Trendmicro Check的問題，透過圖書和論文來找解法和答案更準確安心。 我們找到下列特價商品、必買資訊和推薦清單

雲原生服務網格Istio：原理、實踐、架構與源碼解析

為了解決Trendmicro Check的問題，作者張超盟 這樣論述：

本書分為原理篇、實踐篇、架構篇和源碼篇，由淺入深地將Istio項目庖丁解牛並呈現給讀者。原理篇介紹了服務網格技術與Istio專案的技術背景、設計理念與功能原理，能夠説明讀者瞭解服務網格這一雲原生領域的標誌性技術，掌握Istio流量治理、策略與遙測和安全功能的使用方法。 實踐篇從零開始搭建Istio運行環境並完成一個真實應用的開發、交付、上線監控與治理的完整過程，能夠幫助讀者熟悉Istio的功能並加深對Istio的理解。架構篇剖析了Istio專案的三大核心子專案Pilot、Mixer、Citadel的詳細架構，幫助讀者熟悉Envoy、Galley、Pilot-agent等相關專案，並挖掘Ist

io代碼背後的設計與實現思想。源碼篇對Istio各個專案的代碼結構、檔組織、核心流程、主要資料結構及各主要代碼片段等關鍵內容都進行了詳細介紹，讀者只需具備一定的Go語言基礎，便可快速掌握Istio各部分的實現原理，並根據自己的興趣深入瞭解某一關鍵機制的完整實現。 張超盟 華為雲應用服務網格首席架構師，擁有10年以上軟體研發經驗，先後負責華為雲PaaS容器應用運維、微服務平臺、雲服務目錄、服務網格等產品架構設計與開發工作，在容器服務、微服務架構、大資料、應用性能管理、資料庫中介軟體及DevOps工具等多個領域有深入的研究與實踐。開源愛好者，Istio社區成員。曾就職於Tren

dMicro和中鐵一局。   章鑫 華為雲應用服務網格首席系統工程師， 擁有10年以上IT從業經驗，先後參與華為雲PaaS運維平臺、容器自動化運維工 具、服務網格等產品設計與開發，主導了多個服務網格專案的落地與實施工作。Istio社區成員，對於Pilot、Mixer等多個元件 的 調 優 有 豐 富 的 經 驗。曾 在VIA-Telecom和Nokia擔任研發專家。   徐中虎 華為雲原生開源團隊核心成員，Istio社區Approver，Kubernetes專案核心貢獻者，現 聚 焦 於Cloud Native、Docker、Kubernetes、Service Mesh等領域，對分散式系統性

能優化、高可靠、可擴展等有深入的研究。曾就職于網易、Nokia。   徐飛 華為雲原生開源團隊核心成員，Istio社區Approver，Kubernetes、Federation、Kubeflow、Virtual-Kubelet社區項目成員及核心貢獻者，浙江大學碩士。從2015年開始參與容器平臺的設計與開發，並參與上游社區的貢獻。   華為雲原生團隊 華為雲原生團隊創建於2013年，是國內較早參與雲原生這一技術領域的團隊之一。作為CNCF（雲原生計算基金會）的初創成員和白金會員，華為在容器、服務網格、微服務等雲原生技術領域都有著深厚的造詣，擁有10多名CNCF開源項目維護者，在Kubernet

es、Istio等核心開源項目上的貢獻位居全球前列。華為雲也提供了基於CNCF開源項目所打造的商業化雲原生系列產品，包括雲容器引擎、雲容器實例、應用服務網格、容器交付流水線等。 華為雲原生團隊致力於雲原生技術在國內的普及與推廣，通過“容器魔方”官方微信公眾號，以及與CNCF聯合打造的CloudNative Days China（CNDC）Meetup、Cloud Native Lives雲原生技術線上直播、線下CKA培訓等活動，推動了國內雲原生技術的學習與交流熱潮。此次打造的華為雲原生技術叢書，內容涵蓋以CNCF專案為主的多個雲原生技術熱點，可為廣大雲原生技術愛好者提供詳盡、專業、及時的原理講

