k8s多集群的流量治理(3、通过 karmada + istio + argo-rollout 进行多集群编排(2023-11-12) )

已于 2023-11-15 14:48:52 修改
阅读量434 收藏 2
点赞数
CC 4.0 BY-SA版权
文章标签: kubernetes istio 容器
于 2023-11-15 14:47:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44797299/article/details/134420054
本文介绍了如何使用Karmada、Istio和ArgoRollout在四个集群中进行多集群编排,包括金丝雀发布策略,如何部署Rollout、Services、IstioVirtualService和Gateway,并实现前端和后端的流量路由控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

通过 karmada + istio + argo-rollout 进行多集群编排(2023-11-12)

后端发布方案:

四个集群,每个集群都部署 Rollout、Services

mkdir -p ~/helloworld-rollout-yml

cat > helloworld-stable-rollout.yml << 'EOF'
apiVersion: argoproj.io/v1alpha1
kind: Rollout
metadata:
  name: helloworld-stable
  namespace: helloworld-rollout
spec:
  replicas: 4 # 副本数
  strategy:
    canary:
      steps:
      - setWeight: 20
      - pause: {} # 人工卡点
      - setWeight: 40
      - pause: {duration: 10}
      - setWeight: 60
      - pause: {duration: 10}
      - setWeight: 80
      - pause: {duration: 10}
      - setWeight: 100
      - pause: {} # 人工卡点
  revisionHistoryLimit: 2
  selector:
    matchLabels:
      app: helloworld
  template:
    metadata:
      labels:
        app: helloworld
    spec:
      containers:
      - name: helloworld
        image: ccr.ccs.tencentyun.com/huanghuanhui/helloworld:stable
        imagePullPolicy: IfNotPresent
        ports:
        - name: http
          containerPort: 80
          protocol: TCP
EOF

cat > helloworld-stable-svc.yml << 'EOF'
apiVersion: v1
kind: Service
metadata:
  name: helloworld
  namespace: helloworld-rollout
  labels:
    app: helloworld
    service: helloworld
spec:
  ports:
  - port: 80
    name: http
  selector:
    app: helloworld
EOF

cat > helloworld-stable-policy.yml << 'EOF'
apiVersion: policy.karmada.io/v1alpha1
kind: PropagationPolicy
metadata:
 name: helloworld-stable-propagation
 namespace: helloworld-rollout
spec:
 resourceSelectors:
   - apiVersion: argoproj.io/v1alpha1  # 修正为 Argo Rollout 的 apiVersion
     kind: Rollout
     name: helloworld-stable
   - apiVersion: v1
     kind: Service
     name: helloworld
 placement:
   clusterAffinity:
     clusterNames:
       - k8s-master-beijing
       - k8s-master-shanghai
       - k8s-master-guangzhou
       - k8s-master-shenzhen
   replicaScheduling:
     replicaDivisionPreference: Weighted
     replicaSchedulingType: Divided
     weightPreference:
       staticWeightList:
         - targetCluster:
             clusterNames:
               - k8s-master-beijing
           weight: 1
         - targetCluster:
             clusterNames:
               - k8s-master-shanghai
           weight: 1
         - targetCluster:
             clusterNames:
               - k8s-master-guangzhou
           weight: 1
         - targetCluster:
             clusterNames:
               - k8s-master-shenzhen
           weight: 1
EOF

共部署4个副本,每个集群分配一个副本(这里以四个集群为例!!!)

