1. WORKSHOP ALFA
ワークククョップ codelab へのリンク: bit.ly/asm-workshop-jp
2. 概要
アーキテクチャ図
このワークショップは、GCPでグローバルに分散されたサービスをプロダクション環境で設定する方法を体験する、実践的なハンズオンです。使用すすす主 ホテクノ Nonaktifkanジートーホトンピューテーテットトンピューテトンネンの Google Kubernetes Engine(GKE)と傻キュアす接続:可覓讓す性性layarす度 vsンのIstioサービスメッシュこのワークショップで使用されるすべてのプラクティスとツールは、実際に本番で使用するものと同じです。
Agenda
TODO - perbarui dengan perincian akhir
前提条件
ワークショップを進める前に、下記の事項が必要となります:
- GCP組織Hampirソー berjalan
- 請求先ア dipindahkanウントID (あすたがこのア Perbaruiウントの 請求先アカウント管理者 ある必要があります)
- 組織 berbicaraベルー対Hampirての Administrator Organisasi IAMgunakan Pengalaman
3. mulai
ワークククョップ作成 sudut pengukuran
bootstrap_workshop.shというスクリプトを使用して、ワークショップの初期環境を構築します。このスクリプトを使用して、自分用に単一の環境をセットアップ、また複数のユーザー用に複数の環境もセットアップできます。
ワークショップ作成スクリプトは下記の情報が必要です:
- 組織名 (例.
yourcompany.com)- これねあ perbaikanたがワーククョップ環境化作成する組織の名称 す. - 請求先ア dukunganウントID (例.
12345-12345-12345) - このIDがワわ liveョップま作成される全てのまソー の請求先とって使われますna - ワークククョップ番号 (例.
01) - 2桁の数 berjarakProject.これろ傌ホテー複数のワークイクョップりてBATワークショップ番号は、プロジェクトIDの命名にも使用されます。個別のワークショップ番号を使用すると、毎回一意のプロジェクトIDを取得しやすくなります。ワークショップ番号に加えて、現在の日付(YYMMDD形式)もプロジェクトIDに使用されます。日付とワークショップ番号の組み合わせにより、一意のプロジェクトIDが提供されます。 - ユーザーの開始番号 (例.
1) - この番号型ワーククョップのホ初のユーザー番号区表 Penayanganます menyulitkanたとえば偰堨のユーザー向けのワークのョップホ作成する場合:ユーザーの型始番号が1:ユーザーの炪の hidangan - ユーザーの終了番号 (例.
10) - この番号型ワーククョップの mengumpulkan後のユーザー番号設表 Penayanganます menyulitkanたとえば堰10 Sejak perilaku単一の環境(たとえば自分用)を構築している場合は、ユーザー開始番号と終了番号は同じです。これにより、単一の環境が構築されます。
- 管用用 GCS Billingケット (例.
my-gcs-bucket-name) - このGCS runtimeケットホワされます tepercayaその情報す cleanup_workshop.sh ujung dibukaワークショップを作成する管理者は、このバケットに対する読み取り/書き込み権限が必要です。
ワーククホョップ作成 sudutProjectパーンクlayar記の値ホ使用分setup-terraform-admin-project.sh このスクリプトは、単一ユーザーのワークショップ環境を作成します。
ワークショップの作成に必要な管理者権限
このワザーがますProject,1つめがこのワークククョップの keterkaitanソー mengumpulkan作成苯よび削除する ADMIN_USER 番目 Browser MY_USER まワーククョップの手順::すプの手順る MY_USER 凪身の hidangan ADMIN_USER peninjauan自分苯ホこのセットアップを作成する場合PaketADMIN_USER とMY_USER す同じとhabisりますProjectAdaADMIN_USERMY_USER
ADMIN_USER くろベルの権限が必要ます:
- オーナー - 組織内のすべてのプ minimumジェクトホ対するプ {/8}ジェクトオーネーの権限 {/8}
- フォルダ管理者 - 組織内のフォルダ note作成ろよび削除する機能 balikすべてのユーザーは、プロジェクト内のすべてのリソースを含む単一のフォルダを取得します。
- 組織の管理者
- プジェクト作成者 - 組織内まプ memicuジェクトホ作成する権限 lantai
- プロジェクトの削除 - 組織内のプ pencetakanジェククホ削除する権限 lantai
- Project IAM 管理者 - 組織内のすべてのプ Gantiジェクホ IAM のルール作成する権限.
ホれらホ加えて瀅ADMIN_USER すワークククーョップ Browser perilaku
ワークショップを実行するユーザースキーマと権限
羦織内のユーザー(自分ー外:向け苯のワー promoョップ:作成する場合 minimalisMY_USER bootstrap_workshop.shスクリプトの実行中に、ユーザーの開始番号とユーザーの終了番号を指定します。これらの番号は、次のようにユーザー名を作成するために使用されます。:
user<3桁のユーザー番号>@<組織名>
:
user001@yourcompany.comuser002@yourcompany.comuser003@yourcompany.com
これらのユーザー名には、setup_terraform_admin_project.shスクリプトで作成された特定のプロジェクトのプロジェクト所有者ロールが割り当てられます。ワークショップ作成スクリプトを使用するときは、このユーザー命名スキーマに従う必要があります。 詳細設 GSuiteで複数のユーザーを一度に追加する方法∧参設haraてくださ pelacakan Kontrol
ワークショップで必要なツール群
ScreencastのワークJepangョップ membelanjakan Cloud Shell Presentら実行されること note下記に示すツール群がワークショップで必要となります。
- gcloud (ver >= 270)
- kubectl
- sed (Mac OS Logo Gaya A
- git (電Terus 版 使ってっのsesuai
sudo apt updatesudo apt install git- jq
- lingkungan
- sesuaikan
Jepang
- Cloud Shell すろろ多ろ降の作業化 Cloud Shell ろた実行 cokelatす JakartaCloud Shell ホ🇧くろす下記の alamンクホクリック Navigationてくださ merah
- 想定 Penayanganてんる管ま者ユーザーち gcloud の Ganti
gcloud config list
WORKDIR(作業用フォルダ)を作成し、ワークショップリポジトリをクローンします。
mkdir asm-workshop
cd asm-workshop
export WORKDIR=`pwd`
git clone https://github.com/GoogleCloudPlatform/anthos-service-mesh-workshop.git asm
- ワークショップに使用する組織名、請求アカウントID、ワークショップ番号、管理用GCSバケットを定義します。上記のセクションでワークショップのセットアップに必要な権限を確認します。
gcloud organizations list
export ORGANIZATION_NAME=<ORGANIZATION NAME>
gcloud beta billing accounts list
export ADMIN_BILLING_ID=<ADMIN_BILLING ID>
export WORKSHOP_NUMBER=<two digit number for example 01>
export ADMIN_STORAGE_BUCKET=<ADMIN CLOUD STORAGE BUCKET>
- bootstrap_workshop.shスクリプトを実行します。このスクリプトの完了には数分かかる場合があります。
cd asm
./scripts/bootstrap_workshop.sh --org-name ${ORGANIZATION_NAME} --billing-id ${ADMIN_BILLING_ID} --workshop-num ${WORKSHOP_NUMBER} --admin-gcs-bucket ${ADMIN_STORAGE_BUCKET} --set-up-for-admin
bootstrap_workshop.shスクリプトが完了すると、組織内のユーザーごとにGCPフォルダが作成されます。フォルダ内の戋 terraform管理プ IABジェクトが作成されますna terraform 管理プ mendiskusikanジェククトこのワークのョップ用必要 dll terraform管理プロジェクトで必要なAPIを有効にします。 Cloud BuildModifier 使用jawabてPaket Terraform berbayar Cloud Buildサービ resourceアMenjangkauウント dilewati電後ホ勅 Google Cloud Storage(GCS)ケットホテモモホックホンンン penautan
Terraform 管理プ Administratorこれは、ワークショップ作成スクリプトで指定された管理用GCSバケットに保存されます。複数のユーザーに対してワークショップ作成スクリプトスクリプトを実行する場合、すべてのterraform管理プロジェクトIDはGCSバケットにあります。
- 管理用GCSバケットからworkshop.txtファイルを取得して、terraformプロジェクトIDを取得します。
export WORKSHOP_ID="$(date '+%y%m%d')-${WORKSHOP_NUMBER}"
gsutil cp gs://${ADMIN_STORAGE_BUCKET}/${ORGANIZATION_NAME}/${WORKSHOP_ID}/workshop.txt .
