,再分享如何在 Disconnected OCP(無法連外的 OpenShift 叢集) 裡,安裝並運行 Istio(OpenShift Service Mesh, OSSM)。
就是分流
mutual TLS
是零信任架構的一種,因為叢集內,可以透過 Cluster IP 去訪問別的容器。
透過 mutual TLS 避免被別叛徒偷聽。
在 OpenShift 裡,Red Hat 基於 Istio 提供了一個更容易安裝與維運的版本,稱為 OpenShift Service Mesh (OSSM)。
在有連上網際網路的 OCP 環境中,要安裝這些玩意兒,就是進到 OCP console 找到 OperatorHub 按一按就裝好了。 而大多情況,使用 OCP 的企業,很多都把叢集藏在內部網路,嚴加控管。 接下來會說明,無網路安裝的方法。
符合離線安裝的要素:
oc adm catalog mirror
將 Red Hat Operator Catalog(包含 Service Mesh、Jaeger、Elasticsearch)鏡像到內部 Quay (quay.xxx.com)。