前端发布方案(无金丝雀):

四个集群,每个集群都部署 Rollout、Services、Istio VirtualService 和 Istio Gateway

mkdir -p ~/helloworld-rollout-yml

cat > helloworld-stable-rollout.yml << 'EOF'
apiVersion: argoproj.io/v1alpha1
kind: Rollout
metadata:
  name: helloworld-stable
  namespace: helloworld-rollout
spec:
  replicas: 4
  strategy:
    canary:
      steps:
      - setWeight: 20
      - pause: {} # 人工卡点
      - setWeight: 40
      - pause: {duration: 10}
      - setWeight: 60
      - pause: {duration: 10}
      - setWeight: 80
      - pause: {duration: 10}
      - setWeight: 100
      - pause: {} # 人工卡点
  revisionHistoryLimit: 2
  selector:
    matchLabels:
      app: helloworld
  template:
    metadata:
      labels:
        app: helloworld
    spec:
      containers:
      - name: helloworld
        image: ccr.ccs.tencentyun.com/huanghuanhui/helloworld:stable
        imagePullPolicy: IfNotPresent
        ports:
        - name: http
          containerPort: 80
          protocol: TCP
EOF

cat > helloworld-stable-svc.yml << 'EOF'
apiVersion: v1
kind: Service
metadata:
  name: helloworld
  namespace: helloworld-rollout
  labels:
    app: helloworld
    service: helloworld
spec:
  ports:
  - port: 80
    name: http
  selector:
    app: helloworld
EOF

cat > helloworld-stable-vsvc.yml << 'EOF'
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: helloworld-vsvc
  namespace: helloworld-rollout
spec:
  gateways:
  - helloworld-gateway
  hosts:
  - "helloworld.huanghuanhui.cloud"
  http:
  - name: primary
    route:
    - destination:
        host: prd-vue-svc-stable
      weight: 100
    - destination:
        host: prd-vue-svc-canary
      weight: 0
EOF

cat > helloworld-stable-gateway.yml << 'EOF'
apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: helloworld-gateway
  namespace: helloworld-rollout
spec:
  selector:
    istio: ingressgateway # 默认创建的 istio ingressgateway pod 有这个 Label
  servers:
  - port:
      number: 443
      name: https
      protocol: HTTPS
    hosts:
    - "helloworld.huanghuanhui.cloud" # 匹配所有 host
    tls:
      mode: SIMPLE
      credentialName: helloworld-rollout-tls-secret
EOF

# 所有的istio的证书都放在(istio-system)命名空间下
kubectl create secret -n istio-system \
tls prd-vue-tls-secret \
--key=/root/ssl/huanghuanhui.cloud_nginx/huanghuanhui.cloud.key \
--cert=/root/ssl/huanghuanhui.cloud_nginx/huanghuanhui.cloud_bundle.crt

cat > helloworld-stable-policy.yml << 'EOF'
apiVersion: policy.karmada.io/v1alpha1
kind: PropagationPolicy
metadata:
 name: helloworld-stable-propagation
 namespace: helloworld-rollout
spec:
 resourceSelectors:
   - apiVersion: argoproj.io/v1alpha1  # 修正为 Argo Rollout 的 apiVersion
     kind: Rollout
     name: helloworld-stable
   - apiVersion: v1
     kind: Service
     name: helloworld
 placement:
   clusterAffinity:
     clusterNames:
       - k8s-master-beijing
       - k8s-master-shanghai
       - k8s-master-guangzhou
       - k8s-master-shenzhen
   replicaScheduling:
     replicaDivisionPreference: Weighted
     replicaSchedulingType: Divided
     weightPreference:
       staticWeightList:
         - targetCluster:
             clusterNames:
               - k8s-master-beijing
           weight: 1
         - targetCluster:
             clusterNames:
               - k8s-master-shanghai
           weight: 1
         - targetCluster:
             clusterNames:
               - k8s-master-guangzhou
           weight: 1
         - targetCluster:
             clusterNames:
               - k8s-master-shenzhen
           weight: 1
EOF

共部署4个副本,每个集群分配一个副本(这里以四个集群为例!!!)