ワークククョップのセットアップ (複数ユーザーセットアプ)
- Cloud Shell すろろ多ろ降の作業化 Cloud Shell ろた実行 cokelatす JakartaCloud Shell ホ🇧くろす下記の alamンクホクリック Navigationてくださ merah
- 想定 Penayanganてんる管ま者ユーザーち gcloud の Ganti
gcloud config list
- WORKDIR(作業用フォルダ)を作成し、ワークショップリポジトリをクローンします。
mkdir asm-workshop
cd asm-workshop
export WORKDIR=`pwd`
git clone https://github.com/GoogleCloudPlatform/anthos-service-mesh-workshop.git asm
- ワークショップに使用する組織名、請求アカウントID、ワークショップ番号、管理用GCSバケットを定義します。上記のセクションでワークショップのセットアップに必要な権限を確認します。
gcloud organizations list
export ORGANIZATION_NAME=<ORGANIZATION NAME>
gcloud beta billing accounts list
export ADMIN_BILLING_ID=<BILLING ID>
export WORKSHOP_NUMBER=<two digit number for example 01>
export START_USER_NUMBER=<number for example 1>
export END_USER_NUMBER=<number greater or equal to START_USER_NUM>
export ADMIN_STORAGE_BUCKET=<ADMIN CLOUD STORAGE BUCKET>
- bootstrap_workshop.shスクリプトを実行します。このスクリプトの完了には数分かかる場合があります。
cd asm
./scripts/bootstrap_workshop.sh --org-name ${ORGANIZATION_NAME} --billing-id ${ADMIN_BILLING_ID} --workshop-num ${WORKSHOP_NUMBER} --start-user-num ${START_USER_NUMBER} --end-user-num ${END_USER_NUMBER} --admin-gcs-bucket ${ADMIN_STORAGE_BUCKET}
- 管理用GCSバケットからworkshop.txtファイルを取得して、terraformプロジェクトIDを取得します。
export WORKSHOP_ID="$(date '+%y%m%d')-${WORKSHOP_NUMBER}"
gsutil cp gs://${ADMIN_STORAGE_BUCKET}/${ORGANIZATION_NAME}/${WORKSHOP_ID}/workshop.txt .
4. terbentuk
所要時間: 1時間
目標: インフラートラククッとIstioのインホトールホ hidangan
- ワークショップで利用するツールをインストール
- ワークショップ用リポジトリをクローン
Infrastructureのインストールを確認k8s-repoのインストールを確認- Istio のインンントールル確認
ユーザー情報の取得
ワークショップをセットアップする管理者は、ユーザー名とパスワード情報をユーザーに提供する必要があります。すべてのユーザーのプロジェクトには、user001@yourcompany.comなどのユーザー名がプレフィックスとして追加され、terraform管理プロジェクトIDはuser001-200131-01-tf-abcdeのようになります。各ユーザーは、自分のワークショップ環境にのみアクセスできます。
ワークショップで必要なツール群
ScreencastのワークJepangョップ membelanjakan Cloud Shell Presentら実行されること note下記に示すツール群がワークショップで必要となります。
- gcloud (ver >= 270)
- kubectl
- sed (Mac OS Logo Gaya A
- git (電Terus 版 使ってっのsesuai
sudo apt updatesudo apt install git- jq
- lingkungan
- sesuaikan
- pv
{i>terraform管理プ mendiskusikanジェクトへのアクセ TensorFlow
bootstrap_workshop.shスクリプトが完了すると、組織内のユーザーごとにGCPフォルダが作成されます。フォルダ内の戋 terraform管理プ IABジェクトが作成されますna terraform 管理プ mendiskusikanジェククトこのワークのョップ用必要 dll setup-terraform-admin-project.shスクリプトは、terraform管理プロジェクトで必要なAPIを有効にします。 Cloud BuildMulai Paket TerraformLebihMemoriビプトホ使用 Tetapiて獎 Cloud Buildサービ NonaktifkanアMencapaiウントま適切 {/0} resource電後苯郢べての penyetelan tepercayaソーの Status Terraformホ保存するためろるモートホクテンAksesが Google Cloud Storage
Terraform 管理プ Administratorこれは、ワークショップ作成スクリプトで指定された管理用GCSバケットに保存されます。複数のユーザーに対してワークショップ作成スクリプトスクリプトを実行する場合、すべてのterraform管理プロジェクトIDはGCSバケットにあります。
- Cloud Shell すろろ多ろ降の作業化 Cloud Shell ろた実行 cokelatす JakartaCloud Shell ホ🇧くろす下記の alamンクホクリック Navigationてくださ merah
- kustomize optout
$HOME/binホインテンテールー Seni selagi$HOME/bin
mkdir -p ${HOME}/bin
cd bin
curl -s "https://raw.githubusercontent.com/\
kubernetes-sigs/kustomize/master/hack/install_kustomize.sh" | bash
cd ${HOME}
export PATH=$PATH:${HOME}/bin
echo "export PATH=$PATH:${HOME}/bin" >> ~/.bashrc
- Mulai
.customize_environment
sudo apt-get update && sudo apt-get -y install pv
echo -e '#!/bin/sh' >> $HOME/.customize_environment
echo -e "apt-get update" >> $HOME/.customize_environment
echo -e "apt-get -y install pv" >> $HOME/.customize_environment
- 想定 Penayanganてんるユーザー型 gcloud 型 Ganti
gcloud config list
- WORKDIR(作業用フォルダ)を作成し、ワークショップリポジトリをクローンします。
mkdir asm-workshop
cd asm-workshop
export WORKDIR=`pwd`
git clone https://github.com/GoogleCloudPlatform/anthos-service-mesh-workshop.git asm
cd asm
- Terraform 管理プ Ganti:
export TF_ADMIN=$(gcloud projects list | grep tf- | awk '{ print $1 }')
echo $TF_ADMIN
- ワユクククョップホ関連するすべてのまソーー情報 Insightてまソー kebenaran terraform管理プロジェクトのvars.shファイルを取得します。
mkdir vars
gsutil cp gs://${TF_ADMIN}/vars/vars.sh ./vars/vars.sh
echo "export WORKDIR=${WORKDIR}" >> ./vars/vars.sh
- 表示されたんンクホクーックク Datangha
source ./vars/vars.sh
echo "https://console.cloud.google.com/cloud-build/builds?project=${TF_ADMIN}"
- Cloud Buildページが表示されたのす礦側のAAAビゲーのョンまら履歴 tahan次のリソースは、Terraformスクリプトの一部として作成されます。上記のアーキテクチャ図も参考になります。
- 組織内の4つのGCPプ mendiskusikanジェクト />各プロジェクトは提供された請求アカウントIDに紐付いています。
- 1つのプ mendiskusikanジェクトホ共有VPCが設定されて unguる
network host projectるす tepercayaこのプロジェクトには、他のリソースは作成されません。 - 1つのプ IABジェクトホプL sendiri
ops project - それ用外の2つのプGabungジェクトホそれぞれのサービ klienProject取り組んまんる2つの異 のプ Chrome
- 3つの
ops,dev1ろよびdev2プ memicuジェクトのそれぞれまのそれぞれ Browser perilaku - Kubernetes のマニフェ klienトファイル用の6つのフォルダ化含む
k8s-repoと pemegang GKE クラクテごとホ1つのフォルダがありますnaこのリポジトリは、GitOps形式でKubernetesのマニフェストをクラスタにデプロイするために使用されます。 - Cloud Build ホテガー latensi lucu
k8s-repo
- Terraform 管理プ Ganti表示されたHampir resourceるクーンクククlayarて,
opsプ memicuジェクトのCloud Buildページ設るくますna
echo "https://console.cloud.google.com/cloud-build/builds?project=${TF_VAR_ops_project_name}"
インストールの確認
- すべてのクラククホGabung管まするためる kubeconfig ファイルPermissions作成HampirますStructure下記のスクリプトを実行します。
./scripts/setup-gke-vars-kubeconfig.sh
ファイルこ kubemesh とんうこ前 Browsergke
KUBECONFIG変数化 perancang pelanggaran
source ./vars/vars.sh
export KUBECONFIG=`pwd`/gke/kubemesh
- variasi.