解與技術剖析。   作者:原 理 篇   第1章  你好，Istio. 2 1.1  Istio是什麼... 2 1.2  通過示例看看Istio能做什麼... 4 1.3  Istio與服務治理... 6 1.3.1  關於微服務... 6 1.3.2  服務治理的三種形態... 8 1.3.3  Istio不只解決了微服務問題... 10 1.4  Istio與服務網格... 11 1.4.1  時代選擇服務網格... 11 1.4.2  服務網格選擇Istio. 14 1.5  Istio與Kubernetes 15 1.5.1  Istio，Kubernetes的好

幫手... 16 1.5.2  Kubernetes，Istio的好基座... 18 1.6  本章總結... 20 第2章  Istio架構概述... 21 2.1  Istio的工作機制... 21 2.2  Istio的服務模型... 23 2.2.1  Istio的服務... 24 2.2.2  Istio的服務版本... 26 2.2.3  Istio的服務實例... 28 2.3  Istio的主要組件... 30 2.3.1  istio-pilot 30 2.3.2  istio-telemetry. 32 2.3.3  istio-policy. 33 2.3.4  ist

io-citadel 34 2.3.5  istio-galley. 34 2.3.6  istio-sidecar-injector 35 2.3.7  istio-proxy. 35 2.3.8  istio-ingressgateway. 36 2.3.9  其他組件... 37 2.4  本章總結... 37 第3章  非侵入的流量治理... 38 3.1  Istio流量治理的原理... 38 3.1.1  負載均衡... 39 3.1.2  服務熔斷... 41 3.1.3  故障注入... 48 3.1.4  灰度發佈... 49 3.1.5  服務訪問入口... 54 3.1

.6  外部接入服務治理... 56 3.2  Istio路由規則配置：VirtualService. 59 3.2.1  路由規則配置示例... 59 3.2.2  路由規則定義... 60 3.2.3  HTTP路由（HTTPRoute）... 63 3.2.4  TLS路由（TLSRoute）... 78 3.2.5  TCP路由（TCPRoute）... 81 3.2.6  三種協定路由規則的對比... 83 3.2.7  VirtualService的典型應用... 84 3.3  Istio目標規則配置：DestinationRule. 89 3.3.1  DestinationR

ule配置示例... 90 3.3.2  DestinationRule規則定義... 90 3.3.3  DestinationRule的典型應用.... 103 3.4  Istio服務閘道配置：Gateway. 107 3.4.1  Gateway配置示例... 108 3.4.2  Gateway規則定義... 109 3.4.3  Gateway的典型應用... 112 3.5  Istio外部服務配置：ServiceEntry. 120 3.5.1  ServiceEntry配置示例... 120 3.5.2  ServiceEntry規則的定義和用法... 121 3.5.3 

ServiceEntry的典型應用... 123 3.6  Istio代理規則配置：Sidecar 126 3.6.1  Sidecar配置示例... 126 3.6.2  Sidecar規則定義... 126 3.7  本章總結... 129 第4章  可擴展的策略和遙測... 131 4.1  Istio策略和遙測的原理... 131 4.1.1  應用場景... 131 4.1.2  工作原理... 136 4.1.3  屬性... 137 4.1.4  Mixer的配置模型... 140 4.2  Istio遙測適配器配置... 147 4.2.1  Prometheus適配器...

148 4.2.2  Fluentd適配器... 155 4.2.3  StatsD適配器... 159 4.2.4  Stdio適配器... 161 4.2.5  Zipkin適配器... 163 4.2.6  廠商適配器... 168 4.3  Istio策略適配器配置... 169 4.3.1  List適配器... 169 4.3.2  Denier適配器... 171 4.3.3  Memory Quota適配器... 172 4.3.4  Redis Quota適配器.... 175 4.4  Kubernetes Env適配器配置... 178 4.5  本章總結... 181