前端发布方案(金丝雀):

四个集群,每个集群都部署 Rollout、Services、Istio VirtualService 和 Istio Gateway

mkdir -p ~/helloworld-rollout-yml

cat > helloworld-rollout.yml << 'EOF'
apiVersion: argoproj.io/v1alpha1
kind: Rollout
metadata:
  name: helloworld
  namespace: helloworld-rollout
spec:
  replicas: 4
  strategy:
    canary:
      canaryService: helloworld-svc-canary # 关联 canary Service
      stableService: helloworld-svc-stable # 关联 stable Service
      trafficRouting:
        managedRoutes:
          - name: "header-route-1"
        istio:
          virtualServices:
          - name: helloworld-vsvc # 关联的 Istio virtualService
            routes:
            - primary
      steps:
      - setHeaderRoute:
          name: "header-route-1"
          match:
            - headerName: "X-canary"
              headerValue:
                exact: "test-user"
      - pause: {duration: 10}
      - setCanaryScale:
          weight: 20
      - pause: {} # 人工卡点(当有新版本上线的时候,给canary版本20%流量,并且暂停新版本继续更新,当测试人员完成测试可以继续更新,从而达到前端可以一直触发构建并且直接上到金丝雀上)
      - setCanaryScale:
          weight: 40
      - pause: {duration: 10}
      - setCanaryScale:
          weight: 60
      - pause: {duration: 10}
      - setCanaryScale:
          weight: 80
      - pause: {duration: 10}
  revisionHistoryLimit: 5
  selector:
    matchLabels:
      app: helloworld
  template:
    metadata:
      labels:
        app: helloworld
    spec:
      containers:
      - name: helloworld
        image: ccr.ccs.tencentyun.com/huanghuanhui/helloworld:canary
        imagePullPolicy: IfNotPresent
        ports:
        - name: http
          containerPort: 80
          protocol: TCP
EOF

cat > helloworld-rollout-svc.yml << 'EOF'
apiVersion: v1
kind: Service
metadata:
  name: helloworld-svc-stable
  namespace: helloworld-rollout
  labels:
    app: helloworld
spec:
  type: ClusterIP
  ports:
  - port: 80
    targetPort: http
    protocol: TCP
    name: http
  selector:
    app: helloworld

---
apiVersion: v1
kind: Service
metadata:
  name: helloworld-svc-canary
  namespace: helloworld-rollout
  labels:
    app: helloworld
spec:
  type: ClusterIP
  ports:
  - port: 80
    targetPort: http
    protocol: TCP
    name: http
  selector:
    app: helloworld
EOF

cat > helloworld-vsvc.yml << 'EOF'
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: helloworld-vsvc
  namespace: helloworld-rollout
spec:
  gateways:
  - helloworld-gateway
  hosts:
  - "helloworld.huanghuanhui.cloud"
  http:
  - name: primary
    route:
    - destination:
        host: helloworld-svc-stable
      weight: 100
    - destination:
        host: helloworld-svc-canary
      weight: 0
EOF

cat > helloworld-gateway.yml << 'EOF'
apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: helloworld-gateway
  namespace: helloworld-rollout
spec:
  selector:
    istio: ingressgateway # 默认创建的 istio ingressgateway pod 有这个 Label
  servers:
  - port:
      number: 443
      name: https
      protocol: HTTPS
    hosts:
    - "helloworld.huanghuanhui.cloud" # 匹配所有 host
    tls:
      mode: SIMPLE
      credentialName: helloworld-rollout-tls-secret
EOF

# 所有的istio的证书都放在(istio-system)命名空间下
kubectl create secret -n istio-system \
tls prd-vue-tls-secret \
--key=/root/ssl/huanghuanhui.cloud_nginx/huanghuanhui.cloud.key \
--cert=/root/ssl/huanghuanhui.cloud_nginx/huanghuanhui.cloud_bundle.crt