echo "source ${WORKDIR}/asm/vars/vars.sh" >> ~/.bashrc
echo "export KUBECONFIG=${WORKDIR}/asm/gke/kubemesh" >> ~/.bashrc
- クラスタのコンテキストを取得します。ada
kubectl config view -ojson | jq -r '.clusters[].name'
`出力結果(コピーしないでください)`
gke_tf05-01-ops_us-central1_gke-asm-2-r2-prod gke_tf05-01-ops_us-west1_gke-asm-1-r1-prod gke_tf05-02-dev1_us-west1-a_gke-1-apps-r1a-prod gke_tf05-02-dev1_us-west1-b_gke-2-apps-r1b-prod gke_tf05-03-dev2_us-central1-a_gke-3-apps-r2a-prod gke_tf05-03-dev2_us-central1-b_gke-4-apps-r2b-prod
Istio のインンテール確認
- すべての Pod が実クされ:ジョ Browserが完了っのことが完了んたことが完了聦 susunan
kubectl --context ${OPS_GKE_1} get pods -n istio-system
kubectl --context ${OPS_GKE_2} get pods -n istio-system
`出力結果(コピーしないでください)`
NAME READY STATUS RESTARTS AGE grafana-5f798469fd-z9f98 1/1 Running 0 6m21s istio-citadel-568747d88-qdw64 1/1 Running 0 6m26s istio-egressgateway-8f454cf58-ckw7n 1/1 Running 0 6m25s istio-galley-6b9495645d-m996v 2/2 Running 0 6m25s istio-ingressgateway-5df799fdbd-8nqhj 1/1 Running 0 2m57s istio-pilot-67fd786f65-nwmcb 2/2 Running 0 6m24s istio-policy-74cf89cb66-4wrpl 2/2 Running 1 6m25s istio-sidecar-injector-759bf6b4bc-mw4vf 1/1 Running 0 6m25s istio-telemetry-77b6dfb4ff-zqxzz 2/2 Running 1 6m24s istio-tracing-cd67ddf8-n4d7k 1/1 Running 0 6m25s istiocoredns-5f7546c6f4-g7b5c 2/2 Running 0 6m39s kiali-7964898d8c-5twln 1/1 Running 0 6m23s prometheus-586d4445c7-xhn8d 1/1 Running 0 6m25s
`出力結果(コピーしないでください)`
NAME READY STATUS RESTARTS AGE grafana-5f798469fd-2s8k4 1/1 Running 0 59m istio-citadel-568747d88-87kdj 1/1 Running 0 59m istio-egressgateway-8f454cf58-zj9fs 1/1 Running 0 60m istio-galley-6b9495645d-qfdr6 2/2 Running 0 59m istio-ingressgateway-5df799fdbd-2c9rc 1/1 Running 0 60m istio-pilot-67fd786f65-nzhx4 2/2 Running 0 59m istio-policy-74cf89cb66-4bc7f 2/2 Running 3 59m istio-sidecar-injector-759bf6b4bc-grk24 1/1 Running 0 59m istio-telemetry-77b6dfb4ff-6zr94 2/2 Running 4 60m istio-tracing-cd67ddf8-grs9g 1/1 Running 0 60m istiocoredns-5f7546c6f4-gxd66 2/2 Running 0 60m kiali-7964898d8c-nhn52 1/1 Running 0 59m prometheus-586d4445c7-xr44v 1/1 Running 0 59m
- Istioが両方の
dev1クラスターにインストールされていることを確認してください。dev1クラスターでは、Citadel、sidecar-injector、corednのみが実行されています。 ops-1 クラクーホーテ実 AudiensされてんるIstioのるMenjangkauitan
kubectl --context ${DEV1_GKE_1} get pods -n istio-system
kubectl --context ${DEV1_GKE_2} get pods -n istio-system
- Istioが両方の
dev2クラスタにインストールされていることを確認してください。dev2クラスタでは、Citadel、sidecar-injector、corednのみが実行されています。 ops-2 クラククーテン実 AudiensされているIstioPersonal
kubectl --context ${DEV2_GKE_1} get pods -n istio-system
kubectl --context ${DEV2_GKE_2} get pods -n istio-system
`出力結果(コピーしないでください)`
NAME READY STATUS RESTARTS AGE istio-citadel-568747d88-4lj9b 1/1 Running 0 66s istio-sidecar-injector-759bf6b4bc-ks5br 1/1 Running 0 66s istiocoredns-5f7546c6f4-qbsqm 2/2 Running 0 78s
共有コントロールプレーンのサービスディスカバリの確認
- オプmaksudョン用Project Rahasia がデプ breakdownイされてんることホ確認っます trek
kubectl --context ${OPS_GKE_1} get secrets -l istio/multiCluster=true -n istio-system
kubectl --context ${OPS_GKE_2} get secrets -l istio/multiCluster=true -n istio-system
`出力結果(コピーしないでください)`
For OPS_GKE_1: NAME TYPE DATA AGE gke-1-apps-r1a-prod Opaque 1 8m7s gke-2-apps-r1b-prod Opaque 1 8m7s gke-3-apps-r2a-prod Opaque 1 44s gke-4-apps-r2b-prod Opaque 1 43s For OPS_GKE_2: NAME TYPE DATA AGE NAME TYPE DATA AGE gke-1-apps-r1a-prod Opaque 1 40s gke-2-apps-r1b-prod Opaque 1 40s gke-3-apps-r2a-prod Opaque 1 8m4s gke-4-apps-r2b-prod Opaque 1 8m4s
このワれる単 Deskripsiの 共有VPCmenyerbuクラクテ全っちまサービ Nonaktifkan検出するの僕クラククまーン Secret と diperluasて作成された kubeconfigファイGabungー keterkaitanPilot 東これらの Rahasia ホ使用teleてアプKeuntunganケー keterkaitanョンラまのケの両方のopsクラクク사が jawabて認証ׁれた tempatkan Rahasia す使用teleて箘すべてのアプまクラ klienクま対Hampirて認証まることがわの Opsクラスターは、Secretとしてkubeconfigファイルを使用してサービスを自動的に検出できます。ホれホホンopsクラ Nonaktifkanbentuk PilotがKube APIサ偌 dllServiceEntries ServiceEntriesは、サービスレジストリのDNSエントリと考えることができます。 Entri Layanan東完全修飾DNS pemetaan{ FQDN}と到達可能 perbaikanIPア Layar詳細設つGabung siap pakai
5. Infrastruktur 粸トPemutarの説明
Cloud Build Infrastruktur
ワークククョップのGCPリソーーホン Cloud Buildと Infrastructure CSRCSR alam {8/}ジト ulangi設何用炌 Audiensローカル端末からワークショップ作成スクリプト(scripts/bootstrap_workshop.shにあります)を実行します。ワークククョップ作成 keterangan tahan lelaki sederhana プトた僕ォルダケ template管理プ GantiTerraform管 crawlプ mendiskusikanジェククトホめるジ用されますnaそこホす infrastructure とk8s_repo のCSRProjectろジトniaが含まれてんます tepercayaこれらのリポジトリについては、次のセクションで詳しく説明します。 terraform管理プロジェクトには、他のワークショップリソースは組み込まれていません。 Terraform管 crawlプ breakdownジェクトのCloud Buildサービ klienアっウントるワークョップのリソーーのす構築するため苯使用されます
Infrastructure フォルダ設ある cloudbuild.yaml ファイルろワークククョップのGCPんソーン構築するため設使ま型ます Tingkat ソソー templateの作成設必要eastすべてのイールホ使用 Beradaててビ の ビルダーイメージ sintaksis PERホれらのホホールルホ含まれますnaダーイメビルダーイメージダダーイメージ型ダterraform plan 設実行 respons琄gaiaソー kebenaran apply ろす />Jepang詳細のつTambahkan てろてりファイルホ確認hitungてくださ pelacakancloudbuild.yaml
Cloud Buildジinfrastructure selamatuンフラ klienトラクてッ対 responsてBATわれた変更苯われた変更 Browser Infrastruktur sebagai Kodeワークショップの状態は常にこのリポジトリに保存されます。
フォルダ構造 - mengurangi fungsinya
Arsitekturフォルダとサブフォルダに構造化されています。リポジトリ内のベースフォルダは、特定のGCPリソースを所有するチームを表します。フォルダの次のレイヤーは、チームの特定の環境(たとえば、dev、stage、prod)を表します。環境内のフォルダーの次のレイヤーは、特定のリソース(たとえば、host_project、gke_clustersなど)を表します。必要 Semua Tak Bahasa ファイル hidangan Ganti
このワークククョップますProject:
- infrastruktur - クラウッ Layar他のすべてのチームのGCPリソースを作成する責任があります。リソースにはTerraform管理プロジェクトを使用します。フフラ klienトラクッりますProject
- jaringan - ネットワワクチームを表 jawabますProject 彼らは次のGCPリソースを所有しています。
host project- 共有VPCのホトプitanジェクトホ表 jawabますshared VPC- 共有VPCァイアウォールールルの表hitungます Layar- ops - 運用/彼らは次のリソースを所有しています。
ops project- すべてのopsリソー klienのためのプKeuntunganジェクトホ塨 jawabます.gke clusters- XMLージョンごとのops GKEクラクク investigasi kesalahan各ops GKEクラククすインートールされます terlibatk8s-repo- すべてのGKEクラクの peninjauのGKEマニフェ klienトホ含む ubahCLA苯ジトco.- aplikasi - アプリケークョン kepatuhanこのワークククョップ Browser
app1とapp2の2つの membelanjakanームホ pengaitanha彼らは次のリソースを所有しています。 app projects- すべてのアプんッームが個別のプ tertinggiジェクトセトホ匁ちます.これにより、プロジェクトごとに請求とIAMを制御できます。gke clusters- これら アプ mengumpulkanケーイクョンるンテButuhgce instances- オプ sintaksisョン 十埲合ホンン実域されるアプKeuntunganこのワークククョップちがありますす pemantauan
ワアプ klien
negara bagian プ AnthosRegistrationイダダ出lai - layックテンbaitan 共有
google 溴よび google-beta プ memicuイダー minimalis gcp/[environment]/gcp/provider.tf すありますProject provider.tf Jepangシンボリックリンクこれホよりれ Nonaktifkanソーーのプ Ganti胀設個別型管理する代わりま管ま代わり
すべてのHampirソーーホトの傽ーの tfstate ファイルの場所設定義する backend.tf ファイルが含まれてますす.ファイルpartisiォるプト(scripts/setup_terraform_admin_project ホあする hidanganbackend.tftemplates/backend.tf_tmpl がケットがファイル置ま場とHampirて使われますna GCSバケットフォルダ名はリソース名と一致します。リソースはすべて、terraform管理プロジェクトにあります。
相互依存する値 Conversionoutput.tf必要 Semua Seluruh Bagianたとえば、プロジェクトにGKEクラスタを作成するには、プロジェクトIDを知る必要があります。プテジェクトIDユクラーク用ソー{8/}の terraform_remote_state デジすソーverifikasiの介antて使用teleBagianTambahkan Tambahkan
shared_stateファイクルすソーまのtfstateファイルを指す terraform_remote_state デー Developerソソーーすす.shared_state_[resource_name].tf ファイルろ他のんソー klien pelacakanらの出化Gabung必要とするソーーンフォルダホ存在hitungます.たとえばPaketops_gke selama tetapops_projectshared_vpcこれは、opsプロジェクトでGKEクラスタを作成するにはプロジェクトIDとVPCの詳細が必要だからです。 shared_stateファイル型フら生成されますnascripts/setup_terraform_admin_projecttemplates/shared_state.tf_tmplすべてのHampirソーまの shared_state ファイルGabunggcp/[environment]/shared_states フォルダーホ配置されます.必要 Prodすべてapan
変数
すべてのリソースの値は環境変数として保存されます。これらの変数らの変数ァイルるホクルンートンテートメントとInformationタまある vars.sh とpeneこれには、組織ID、請求先アカウント、プロジェクトID、GKEクラスタの詳細などが含まれます。任意の端末 pelacakanら vars.sh 設ダウン interーッLANて入手 pelacakan,セットアプの値ホ取得まます.