第5章  可插拔的服務安全... 182 5.1  Istio服務安全的原理... 182 5.1.1  認證... 185 5.1.2  授權... 189 5.1.3  金鑰委付管理... 192 5.2  Istio服務認證配置... 193 5.2.1  認證策略配置示例... 193 5.2.2  認證策略的定義... 194 5.2.3  TLS訪問配置... 196 5.2.4  認證策略的典型應用... 200 5.3  Istio服務授權配置... 202 5.3.1  授權啟用配置... 202 5.3.2  授權策略配置... 203 5.3.3  授權策略的典型應用

... 207 5.4  本章總結... 210 第6章  透明的Sidecar機制... 211 6.1  Sidecar注入... 211 6.1.1  Sidecar Injector自動注入的原理... 214 6.1.2  Sidecar注入的實現... 216 6.2  Sidecar流量攔截... 219 6.2.1  iptables的基本原理... 220 6.2.2  iptables的規則設置... 223 6.2.3  流量攔截原理... 224 6.3  本章總結... 228 第7章  多集群服務治理... 230 7.1  Istio多集群服務治理... 23

0 7.1.1  Istio多集群的相關概念... 230 7.1.2  Istio多集群服務治理現狀... 231 7.2  多集群模式1：多控制面... 232 7.2.1  服務DNS解析的原理... 233 7.2.2  Gateway連接的原理... 237 7.3  多集群模式2：VPN直連單控制面... 238 7.4  多集群模式3：集群感知服務路由單控制面... 240 7.5  本章總結... 246   實 踐 篇   第8章  環境準備... 248 8.1  在本地搭建Istio環境... 248 8.1.1  安裝Kubernetes集群... 248 8.1.2 

安裝Helm.. 249 8.1.3  安裝Istio. 250 8.2  在公有雲上使用Istio. 253 8.3  嘗鮮Istio命令列... 255 8.4  應用示例... 257 8.4.1  Weather Forecast簡介... 257 8.4.2  Weather Forecast部署... 258 8.5  本章總結... 259 第9章  流量監控... 260 9.1  預先準備：安裝外掛程式... 260 9.2  調用鏈跟蹤... 261 9.3  指標監控... 265 9.3.1  Prometheus. 265 9.3.2  Grafana. 268

9.4  服務網格監控... 273 9.5  本章總結... 277 第10章  灰度發佈... 278 10.1  預先準備：將所有流量都路由到各個服務的v1版本... 278 10.2  基於流量比例的路由... 279 10.3  基於請求內容的路由... 283 10.4  組合條件路由... 284 10.5  多服務灰度發佈... 286 10.6  TCP服務灰度發佈... 288 10.7  自動化灰度發佈... 290 10.7.1  正常發佈... 291 10.7.2  異常發佈... 294 第11章  流量治理... 296 11.1  流量負載均衡... 29

6 11.1.1  ROUND_ROBIN模式... 296 11.1.2  RANDOM模式... 298 11.2  會話保持... 299 11.2.1  實戰目標... 300 11.2.2  實戰演練... 300 11.3  故障注入... 301 11.3.1  延遲注入... 301 11.3.2  中斷注入... 303 11.4  超時... 304 11.5  重試... 306 11.6  HTTP重定向... 308 11.7  HTTP重寫... 309 11.8  熔斷... 310 11.9  限流... 313 11.9.1  普通方式... 314 11.9

.2  條件方式.... 315 11.10  服務隔離... 317 11.10.1  實戰目標... 317 11.10.2  實戰演練... 317 11.11  影子測試... 319 11.12  本章總結... 322 第12章  服務保護... 323 12.1  閘道加密... 323 12.1.1  單向TLS閘道... 323 12.1.2  雙向TLS閘道... 326 12.1.3  用SDS加密閘道... 328 12.2  存取控制... 331 12.2.1  黑名單... 331 12.2.2  白名單... 332 12.3  認證... 334 12.3.