cat > helloworld-stable-policy.yml << 'EOF'
apiVersion: policy.karmada.io/v1alpha1
kind: PropagationPolicy
metadata:
 name: helloworld-stable-propagation
 namespace: helloworld-rollout
spec:
 resourceSelectors:
   - apiVersion: argoproj.io/v1alpha1  # 修正为 Argo Rollout 的 apiVersion
     kind: Rollout
     name: helloworld-stable
   - apiVersion: v1
     kind: Service
     name: helloworld
 placement:
   clusterAffinity:
     clusterNames:
       - k8s-master-beijing
       - k8s-master-shanghai
       - k8s-master-guangzhou
       - k8s-master-shenzhen
   replicaScheduling:
     replicaDivisionPreference: Weighted
     replicaSchedulingType: Divided
     weightPreference:
       staticWeightList:
         - targetCluster:
             clusterNames:
               - k8s-master-beijing
           weight: 1
         - targetCluster:
             clusterNames:
               - k8s-master-shanghai
           weight: 1
         - targetCluster:
             clusterNames:
               - k8s-master-guangzhou
           weight: 1
         - targetCluster:
             clusterNames:
               - k8s-master-shenzhen
           weight: 1
EOF

共部署4个副本,每个集群分配一个副本(这里以四个集群为例!!!)

===

1、ruoyi-gateway(部署 Rollout、Services、Istio VirtualService 和 Istio Gateway)

2、ruoyi-auth(部署 Rollout)

3、ruoyi-system(部署 Rollout)

4、ruoyi-vue(部署 Rollout、Services、Istio VirtualService 和 Istio Gateway)

正常的流量走vue的stable版本,连接stable的gateway

带请求头的流量走vue的canary版本,连接canary版本的gateway

访问前端canary版本,后端也走canary版本;访问前端stable版本,后端也走stable版本;

问题1:ruoyi-auth、ruoyi-system怎样区分流量???