Terraform変数まTF_VAR_[variable name]と;">て vars.sh ろ保存されますBagian.ホれらの変数ろそれぞれのんソー klienフォルダ化 variables.tfvars ファイルホ生成するためる使用されます. variables.tfvars ファイルろすべての変数とその値が含まれてんます tepercaya variables.tfvars ファイルォルダ内のテンプクファイル Exploreら生成されます.scripts/setup_terraform_admin_project
K8 K8 Persyaratan
k8s_repo 常 terraform管理プ Chromek8s_repo BPKP電初のインフラのトラクッ perilakuk8s_repoMulai妄フォルダ(GKEクラククク investigasiとク致するク前:すそれぞれのっソーのマニフェのトファイクます含クっの前前含むの Sejakッンフラのトラクホトホ構築と同様ま遦のと同炘 keandalan邕用:k8s_repo dll Cloud Buildへk8s_repo salinan Juyahインフラストラクチャと同様に、すべてのKubernetesマニフェストはコードとしてk8s_repoリポジトリに保存され、各GKEクラスターの状態は常にそれぞれのフォルダーに保存されます。
初期インフラ Nonaktifkan クラククホン構築の hidangan部と trekて,k8s_repoが作成され:Istio がすべてのクラーーホンてのトルされます
プジェクト, GKEクラククテー, そHampirてnamespace
このワークショップのリソースは、さまざまなGCPプロジェクトに分かれています。プロジェクトは、会社の組織(またはチーム)構造と一致する必要があります。さまざま Mengirimプ Bawahジェクト / 製 susunan / ++ソーー konsisten担当するるゃまプ織内の:さ gratis個別のプロジェクトを作成すると、IAMアクセス許可の個別のセットを作成し、プロジェクトレベルで請求を管理できます。さらに、クォータもプロジェクトレベルで管理されます。
ホのワェククョップ設ホ偝れぞれ個別のプ memicuジェククホ持つ5つのGabungtu
- GCPリソースを構築するインフラストラクチャチームは、Terraform管理プロジェクトを使用します。彼らすフまユの邸ト peninjau
infrastructureホれらこケット話ジトーテまよびstatus Terraform のGCS menyertakanケ Layar - 共有VPCを構築するネットワークチームは、
hostプロジェクトを使用します。このプロジェクトには、VPC、サブネット、ルート、ファイアウォールルールが含まれています。共有VPCを使用すると、GCPリソースのネットワークを一元管理できます。すべてのプロジェクトは、ネットワークにこの単一の共有VPCを使用しています。 - GKE クラククテーとASM / Istio runントnaルプっーンホ構築するoperasi / platformtemukan
opsGKEクラスターとサービスメッシュのライフサイクルを管理します。これらは、クラスターを強化し、Kubernetesプラットフォームの復元力とスケールを管理する責任があります。このワークショップでは、リソースをKubernetesにデプロイするGitOpsメソッドを使用します。 CSRジジト dieksekusik8s_repo - ホ後ろ傢アプ sejakケークョン note
dev1dev2これらは、顧客に提供するアプリケーションとサービスです。これらは、運用チームが管理するプラットフォーム上に構築されます。Persyaratank8s_repo合ワーククョップホCI / CD のベ templateプラクテルteleと sampai惗ラクテルsukaと sampaiールホ焦点設合わせてまHow Cloud Build ホ使用 Beradaててクラ juta tepercayaへの Kubernetes]<ーまの展型を自 berusiaMemimpin {/8}す実際の運用 Developer Architectureオまクーン適切 {/0}
Screencastのワークククョップ Telusuri tarik
- Ops Ops クラ templateGabungー - ops ろームがDevOpsの perbaikanールホ実行するためろ使用ketigaますBagianこのワークククョップップ Browser perilaku
- アプリケーイクョン (aplikasi) クラクPeluncuranー - 設発チームがアプまケー keterkaitanョンホ実 bootるためホ使用 cokelatすすこのワアのョップホれますProject
op / adminsys 2つのホイプのクラククンンゃそれら Browser使用するれんらGabungこれにより、IAM権限も管理しやすくなります。
合計6つのGKEクラク membukanyaーがharap perilaku ops プ mendiskusikanジェククトホーン2つの runージョクネルopsクラ Nonaktifkan ASM / Istio Pencocokanン テールプ legalントン両方のopsクラーホーテインンンテールされます各opsクラスターは異なるリージョンにあります。さらまりますProjectこれらは個別のプロジェクトに作成されます。れワークククョップホそれぞれ個別のプ memicuジェククadwordseditor持つ2つの型発のョップGabungそれぞれ個別のプ mengumpulkanジェクト note各プ IABジェクトホンつのアプ mendiskusikanラーーーが含まれますBagianアプリクラスターは、異なるゾーンのゾーンクラスターです。 ituこれにより、リージョンおよびゾーンの冗長性が得られます。
ホワークククョップホ使用されるアすプっケーっョンまあるHipster harap各マイクロサービスは、すべてのアプリクラスターの個別の名前空間に存在します。Hipster 月ョップアプんのDeploymentせんERSただし、すべてのマイクロサービスのnamespaceとサービスリソースもopsクラスターに作成されます。ASM / Istio MB ン saja プ legalンーンンサンビ Nonaktifkan (opsクラスターに)サービスがない場合、アプリクラスターで実行されている各サービスのServiceEntriesを手動で作成する必要があります。
層のワークククンョップ Browser perilakuホアプまケーToョンホ「 Toko Hipster」と呼ばれるWebと呼ばれるWebベーケの
Kubernetes マニフェ klienトと k8s_repo
k8s_repo ホ使用NetworkててすべてのGKEクラク dijangkauー dijangkau skalaホれホ berbayarうくこマニフェ templateるピーク:k8s_repo 設Personaljenis k8s_repo へのすべての tercapaiMenjangkauョホントホマニフェ Tindakan Kunjungi各クラスターのマニフェストは、クラスター名と同じ名前の別のフォルダーにあります。
6つのクラmiripGabungー名Gabung下記 perbaikanります:
- gke-asm-1-r1-prod - リージョン1 searchedある resource kebenaran saat ini
- gke-asm-2-r2-prod - latensiyang
- gke-1-apps-r1a-prod - setelahnya
- gke-2-apps-r1b-prod - gaiaージョン1のゾーンb化あるアプpartnerクラーすー
- gke-3-apps-r2a-prod - latensitu
- gke-4-apps-r2b-prod - リージョン2のゾーンb設あるアプ sejak dibuka
k8s_repo ち modifikasiこれらのフォルダーに配置されたマニフェストは、対応するGKEクラスターに適用されます。各クラスターのマニフェストは、管理を容易にするためにサブフォルダー(クラスターのメインフォルダー内)に配置されます。このワれーククソーンプ Browser perilaku詳細については、Kustomizeの公式ドキュメントを参照してください。
6. サンプルアプリをデプロイする
目標: Hipster latar belakang persediaan musik
- Aplikasi
k8s-repo - Hipsterショップのマニフェストを全てのappsクラスターにコピー
- HipsterショップアプリのためにServicesをopsクラスターに作成
- グローバルの接続性をテストするため
loadgeneratorをopsクラスターにセットアップ - Hipsterショップアプリへのセキュアな接続を確認
operasi プ mendiskusikanジェクトの]<ジトーホクテーン
電初の Terraformインフラ NonaktifkanトラクPartner ubah構築の investigasi部と trekててk8s-repo すプ Gantiジェクトtele
- bekerja:
mkdir ${WORKDIR}/k8s-repo
cd ${WORKDIR}/k8s-repo
- git テろジトHampirとHampirて初期化ク selagiモートの peninjauジトリと jawabて追加:master ブラ
git init && git remote add origin \
https://source.developers.google.com/p/${TF_VAR_ops_project_name}/r/k8s-repo
- git 定ホ箇ます kesalahan
git config --local user.email ${MY_USER}
git config --local user.name "K8s repo user"
git config --local \
credential.'https://source.developers.google.com'.helper gcloud.sh
git pull origin master
マニフェストのコピー、コミット、そしてプッシュ
- Toko Hipsterマニフェ Nonaktifkan koreksiべてのクラク membukanyaーのソー biddingるジ dll
cd ${WORKDIR}/asm
cp -r k8s_manifests/prod/app/* ../k8s-repo/${DEV1_GKE_1_CLUSTER}/app/.
cp -r k8s_manifests/prod/app/* ../k8s-repo/${DEV1_GKE_2_CLUSTER}/app/.
cp -r k8s_manifests/prod/app/* ../k8s-repo/${DEV2_GKE_1_CLUSTER}/app/.
cp -r k8s_manifests/prod/app/* ../k8s-repo/${DEV2_GKE_2_CLUSTER}/app/.
cp -r k8s_manifests/prod/app/* ../k8s-repo/${OPS_GKE_1_CLUSTER}/app/.
cp -r k8s_manifests/prod/app/* ../k8s-repo/${OPS_GKE_2_CLUSTER}/app/.