1  實戰目標... 334 12.3.2  實戰演練... 334 12.4  授權... 336 12.4.1  命名空間級別的存取控制... 336 12.4.2  服務級別的存取控制... 339 12.5  本章總結... 341 第13章  多集群管理... 342 13.1  實戰目標... 342 13.2  實戰演練... 342 13.3  本章總結... 350   架 構 篇   第14章  司令官Pilot 352 14.1  Pilot的架構... 352 14.1.1  Istio的服務模型... 354 14.1.2  xDS協議... 356 14.2  P

ilot的工作流程... 360 14.2.1  Pilot的啟動與初始化... 361 14.2.2  服務發現... 363 14.2.3  配置規則發現... 368 14.2.4  Envoy的配置分發... 376 14.3  Pilot的外掛程式... 383 14.3.1  安全外掛程式... 385 14.3.2  健康檢查外掛程式... 390 14.3.3  Mixer外掛程式... 391 14.4  Pilot的設計亮點... 392 14.4.1  三級緩存優化... 392 14.4.2  去抖動分發... 393 14.4.3  增量EDS. 394 14.4.4

  資源隔離... 395 14.5  本章總結... 396 第15章  守護神Mixer 397 15.1  Mixer的整體架構... 397 15.2  Mixer的服務模型... 398 15.2.1  Template. 399 15.2.2  Adapter 401 15.3  Mixer的工作流程... 403 15.3.1  啟動初始化... 403 15.3.2  使用者配置資訊規則處理... 409 15.3.3  訪問策略的執行... 416 15.3.4  無侵入遙測... 421 15.4  Mixer的設計亮點... 423 15.5  如何開發MixerAda

pter 424 15.5.1  Adapter實現概述... 424 15.5.2  內置式Adapter的開發步驟... 425 15.5.3  獨立進程式Adapter的開發步驟... 430 15.5.4  獨立倉庫式Adapter的開發步驟... 437 15.6  本章總結... 438 第16章  安全碉堡Citadel 439 16.1  Citadel的架構... 439 16.2  Citadel的工作流程... 441 16.2.1  啟動初始化... 441 16.2.2  證書控制器... 442 16.2.3  gRPC伺服器... 444 16.2.4  證書輪

換器... 445 16.2.5  SDS伺服器... 446 16.3  本章總結... 449 第17章  高性能代理Envoy. 450 17.1  Envoy的架構... 450 17.2  Envoy的特性... 451 17.3  Envoy的模組結構... 452 17.4  Envoy的執行緒模型... 453 17.5  Envoy的記憶體管理... 455 17.5.1  變數管理... 455 17.5.2  Buffer管理... 456 17.6  Envoy的流量控制... 456 17.7  Envoy與Istio的配合... 457 17.7.1  部署與交互

... 457 17.7.2  Envoy API 458 17.3  本章總結... 459 第18章  代理守護進程Pilot-agent 460 18.1  為什麼需要Pilot-agent 461 18.2  Pilot-agent的工作流程... 461 18.2.1  Envoy的啟動... 462 18.2.2  Envoy的熱重啟... 465 18.2.3  守護Envoy. 466 18.2.4  優雅退出... 467 18.3  本章總結... 468 第19章  配置中心Galley. 469 19.1  Galley的架構... 469 19.1.1  MCP.

470 19.1.2  MCP API 470 19.2  Galley的工作流程... 471 19.2.1  啟動初始化... 471 19.2.2  配置校驗... 476 19.2.3  配置聚合與分發... 479 19.3  本章總結... 482   源 碼 篇   第20章  Pilot源碼解析... 484 20.1  進程啟動流程... 484 20.2  關鍵代碼分析... 486 20.2.1  ConfigController 486 20.2.2  ServiceController 490 20.2.3  xDS非同步分發... 495 20.2.4  配置更新

預處理... 503 20.2.5  xDS配置的生成及分發... 509 20.3  本章總結... 514   第21章  Mixer源碼解析... 515 21.1  進程啟動流程... 515 21.1.1  runServer通過newServer新建Server對象... 517 21.1.2  啟動Mixer gRPC Server 520 21.2  關鍵代碼分析... 520 21.2.1  監聽使用者的配置... 520 21.2.2  構建資料模型... 524 21.2.3  Check介面... 533 21.2.4  Report介面... 536 21.2.5 