K8Sistio流量控制管理(十七)
赵玉的专栏
06-15 1928
上图中,流出frontend服务的流量会被 frontend服务侧的 Envoy拦截,而当流量到达forecast容器时,Inbound流量被forecast 服务侧的Envoy拦截。上图中, frontend 服务侧的 Envoy 从 Pilot 中获取流量治理规则,并根据该流量治理规则将不同特征的流量分发到forecast服务的v1或v2版本。超时是 Envoy 代理等待来自给定服务的答复的时间量,以确保服务不会因为等待答复而无限期的挂起,并在可预测的时间范围内调用成功或失败。
云原生领域API Gateway的API网关自动化部署流程
最新发布
AI天才研究院
06-25 994
随着微服务架构和云原生技术的普及,API网关作为系统对外暴露的统一入口,承担着流量路由、协议转换、安全防护、性能监控等核心功能。传统手动部署方式在面对复杂云环境时暴露出效率低下、一致性差、故障恢复慢等问题,自动化部署成为提升API网关可靠性和敏捷性的关键技术路径。本文聚焦云原生场景下API网关自动化部署的完整技术体系,覆盖从环境准备、配置管理、CI/CD流水线构建到多集群发布、运行时监控的全生命周期流程,提供可落地的工程实践方案。核心概念:解析API网关与云原生的技术关联,定义关键术语与架构模型。
k8s多集群流量治理(1、helm安装karmada2023-11-12) )
weixin_44797299的博客
11-15 445
前提条件:四个集群的API-SERVER(kube-apiserver)需要互通!这里准备四个 k8s 集群(假设四个集群分别部署运行在北上广深区域)镜像使用腾讯云镜像仓库(公开)(dockerhub同步过来的)每一个集群的istio都有独立的控制平面、独立的网络。etcd固定k8s-master-beijing上。器运行时版本:containerd-1.6.24。istio版本:istio-1.19.3。网络插件:calico-v3.26.1。k8s版本:k8s-1.28.2。
K8s | 强大的管理治理平台
DynmicResource的博客
05-27 2370
theme: orange 持续创作,加速成长!这是我参与「掘金日新计划 · 6 月更文挑战」的第3天,点击查看活动详情 ???? 个人主页:@青Cheng序员石头 ???? 粉丝福利:加粉丝群 一对一问题解答,获取免费的丰富简历模板、提高学习资料等,做好新时代的卷卷王! 本篇带大家认识基于K8S的强大管理平台Platform9 Managed Kubernetes (PMK)和Ranc...
K8S - 深入解析 Service 与 Ingress - 服务暴露与流量管理
weixin_46619605的博客
05-02 934
K8S - 深入解析 Service 与 Ingress - 服务暴露与流量管理
k8s(五)、微服务框架istio流量策略控制
ywq935的博客
06-06 9929
前言 承接上节k8s(四)、微服务框架istio安装测试 本节实验通过在k8s上部署istio,实现微服务的基础功能。其中会涉及到服务的限流,超时,熔断,降级,流量分隔,A/B测试等功能。注意本次实验环境已开启istio的自动注入功能。 **本实验的服务问调用关系如下:** 实验采用时下流行的前后端分离模式,每个svc分别对应两个不同语言版本实例的后端pod 前端项目基于vue/react...
【云原生】k8s Ingress 实现流量路由规则控制
DreamSun的博客
04-09 2027
Kubernetes 中,Ingress 是一个非常重要的概念。它可以将外部流量路由到 Kubernetes 集群内的不同服务。Ingress 可以让你更加方便地管理 HTTP 和 HTTPS 流量,并且可以配置负载均衡、SSL 证书等功能。本文将会介绍 Ingress 的定义、类型、更新、以及相关的控制器和类别。通常情况下,service 和 pod 的 IP 仅可在集群内部访问。
k8s之限流机制
fourierr的博客
06-19 4003
k8s限流与APF
Argo Workflows
海鸥
05-22 556
Argo Workflows是一个开源项目,为Kubernetes提供container-native工作流程,其主要通过Kubernetes CRD实现的。
云原生架构中Nginx的蓝绿部署
AI天才研究院
06-19 846
随着云原生技术的普及,企业对应用发布的可靠性、稳定性和效率提出了更高要求。蓝绿部署作为一种成熟的零停机发布策略,通过在生产环境中并行运行两个完全独立的环境(蓝色环境与绿色环境),实现版本切换的平滑过渡。本文聚焦Nginx在蓝绿部署中的核心作用,详细讲解如何利用其反向代理、负载均衡及动态配置能力,构建高可用的发布流水线。基础概念篇:解析蓝绿部署核心原理及与Nginx的技术关联技术实现篇:涵盖Nginx配置模型、流量调度算法及数学建模实战操作篇:基于Kubernetes的完整项目案例与代码实现。
Kubernetes 集群搭建智慧校园项目
06-07
参考引用[1]和[2],部署方案可以分三层设计:最底层用Kubernetes集群作为容器编排引擎,中间层部署服务网格治理流量,上层通过iVX这类低代码平台快速开发应用模块。特别要注意的是存储方案,校园业务系统需要大量有...
第67章:集群升级与版本迁移最佳实践
上海交通大学电院毕业,现互联网大厂开发工程师
03-27 79