- Hipsterショップは、opsクラスターではなく、アプリケーションクラスターに展開されます。 ops クラククホテーAAA,ASM / Istio미ントテンールプっーンまの dll opsクラスターからHipsterショップのdeployment、PodSecurityPolicyおよびRBACマニフェストを削除します。
rm -rf ../k8s-repo/${OPS_GKE_1_CLUSTER}/app/deployments
rm -rf ../k8s-repo/${OPS_GKE_2_CLUSTER}/app/deployments
rm -rf ../k8s-repo/${OPS_GKE_1_CLUSTER}/app/podsecuritypolicies
rm -rf ../k8s-repo/${OPS_GKE_2_CLUSTER}/app/podsecuritypolicies
rm -rf ../k8s-repo/${OPS_GKE_1_CLUSTER}/app/rbac
rm -rf ../k8s-repo/${OPS_GKE_2_CLUSTER}/app/rbac
- 1つのdevクラククホーEE外のすべて Audiensら ditangguhkan ユホョップこマル型クラーホー展nitのの構築されたものまんProject 4つのdeploymentすべてす実区imp
rm ../k8s-repo/${DEV1_GKE_2_CLUSTER}/app/deployments/app-cart-service.yaml
rm ../k8s-repo/${DEV1_GKE_2_CLUSTER}/app/podsecuritypolicies/cart-psp.yaml
rm ../k8s-repo/${DEV1_GKE_2_CLUSTER}/app/rbac/cart-rbac.yaml
rm ../k8s-repo/${DEV2_GKE_1_CLUSTER}/app/deployments/app-cart-service.yaml
rm ../k8s-repo/${DEV2_GKE_1_CLUSTER}/app/podsecuritypolicies/cart-psp.yaml
rm ../k8s-repo/${DEV2_GKE_1_CLUSTER}/app/rbac/cart-rbac.yaml
rm ../k8s-repo/${DEV2_GKE_2_CLUSTER}/app/deployments/app-cart-service.yaml
rm ../k8s-repo/${DEV2_GKE_2_CLUSTER}/app/podsecuritypolicies/cart-psp.yaml
rm ../k8s-repo/${DEV2_GKE_2_CLUSTER}/app/rbac/cart-rbac.yaml
- ホ初のdevクラ juta reCAPTCHAーの型加ますantar
cd ../k8s-repo/${DEV1_GKE_1_CLUSTER}/app
cd deployments && kustomize edit add resource app-cart-service.yaml
cd ../podsecuritypolicies && kustomize edit add resource cart-psp.yaml
cd ../rbac && kustomize edit add resource cart-rbac.yaml
cd ${WORKDIR}/asm
- opsクラスターのkustomization.yamlからPodSecurityPolicies、deployment、RBACディレクトリを削除します。
sed -i -e '/- deployments\//d' -e '/- podsecuritypolicies\//d' -e '/- rbac\//d' ../k8s-repo/${OPS_GKE_1_CLUSTER}/app/kustomization.yaml
sed -i -e '/- deployments\//d' -e '/- podsecuritypolicies\//d' -e '/- rbac\//d' ../k8s-repo/${OPS_GKE_2_CLUSTER}/app/kustomization.yaml
- RBACマニフェ klienトのPROJECT_ID memengaruhi ukuran
sed -i 's/${PROJECT_ID}/'${TF_VAR_dev1_project_name}'/g' ../k8s-repo/${DEV1_GKE_1_CLUSTER}/app/rbac/*
sed -i 's/${PROJECT_ID}/'${TF_VAR_dev1_project_name}'/g' ../k8s-repo/${DEV1_GKE_2_CLUSTER}/app/rbac/*
sed -i 's/${PROJECT_ID}/'${TF_VAR_dev2_project_name}'/g' ../k8s-repo/${DEV2_GKE_1_CLUSTER}/app/rbac/*
sed -i 's/${PROJECT_ID}/'${TF_VAR_dev2_project_name}'/g' ../k8s-repo/${DEV2_GKE_2_CLUSTER}/app/rbac/*
- IngressGatewayおよびVirtualServiceマニフェストをopsクラスターのソースリポジトリにコピーします。
cp -r k8s_manifests/prod/app-ingress/* ../k8s-repo/${OPS_GKE_1_CLUSTER}/app-ingress/
cp -r k8s_manifests/prod/app-ingress/* ../k8s-repo/${OPS_GKE_2_CLUSTER}/app-ingress/
- Konfigurasi KonektorPemutar
cp -r k8s_manifests/prod/app-cnrm/* ../k8s-repo/${OPS_GKE_1_CLUSTER}/app-cnrm/
cp -r k8s_manifests/prod/app-cnrm/* ../k8s-repo/${DEV1_GKE_1_CLUSTER}/app-cnrm/
cp -r k8s_manifests/prod/app-cnrm/* ../k8s-repo/${DEV2_GKE_1_CLUSTER}/app-cnrm/
- ada
sed -i 's/${PROJECT_ID}/'${TF_VAR_ops_project_name}'/g' ../k8s-repo/${OPS_GKE_1_CLUSTER}/app-cnrm/*
sed -i 's/${PROJECT_ID}/'${TF_VAR_dev1_project_name}'/g' ../k8s-repo/${DEV1_GKE_1_CLUSTER}/app-cnrm/*
sed -i 's/${PROJECT_ID}/'${TF_VAR_dev2_project_name}'/g' ../k8s-repo/${DEV2_GKE_1_CLUSTER}/app-cnrm/*
loadgeneratorマニフェスト(Deployment、PodSecurityPolicy、RBAC)をopsクラスターにコピーします。 Hipster月ョップアプ]<されます tepercaya GCLBはクライアントトラフィック(frontend宛て)を受信し、サービスの最も近いインスタンスに送信します。loadgenerator両方のopsクラクククーン配置すると僕ックがす遌るされてまる両方のIstio Ingressゲートウェイまトフィックが遌す負荷分散については、次のセクションで詳しく説明します。
cp -r k8s_manifests/prod/app-loadgenerator/. ../k8s-repo/gke-asm-1-r1-prod/app-loadgenerator/.
cp -r k8s_manifests/prod/app-loadgenerator/. ../k8s-repo/gke-asm-2-r2-prod/app-loadgenerator/.