請求分發... 539 21.2.6  協程池... 541 21.3  本章總結... 543 第22章  Citadel源碼解析... 544 22.1  進程啟動流程... 544 22.2  關鍵代碼分析... 548 22.2.1  證書簽發實體IstioCA.. 548 22.2.2  SecretController的創建和核心原理... 551 22.2.3  CA Server的創建和核心原理... 556 22.3  本章總結... 558 第23章  Envoy源碼解析... 559 23.1  Envoy的初始化... 559 23.1.1  啟動參數bootstr

ap的初始化... 559 23.1.2  Admin API的初始化... 560 23.1.3  Worker的初始化... 562 23.1.4  CDS的初始化... 562 23.1.5  LDS的初始化... 563 23.1.6  GuardDog的初始化... 564 23.2  Envoy的運行和建立新連接... 564 23.2.1  啟動worker 565 23.2.2  Listener的載入... 565 23.2.3  接收連接... 566 23.3  Envoy對資料的讀取、接收及處理... 567 23.3.1  讀取數據... 568 23.3.2  接收

資料... 568 23.3.3  處理資料... 569 23.4  Envoy發送資料到服務端... 570 23.4.1  匹配路由... 571 23.4.2  獲取連接池... 572 23.4.3  選擇上游主機... 572 23.5  本章總結... 573 第24章  Galley源碼解析... 574 24.1  進程啟動流程... 574 24.1.1  RunServer的啟動流程... 577 24.1.2  RunValidation Server的啟動流程... 578 24.2  關鍵代碼分析... 580 24.2.1  配置校驗... 580 24.2.2

  配置監聽... 584 24.2.3  配置分發... 585 24.3  本章總結... 589 結語... 590 附錄A  源碼倉庫介紹... 592 附錄B  實踐經驗和總結... 598 推薦序 服務網格技術Istio是雲原生（Cloud Native）時代的產物，是雲原生應用的新型架構模式，而雲原生又是雲計算產業發展的新制高點。雲計算是近10年左右流行的概念，但實際上，雲已經走了很長一段路。 雲的概念可以追溯到20世紀60年代。約翰•麥卡錫教授在1961年麻省理工學院的百年慶典上說：“電腦也許有一天會被組織成一種公用事業，就像電話系統是一種公用事業一樣

。每個訂閱者只需為實際使用的容量付費，就可以訪問到具有非常龐大的系統的計算資源……”。第一個具有雲特徵的服務出現在20世紀90年代，當時，電信公司從以前主要提供點對點的專用資料電路服務，轉到提供服務品質相當但成本較低的虛擬私人網路絡（VPN）服務。VPN服務能夠通過切換流量和平衡伺服器的使用，更有效地使用整體的網路頻寬。電信公司開始使用雲符號來表示提供商和使用者之間的責任介面。在自20世紀60年代以來流行的分時模式的基礎上，服務提供者開始開發新的技術和演算法，優化計算資源和網路頻寬的分佈，使用者可以按需獲取高端計算能力。 2006年，亞馬遜首次推出彈性計算雲（EC2）服務，雲計算的新時代開始

了。兩年後，第一個用於部署私有雲和公有雲的開源軟體OpenNebula問世；谷歌則推出了應用引擎的測試版；Gartner公司也首次提到了雲的市場機會。2010年，Rackspace和NASA聯手創建了OpenStack開源雲計算平臺，企業首次可以在標準硬體上構建消費者可以使用的雲。甲骨文、IBM、微軟等眾多公司也相繼發佈雲產品，雲市場開始進入快速增長期。 雲計算使企業擺脫了複雜而昂貴的IT基礎設施建設和維護，因此，當時的雲計算使用以資源（虛擬機器、網路和存儲）為主，也就是基礎設施即服務（IaaS）。企業主要關心怎樣將現有的IT基礎架構遷移到雲上，但在關鍵應用上對雲還是敬而遠之。隨著雲的成熟，