升级编排脚本开发自定义脚本协调升级流程处理特定环境的需求/bin/bash# 示例升级编排脚本# 1. 备份etcd# 2. 升级控制平面dosleep 60done# 3. 升级工作节点dosleep 30done# 4. 升级集群组件自定义控制器开发Kubernetes控制器管理升级实现自动化和自修复能力监控集成将升级过程与监控系统集成自动检测和响应问题报告和通知生成升级报告和状态更新集成通知系统。
k8s限流机制
猴子哥哥的博客
01-03 1228
使用client-go操作k8s性能优化
k8s 查看pod流量_K8s中对pod进行流量限制
weixin_39669701的博客
12-24 2984
最近接到一个需求,对日志上传的pod进行流量限制。# 前期准备k8s一份calico装好# k8s配置由于默认情况下calico并没有启用流量限制的功能,所以需要在calico的配置文件里面启用一下。在每个节点的/etc/cni/net.d/10-calico.conflist 文件中加入bandwidth的支持。这一步最好在安装calico的时候做了,就不用每个节点都配置一遍。期待calico把...
[单master节点k8s部署]27.Istio流量管理(三)
weixin_45396500的博客
09-26 1009
上面的内容先是部署了istio,后面又部署了bookinfo的微服务,现在来利用istio对bookinfo进行流量治理
K8s网络策略详解:如何实现精细的流量管控
wdfdgygg77的博客
03-18 314
例如,假设有一组运行数据库服务的Pod,都被打上了“app=database”的标签,那么可以创建一个网络策略,只允许带有“app=backend”标签的Pod访问这些数据库Pod。例如,一个电商系统中的订单服务和支付服务,虽然都运行在同一集群中,但为了保障支付安全,订单服务的Pod只能与支付服务的特定端口进行通信,而不能随意访问支付服务的其他端口。K8s网络策略作为实现这一目标的关键机制,允许用户定义Pod之间以及Pod与外部网络的访问规则,极大地增强了集群网络的安全性和可管理性。
k8s在网络限流实践中的应用原理
走向CTO的路上...
05-30 635
Kubernetes(简称k8s)在网络限流方面有很多应用场景,主要包括以下几个方面:
k8s网络策略
梵修
12-10 1569
网络策略是控制Pod之间如何进行通信的规则,它使用标签来筛选Pod,并在该组Pod之上定义规则来定义管控其流量,从而为k8s提供更精细的流量控制和租户隔离机制。管理员和用户可以通过NetworkPolicy资源按需定义网络访问控制策略网络策略的具体实现要依靠CNI网络插件完成,例如Calico、Weave和Antrea等。因此,仅在使用支持网络策略的网络插件时才能让自定义的网络策略生效。不同的网络插件实现网络策略的方式也是不一样的。
karmada
04-03
### Karmada 多云编排 Kubernetes Karmada 是一个多云和混合云场景下的开源 Kubernetes 管理平台,专注于多集群应用的自动化管理和编排。它允许用户在多个 Kubernetes 集群上进行高效的应用程序部署和管理,而无需对现有应用程序做任何改动[^1]。 #### 功能概述 Karmada 提供的核心功能包括但不限于以下几个方面: - **集中式多云管理**:通过统一的控制平面,使用户可以像操作单个集群那样轻松管理分布在不同云环境中的多个 Kubernetes 集群[^5]。 - **高级调度能力**:支持复杂的调度策略,可以根据资源利用率、地理位置或其他自定义条件动态分配工作负载。 - **高可用性和故障恢复**:当某个目标集群不可用时,Karmada 能够自动将工作负载迁移到其他健康的集群中,从而提高系统的整体可靠性[^4]。 - **流量调度**:提供了灵活的服务网格集成选项,帮助优化跨集群服务之间的通信效率。 #### 技术架构组成 为了达成上述目标,Karmada 的设计采用了模块化的方式构建整个系统框架,主要组成部分如下: - **云平台适配器**:用于连接并桥接各种异构型态下的基础计算设施接口差异问题,确保兼容性的同时简化运维复杂度[^3]。 - **多集群管理工具**:承担起协调各个成员节点间关系的任务,并维护它们之间的一致状态同步机制。 - **联邦 API**:对外暴露标准化的操作入口以便于开发者或者管理员更便捷地完成日常管理工作流处理需求。 以下是创建一个简单的 Karmada 配置文件示例: ```yaml apiVersion: cluster.karmada.io/v1alpha1 kind: PropagationPolicy metadata: name: sample-propagation-policy spec: resourceSelectors: - apiVersion: apps/v1 kind: Deployment namespace: default name: nginx-deployment placement: clusterAffinities: operator: In clusterNames: - member-cluster-a - member-cluster-b ``` 此 YAML 文件定义了一种传播策略,指定 `nginx-deployment` 将被分发至名为 `member-cluster-a` 和 `member-cluster-b` 的两个子集当中去执行实例化过程[^2]。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值