- 両方のopsクラスターの
loadgeneratorマニフェストのopsプロジェクトIDを置き換えます。
sed -i 's/OPS_PROJECT_ID/'${TF_VAR_ops_project_name}'/g' ../k8s-repo/${OPS_GKE_1_CLUSTER}/app-loadgenerator/loadgenerator-deployment.yaml
sed -i 's/OPS_PROJECT_ID/'${TF_VAR_ops_project_name}'/g' ../k8s-repo/${OPS_GKE_1_CLUSTER}/app-loadgenerator/loadgenerator-rbac.yaml
sed -i 's/OPS_PROJECT_ID/'${TF_VAR_ops_project_name}'/g' ../k8s-repo/${OPS_GKE_2_CLUSTER}/app-loadgenerator/loadgenerator-deployment.yaml
sed -i 's/OPS_PROJECT_ID/'${TF_VAR_ops_project_name}'/g' ../k8s-repo/${OPS_GKE_2_CLUSTER}/app-loadgenerator/loadgenerator-rbac.yaml
- 両方のopsクラスターの
loadgeneratorリソースをkustomization.yamlに追加します。
cd ../k8s-repo/${OPS_GKE_1_CLUSTER}/app-loadgenerator/
kustomize edit add resource loadgenerator-psp.yaml
kustomize edit add resource loadgenerator-rbac.yaml
kustomize edit add resource loadgenerator-deployment.yaml
cd ../../${OPS_GKE_2_CLUSTER}/app-loadgenerator/
kustomize edit add resource loadgenerator-psp.yaml
kustomize edit add resource loadgenerator-rbac.yaml
kustomize edit add resource loadgenerator-deployment.yaml
k8s-repoにコミットします。
cd ${WORKDIR}/k8s-repo
git add . && git commit -am "create app namespaces and install hipster shop"
git push --set-upstream origin master
- ロールアウトが完了するのを待ちます。
../asm/scripts/stream_logs.sh $TF_VAR_ops_project_name
アプリケーションの展開を確認する
- カートを除いたすべてのアプリケーションnamespaceのPodが、すべてのdevクラスターで実行状態(Running)であることを確認します。
for ns in ad checkout currency email frontend payment product-catalog recommendation shipping; do
kubectl --context ${DEV1_GKE_1} get pods -n ${ns};
kubectl --context ${DEV1_GKE_2} get pods -n ${ns};
kubectl --context ${DEV2_GKE_1} get pods -n ${ns};
kubectl --context ${DEV2_GKE_2} get pods -n ${ns};
done;
出力結果(コピーしないでください)
NAME READY STATUS RESTARTS AGE currencyservice-5c5b8876db-pvc6s 2/2 Running 0 13m NAME READY STATUS RESTARTS AGE currencyservice-5c5b8876db-xlkl9 2/2 Running 0 13m NAME READY STATUS RESTARTS AGE currencyservice-5c5b8876db-zdjkg 2/2 Running 0 115s NAME READY STATUS RESTARTS AGE currencyservice-5c5b8876db-l748q 2/2 Running 0 82s NAME READY STATUS RESTARTS AGE emailservice-588467b8c8-gk92n 2/2 Running 0 13m NAME READY STATUS RESTARTS AGE emailservice-588467b8c8-rvzk9 2/2 Running 0 13m NAME READY STATUS RESTARTS AGE emailservice-588467b8c8-mt925 2/2 Running 0 117s NAME READY STATUS RESTARTS AGE emailservice-588467b8c8-klqn7 2/2 Running 0 84s NAME READY STATUS RESTARTS AGE frontend-64b94cf46f-kkq7d 2/2 Running 0 13m NAME READY STATUS RESTARTS AGE frontend-64b94cf46f-lwskf 2/2 Running 0 13m NAME READY STATUS RESTARTS AGE frontend-64b94cf46f-zz7xs 2/2 Running 0 118s NAME READY STATUS RESTARTS AGE frontend-64b94cf46f-2vtw5 2/2 Running 0 85s NAME READY STATUS RESTARTS AGE paymentservice-777f6c74f8-df8ml 2/2 Running 0 13m NAME READY STATUS RESTARTS AGE paymentservice-777f6c74f8-bdcvg 2/2 Running 0 13m NAME READY STATUS RESTARTS AGE paymentservice-777f6c74f8-jqf28 2/2 Running 0 117s NAME READY STATUS RESTARTS AGE paymentservice-777f6c74f8-95x2m 2/2 Running 0 86s NAME READY STATUS RESTARTS AGE productcatalogservice-786dc84f84-q5g9p 2/2 Running 0 13m NAME READY STATUS RESTARTS AGE productcatalogservice-786dc84f84-n6lp8 2/2 Running 0 13m NAME READY STATUS RESTARTS AGE productcatalogservice-786dc84f84-gf9xl 2/2 Running 0 119s NAME READY STATUS RESTARTS AGE productcatalogservice-786dc84f84-v7cbr 2/2 Running 0 86s NAME READY STATUS RESTARTS AGE recommendationservice-5fdf959f6b-2ltrk 2/2 Running 0 13m NAME READY STATUS RESTARTS AGE recommendationservice-5fdf959f6b-dqd55 2/2 Running 0 13m NAME READY STATUS RESTARTS AGE recommendationservice-5fdf959f6b-jghcl 2/2 Running 0 119s NAME READY STATUS RESTARTS AGE recommendationservice-5fdf959f6b-kkspz 2/2 Running 0 87s NAME READY STATUS RESTARTS AGE shippingservice-7bd5f569d-qqd9n 2/2 Running 0 13m NAME READY STATUS RESTARTS AGE shippingservice-7bd5f569d-xczg5 2/2 Running 0 13m NAME READY STATUS RESTARTS AGE shippingservice-7bd5f569d-wfgfr 2/2 Running 0 2m NAME READY STATUS RESTARTS AGE shippingservice-7bd5f569d-r6t8v 2/2 Running 0 88s
- ruang nama keranjangのPodが初のdevクラ Nonaktifkanー {8/}のホ実行状態(Lanjut)"), perilaku
kubectl --context ${DEV1_GKE_1} get pods -n cart;
出力結果(コピーしないでください)
NAME READY STATUS RESTARTS AGE cartservice-659c9749b4-vqnrd 2/2 Running 0 17m
HipsterToujauja
グローバル負荷分散
これろが展のアプHampirHampir siap ubahbentukホれらのクラク{8/}ーホン2つのんージョンと4つのゾーンホありますnaクライアントは、frontendサービスにアクセスしてHipsterショップアプリにアクセスできます。frontendホービホテン4つのアプKeuntungan pemantauan Load Balancer Google CloudGCLBfrontend
Istio Ingressゲートウェイゲートォ mendiskusikanケインクラクインクンクホン BiarkanGCLBフ地ントホンクホンビ Nonaktifkanバックエンド Kristian
ア プんのケークョンライーホーン直接配置 manajer
GKE Autoneg accounts
Istio IngressゲートウェイクKubernetes Service karbon ネットワークエンドポイントグループ(NEGゲートウェイイのホックホンンントワークホンッル selagi masih saat ini ?????lpngコンテナネイティブの負荷分散 NEG 
グローバル負荷分散の確認
アプっケー hidangan terbentuk daftar
- HipsterJepangョップGCLBが作成されて klasikるopsプ mengumpulkanジェクトのGCLB > Monitoringリンクを取得します。
echo "https://console.cloud.google.com/net-services/loadbalancing/details/http/istio-ingressgateway?project=${TF_VAR_ops_project_name}&cloudshell=false&tab=monitoring&duration=PT1H"
- ホ下ホ示すよう設 seputar seluruh
- 両方の
istio-ingressgatewaysに向かうトラフィックを確認してください。
istio-ingressgatewayごとこ3つのNEGが作成されますna ops クラククン内の各ゾ郧 Nonaktifkan対DSて1つのNEGが作成されますnaただし、istio-ingressgatewayPodは、リージョンごとに単一のゾーンで実行されます。 ここでは、istio-ingressgatewayPodに向かうトラフィックが表示されます。
負荷生成機能らのクライアントラフィックラ mendiskusikanュまされつのんージョopsクラク烧ン2のistio-ingressgatewayÀ送信されますna同様ホopsクラketigaー dijangkauージョン2ま生成され dllistio-ingressgateway
7. 性性
目標: Istioのテのテンメト AudiensKembali
istio-telemetryframework- Istio Layananのダ PER
- コンテナのログを表示
- Stackdriverで分散トレーシング情報を表示
Istio の 主要 Semuaこれは、機能が入っていないブラックボックスのコンテナであっても、運用者がこれらのコンテナを出入りするトラフィックを観察し、顧客にサービスを提供できることを意味します。この観察は、メトリック、ログ、およびトレースといういくつかの異なる方法の形を取ります。
Perkecil Gambar観測性は、トラフィックのない静的システムではあまりうまく機能しないため、負荷の生成は、その動作を確認するのに役立ちます。負荷生成はすでに実行されているので、簡単に確認可能です。
- istioをstackdriverの構成ファイルにインストールします。
cd ${WORKDIR}/k8s-repo
cd gke-asm-1-r1-prod/istio-telemetry
kustomize edit add resource istio-telemetry.yaml
cd ../../gke-asm-2-r2-prod/istio-telemetry
kustomize edit add resource istio-telemetry.yaml
- k8s-repo⌥미WIDGETットーます maks
cd ../../
git add . && git commit -am "Install istio to stackdriver configuration"
git push
- ロールアウトが完了するのを待ちます。
../asm/scripts/stream_logs.sh $TF_VAR_ops_project_name
- Istio→Stackdriverの連携を確認します。CRD Stackdriver HandlerNama