包括Netflix和Airbnb在內的眾多雄心勃勃的互聯網初創公司開始把雲計算變成了新商業模式，直接在雲上構建企業的關鍵應用和業務；與此同時，在技術上，人們開始將Linux容器與基於微服務架構的應用結合起來，實現雲應用真正意義上的可擴展、高可靠和自動恢復等能力，於是雲原生計算誕生了。 雲原生的崛起源于企業應用的快速發展和彈性可擴展的需求。在雲原生時代最具代表性和歷史性的技術是Kubernetes容器應用編排與管理系統，它提供了大規模和高效管理雲應用所需的自動化和可觀測性。Kubernetes的成功源于應用容器的興起，Docker第一次真正使得容器成為大眾所喜歡和使用的工具。通過對應用的容器化

，開發人員可以更輕鬆地管理應用程式的語言運行環境及部署的一致性和可伸縮性，這引發了應用生態系統的巨變，極大地減小了測試系統與生產系統之間的差異。在容器之上，Kubernetes提供了跨多個容器和多主機服務及應用體系結構的部署和管理。我們很高興地看到，Kubernetes正在成為現代軟體構建和運維的核心，成為全球雲技術的關鍵。Kubernetes的成功也代表了開源軟體運動所能提供的前所未有的全球開放與合作，是一次具有真正世界影響力的商業轉型。華為雲PaaS容器團隊很早就開始參與這一開源運動，是雲原生計算基金會CNCF的初創會員與董事，在Kubernetes社區的貢獻位於全球前列，也是雲原生技術的

主要貢獻者之一。 雲原生容器技術和微服務應用的出現，推動了人們對服務網格的需求。那麼，什麼是服務網格？簡而言之，服務網格是服務（包括微服務）之間通信的控制器。隨著越來越多的容器應用的開發和部署，一個企業可能會有成百上千或數萬計的容器在運行，怎樣管理這些容器或服務之間的通信，包括服務間的負載均衡、流量管理、路由、運行狀況監視、安全性原則及服務間身份驗證，就成為雲原生技術的巨大挑戰。以Istio為代表的服務網格應運而生。在架構上，Istio屬於雲原生技術的基礎設施層，通過在容器旁提供一系列網路代理，來實現服務間的通信控制。其中的每個網路代理就是一個閘道，管理容器或容器集群中每個服務間的請求或交互

。每個網路代理還攔截服務請求，並將服務請求分發到服務網格上，因此，眾多服務構成的無數連接“編織”成網，也就有了“網格”這個概念。服務網格的中央控制器，在Kubernetes容器平臺的説明下，通過服務策略來控制和調整網路代理的功能，包括收集服務的性能指標。 服務網格作為一種雲原生應用的體系結構模式，應對了微服務架構在網路和管理上的挑戰，也推動了技術堆疊分層架構的發展。從分散式負載平衡、防火牆到服務的可見性，服務網格通過在每個架構層提供通信層來避免服務碎片化，以安全隔離的方式解決了跨集群的工作負載問題，並超越了Kubernetes容器集群，擴展到運行在裸機上的服務。因此，雖然服務網格是從容器和微

服務開始的，但它的架構優勢也可以適用于非容器應用或服務。 從初始的雲理念到雲計算再到雲原生的發展過程中，我們看到服務網格是雲原生技術發展的必然產物。作為雲原生架構和技術棧的關鍵部分，服務網格技術Istio也逐漸成為雲原生應用平臺的另一塊基石，這不僅僅是因為Istio為服務間提供了安全、高可靠和高性能的通信機制，其本身的設計也代表一種由開發人員驅動的、基於策略和服務優先的雲原生架構設計理念。本書作者及寫作團隊具有豐富的Istio實戰經驗，在本書中由淺入深地剖析了Istio的原理、架構、實踐及源碼。通過閱讀本書，讀者不但能夠對Istio有全面的瞭解，還可以學到雲原生服務網格的設計思路和理念，對任

何一名軟體設計架構師或工程師來說都有很大的幫助，這是一本非常有價值的雲原生時代分散式系統書籍。   廖振欽 華為雲PaaS產品部總經理