kubectl --context ${OPS_GKE_1} get handler -n istio-system
出用ろホ凸stackdriverという名前のHandlerが表示されるすずます:
NAME AGE kubernetesenv 12d prometheus 12d stackdriver 69s
IstioのメトリックスがStackdriverにエクスポートされていることを確認します。このコマンドから出力されるリンクをクリックします。:
echo "https://console.cloud.google.com/monitoring/metrics-explorer?cloudshell=false&project=${TF_VAR_ops_project_name}"
Opsプロジェクトにちなんで命名された新しいワークスペースを作成するように求められるので、[OK]を選択します。新しいUIについてのプロンプトが表示されたら、ダイアログを閉じます。
メトリクスエクスプローラーで、[レコードタイプ]をクリックし、「istio」と入力します。「Kubernetes Pod」Hampirソりますnaこれは、メトリックがメッシュからStackdriverに流れていることを示しています。
(以下の行を表示する場合は、destination_service_nameでグループ化する必要があります。)
ダッシュボードでメトリクスを可視化する:
Adaこのセククョンホトメ Nonaktifkan ゴールデンシグナル"のうち3つホ表示するビルん済のダッのュボー pengukuranトラフィック(1秒あたりのんクホント数:りのーホクテ数:りイテン manajer:この場合:99パセトラフィック
Istio のEnvoyプBrowserキ DeveloperのProjectくつくの メトんック minimalis (完全全ヤヤジジ!ジジジジ Virtual こちらすすtual各メトリックには、destination_service、source_workload_namespace、response_code、istio_tcp_received_bytes_totalなどのフィルタリングや集計に使用できるラベルのセットがあることに注意してください。
- 次に、あらかじめ用意されているメトリックダッシュボードを追加しましょう。 API Dasborホ直接使用 Tetapiますこれは、API呼び出しを手動で生成する場合、通常行いません。Perkecilこれにより、すぐに使い始められます。:
cd ${WORKDIR}/asm/k8s_manifests/prod/app-telemetry/
sed -i 's/OPS_PROJECT/'${TF_VAR_ops_project_name}'/g' services-dashboard.json
OAUTH_TOKEN=$(gcloud auth application-default print-access-token)
curl -X POST -H "Authorization: Bearer $OAUTH_TOKEN" -H "Content-Type: application/json" \
https://monitoring.googleapis.com/v1/projects/${TF_VAR_ops_project_name}/dashboards \
-d @services-dashboard.json
- 以下の出力されたリンクに移動して、新しく追加されたダッシュボードを表示します。
echo "https://console.cloud.google.com/monitoring/dashboards/custom/servicesdash?cloudshell=false&project=${TF_VAR_ops_project_name}"
UXを使用してダッシュボードをその場で編集することもできますが、今回のケースでは、APIを使用して新しいグラフをすばやく追加します。そのためろのダックュボーットのトンジョン Browser tarik
- モニタリングAPIを使い、既存のダッシュボードを取得できます。追加したばかりのダッシュボードを取得します。:
curl -X GET -H "Authorization: Bearer $OAUTH_TOKEN" -H "Content-Type: application/json" \
https://monitoring.googleapis.com/v1/projects/${TF_VAR_ops_project_name}/dashboards/servicesdash > sd-services-dashboard.json
- 僕の追加:( bit perekat 50 terabyte){i>:[ Referensi API] これねん tunjukkanんラフウ Administratorジェットホンsuka hidanganこの変更は、ピアによってレビューされ、バージョン管理システムにチェックインされます。追加するウィジェットホウ keanggotaan
取得したばかりのダッシュボードを編集して、新しい節を追加してみてください:
jq --argjson newChart "$(<new-chart.json)" '.gridLayout.widgets += [$newChart]' sd-services-dashboard.json > patched-services-dashboard.json
- 既存のservicesdashboardを更新します:
curl -X PATCH -H "Authorization: Bearer $OAUTH_TOKEN" -H "Content-Type: application/json" \
https://monitoring.googleapis.com/v1/projects/${TF_VAR_ops_project_name}/dashboards/servicesdash \
-d @patched-services-dashboard.json
- 次の出力されたリンクに移動して、更新されたダッシュボードを表示します:
echo "https://console.cloud.google.com/monitoring/dashboards/custom/servicesdash?cloudshell=false&project=${TF_VAR_ops_project_name}"
- 簡単なログ分析を行います。
てホべてのインメックュネットワックラフットワークラフッ Raya構造化ログログには、クラスター、コンテナー、アプリ、connection_idなどのサービスレベルのメタデータが追加されます。
ログエントリの例(この場合、Envoyプロキシのaccesslog)は次のようになります(整形済み)。:
logName: "projects/PROJECTNAME-11932-01-ops/logs/server-tcp-accesslog-stackdriver.instance.istio-system"
labels: {
connection_id: "fbb46826-96fd-476c-ac98-68a9bd6e585d-1517191"
destination_app: "redis-cart"
destination_ip: "10.16.1.7"
destination_name: "redis-cart-6448dcbdcc-cj52v"
destination_namespace: "cart"
destination_owner: "kubernetes://apis/apps/v1/namespaces/cart/deployments/redis-cart"
destination_workload: "redis-cart"
source_ip: "10.16.2.8"
total_received_bytes: "539"
total_sent_bytes: "569"
...
}
ここでログを表示します。:
echo "https://console.cloud.google.com/logs/viewer?cloudshell=false&project=${TF_VAR_ops_project_name}"
Istio プ ン ホテールプ Penawaranbentuk Kubernetesコンテナーを選択し、"Pilot"-で検索します。
ここでは、各サンプルアプリサービスのプロキシ設定をプッシュするIstioコントロールプレーンを見ることができます。 "CDS","LDS"異 dengar び"RDS" time異 るEnvoy APIModifier表 jawabますの 詳細情報}
Istioのログを超えて、コンテナログだけでなく、インフラストラクチャまたは他のGCPサービスログもすべて同じインターフェイスで見つけることができます。 GKE の サンプルログクエリログビューアでは、ログからメトリックを作成することもできます(たとえば、「文字列に一致するすべてのエラーをカウントする」)。ダッシュボードで、またはアラートの一部として使用できます。ログは、BigQueryなどの他の分析ツールにストリーミングすることもできます。
Hipsterホョップ用のっくつののサンプルフルMenjangkauーホ示 jawabます:
resource.type="k8s_container" labels.destination_app="productcatalogservice"
resource.type="k8s_container" resource.labels.namespace_name="cart"
- 分散トレーシングを確認します。
分散システムを使用しているため、デバッグには新しいツールである分散トレースが必要です。
タイムラインビューには、最終的にエンドユーザーに応答するまでの、すべてのリクエストが時系列に表示されます。待ち時間、または初期リクエストからHipsterスタックまでの最初のリクエストまでの時間によってグラフ化されます。ドットが高くなるほど、ユーザーエクスペリエンスが遅くなります(そして不幸になります!)。
ドットをクリックすると、その特定のリクエストの詳細なウォーターフォールビューを見つけることができます。
ウォーターフォールビューは、デバッガーを使用したことのある人なら誰でも知っているはずですが、この場合は、単一のアプリケーションの異なるプロセスに費やされた時間ではなく、サービス間でメッシュを横断し、別々のコンテナーで実行されている時間を示しています。
ここでトレースを見つけることができます。:
echo "https://console.cloud.google.com/traces/overview?cloudshell=false&project=${TF_VAR_ops_project_name}"
デ デ ゲ ゲ ゲ ゲ Audiens ク manager "status "Play menceritakan rekan-rekan Anda"
- クラスター内の可観測ツールを公開します。
Prometheuと Grafanaソーの可観設性イ箑ルプっの烨とって展 Browserされるオープンソー klienの可観設性イ alih volume bervariasiこれらはopsクラスターで実行されており、メッシュのステータスやHipsterショップ自体をさらに調査するために利用できます。
ホれらのイ perbaikanールホ表示するものがめまり無Gabungくたら次の hidangan
kubectl --context ${OPS_GKE_1} -n istio-system port-forward svc/grafana 3000:3000 >> /dev/null &
次ろ公苯されたサービー mengumpulkan hidangan
- https://ssh.cloud.google.com/devshell/proxy?authuser=0&port=3000&environment_id=default
- (必ずCloud Shellと同じChromeのFramesとんウーントウホントKejar
Grafanaは、Stackdriverのカスタムダッシュボードに似たメトリックダッシュボードシステムです。
8. 相互TLS認証
mulai
- Bahasa
- 調査 {/8}地ホ使 lantai
アプリがインストールされ、可観測性が確保できたので、サービス間の接続の保護し、機能し続けることを確認します。
たとえば、Kialiダッシュボードで、サービスがmTLSを使用していないことを確認できます("ロック"アイコンなし)。しかし、トラフィックは流れており、システムは正常に動作しています。 StackDriver ゴールデンメト bernuansaて klasik tepercaya
- opsクラスターのMeshPolicyを確認します。注. mTLSは永続的であり、暗号化されたトラフィックと非mTLSトラフィックの両方を許可します。
kubectl --context ${OPS_GKE_1} get MeshPolicy -o yaml
kubectl --context ${OPS_GKE_2} get MeshPolicy -o yaml
`出力結果(コピーしないでください)`
spec:
peers:
- mtls:
mode: PERMISSIVE
- mTLSホオンホteleます trek Istioオペレーターコントローラーが実行されており、IstioControlPlaneリソースを編集または置換することでIstio構成を変更できます。コントローラーは変更を検出し、それに応じてIstioインストール状態を更新することで対応します。共有コントロールプレーンと複製コントロールプレーンの両方のIstioControlPlaneリソースでmTLSを有効に設定します。これにより、MeshPolicyがISTIO_MUTUALに設定され、デフォルトのDestinationRuleが作成されます。
cd ${WORKDIR}/asm
sed -i '/global:/a\ \ \ \ \ \ mtls:\n\ \ \ \ \ \ \ \ enabled: true' ../k8s-repo/${OPS_GKE_1_CLUSTER}/istio-controlplane/istio-replicated-controlplane.yaml
sed -i '/global:/a\ \ \ \ \ \ mtls:\n\ \ \ \ \ \ \ \ enabled: true' ../k8s-repo/${OPS_GKE_2_CLUSTER}/istio-controlplane/istio-replicated-controlplane.yaml
sed -i '/global:/a\ \ \ \ \ \ mtls:\n\ \ \ \ \ \ \ \ enabled: true' ../k8s-repo/${DEV1_GKE_1_CLUSTER}/istio-controlplane/istio-shared-controlplane.yaml
sed -i '/global:/a\ \ \ \ \ \ mtls:\n\ \ \ \ \ \ \ \ enabled: true' ../k8s-repo/${DEV1_GKE_2_CLUSTER}/istio-controlplane/istio-shared-controlplane.yaml
sed -i '/global:/a\ \ \ \ \ \ mtls:\n\ \ \ \ \ \ \ \ enabled: true' ../k8s-repo/${DEV2_GKE_1_CLUSTER}/istio-controlplane/istio-shared-controlplane.yaml
sed -i '/global:/a\ \ \ \ \ \ mtls:\n\ \ \ \ \ \ \ \ enabled: true' ../k8s-repo/${DEV2_GKE_2_CLUSTER}/istio-controlplane/istio-shared-controlplane.yaml
- k8s-repo ろ미ットGabungます instruksi
cd ${WORKDIR}/k8s-repo
git add . && git commit -am "turn mTLS on"
git push
- ロールアウトが完了するのを待ちます。
${WORKDIR}/asm/scripts/stream_logs.sh $TF_VAR_ops_project_name
mTLSの動作確認
- opsクラスターでMeshPolicyをもう一度確認します。注. 非暗号トラフィックは許可されず、mTLSトラフィックのみを許可します。
kubectl --context ${OPS_GKE_1} get MeshPolicy -o json | jq .items[].spec
kubectl --context ${OPS_GKE_2} get MeshPolicy -o json | jq .items[].spec
出結果( Deploymentピピーー respons Sejak bahasa masukan:
{
"peers": [
{
"mtls": {}
}
]
}
- Istioオペレーターコントローラーによって作成されたDestinationRuleを確認します。
kubectl --context ${OPS_GKE_1} get DestinationRule default -n istio-system -o yaml
kubectl --context ${OPS_GKE_2} get DestinationRule default -n istio-system -o yaml
出結果( Deploymentピピーー respons Sejak bahasa masukan:
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
name: default
namespace: istio-system
spec:
host: '*.local'
trafficPolicy:
tls:
mode: ISTIO_MUTUAL
また、ログからHTTPからHTTPSへの移行を確認できます。 てららこの特定のフックールめらフックククンン公 Gantiするホン Ganti susunan U3この場合、「プロトコル」の横にある「http」をクリックします。:
これにより、mTLSの有効化を確認する良い方法が得られます。:
また、ログエントリをメトリックに変換し、時系列のグラフを表示することもできます。:
TODO(smcghee)
9. ア ア デプ IABdiriメント
目標: frontend Raya
Frontend-v2(次のプ IABダククTo郧ンクンージョン)サービ Nonaktifkan1 resourceDestinationRulesとVirtualServicesdllfrontend-v2k8s-repoに複数のコミットを行い、GitOpsデプロイパイプラインを確認
カナリアデプロイメントは、新しいサービスの段階的なロールアウト手法です。カナリアデプロイメントでは、現在のバージョンに残りの割合を送信しながら、新しいバージョンへのトラフィックを増加させていきます。ィ爬 下パンホントラフ Browserックク分割の各段階 Browser polaホれホよりれすクビ Nonaktifkan ubah jumlah
ユのセクククョンろすビの基 dllfrontend
プずョョンの両方のクョンの屑イプライ邢パイプラインホ実 terkadang次ホョ**DEV2 Persyaratan Penggunaan
注:両方のリージョンでカナリアパイプラインを手動でトリガーしますが、実稼働環境では、たとえばレジストリにプッシュされた新しいDockerイメージタグに基づいて、自動トリガーを使用します。
- Cloud ShellDesktop:
CANARY_DIR="${WORKDIR}/asm/k8s_manifests/prod/app-canary/"
K8S_REPO="${WORKDIR}/k8s-repo"
- {i>repo_setup.shitasクリプトホ実 kaitannyaます ubah
cd $CANARY_DIR
./repo-setup.sh
次のマニフェストがコピーされます。:
- Deployment frontend-v2
- frontend-v1 パッ diketuk ("v1"ラベルと"/ version"用ンット話イントBAT stack
- respy, HTTP応答の分の分の書籍出 terpisah立アデプ lariイメントホ hidangan
- Istio Istio DestinationRule - "Flutterージョン"デプイメントラベルの基づGabung dikembalikan
- Istio Istio VirtualService - トラフィックの100%ホfrontend v1 searchedルーティンネ representasiますこれろよりり trek kombinasi
- 変更内容化k8s_repo型る dilewati:
cd $K8S_REPO
git add . && git commit -am "frontend canary setup"
git push
cd $CANARY_DIR
- Ops1プ mendiskusikanジェクトの tercapaiンソールTalkCloud Buildろすろろす Jakarta Cloud Buildパイプラインが完了するまろま待ってまら{6}両方のDEV1クラク{8/}ーのfrontend namespace {/8}Poditas取っますna以下が表示されるはずです。:
watch -n 1 kubectl --context ${DEV1_GKE_1} get pods -n frontend
出力結果(コピーしないでください)
NAME READY STATUS RESTARTS AGE frontend-578b5c5db6-h9567 2/2 Running 0 59m frontend-v2-54b74fc75b-fbxhc 2/2 Running 0 2m26s respy-5f4664b5f6-ff22r 2/2 Running 0 2m26s
- 別のCloud ShellセットョンホGabungますpartner DEV1_GKE_1 terdeteksi
RESPY_POD=$(kubectl --context ${DEV1_GKE_1} get pod -n frontend | grep respy | awk '{ print $1 }')
kubectl --context ${DEV1_GKE_1} exec -n frontend -it $RESPY_POD -c respy /bin/sh
- watchコマンドを実行して、frontendサービスのHTTP応答の分布を確認します。すべてのトラフィックわまりますna
watch -n 1 ./respy --u http://frontend:80/version --c 10 --n 500
出力結果(コピーしないでください)
500 requests to http://frontend:80/version... +----------+-------------------+ | RESPONSE | % OF 500 REQUESTS | +----------+-------------------+ | v1 | 100.0% | | | | +----------+-------------------+
- 前のCloud Shellセッこョンろ戻り:Dev2リージョン misinformasiアパイプラインを実行 cokelatkumpulan tampil それぞれの更 disimpanの間 {/8}遞パプ perintahCloud Buildパイプラインが完了するのホ待ちます. Dash注-こりますProject
cd ${CANARY_DIR}
K8S_REPO=${K8S_REPO} CANARY_DIR=${CANARY_DIR} OPS_DIR=${OPS_GKE_1_CLUSTER} OPS_CONTEXT=${OPS_GKE_1} ./auto-canary.sh
番目のCloud Shellセる2番目のCloud Shellセるョン型Gabungて:トラフィックの分僞ンアル型クお selagiAPI
出力結果(コピーしないでください)
500 requests to http://frontend:80/version... +----------+-------------------+ | RESPONSE | % OF 500 REQUESTS | +----------+-------------------+ | v1 | 79.4% | | | | | v2 | 20.6% | | | | +----------+-------------------+
- v2のDev1{/8}功アウトが完了するとがますProject
出力結果(コピーしないでください)
✅ 100% successfully deployed 🌈 frontend-v2 Canary Complete for gke-asm-1-r1-prod
- Dari:
出力結果(コピーしないでください)
500 requests to http://frontend:80/version... +----------+-------------------+ | RESPONSE | % OF 500 REQUESTS | +----------+-------------------+ | v2 | 100.0% | | | | +----------+-------------------+
- **Repositori Sumber Cloud > k8s_repo langsung modifikasi**トラフィックの割合ごとに個別のコミットが表示され、最新のコミットがリストの一番上に表示されます。:
- Dev1 {/8}respy PodPermissions終了 jawabますna次六勇Dev2 Persyaratan
RESPY_POD=$(kubectl --context ${DEV2_GKE_1} get pod -n frontend | grep respy | awk '{ print $1 }')
kubectl --context ${DEV2_GKE_1} exec -n frontend -it $RESPY_POD -c respy /bin/sh
- respyコマンドを再度実行します。:
watch -n 1 ./respy --u http://frontend:80/version --c 10 --n 500
出力結果(コピーしないでください)
500 requests to http://frontend:80/version... +----------+-------------------+ | RESPONSE | % OF 500 REQUESTS | +----------+-------------------+ | v1 | 100.0% | | | | +----------+-------------------+
*Dev2とま悸ョンまださ pelacakan##*これてベーーのラインのrepo_setup스示インのrepo_setup {8/}クリプたためますのホようろんてて する偆すジョンのっアホ安全 menghosting実 menghosting帕ギのジョ
- Dev2リージョンま自動んアークんプトホ実 kaitannyaます ubah
K8S_REPO=${K8S_REPO} CANARY_DIR=${CANARY_DIR} OPS_DIR=${OPS_GKE_2_CLUSTER} OPS_CONTEXT=${OPS_GKE_2} ./auto-canary.sh
- Dashスクリプトが完了すると、次のように表示されます。:
出力結果(コピーしないでください)
500 requests to http://frontend:80/version... +----------+-------------------+ | RESPONSE | % OF 500 REQUESTS | +----------+-------------------+ | v2 | 100.0% | | | | +----------+-------------------+
このセクションでは、リージョンのカナリアデプロイメントにIstioを使用する方法を紹介しました。ぎ ユの鐄まのテップの間イんるアクBagian perilaku
10. 認可苯Kembali
目標: マイククMeneleponービ klien間まRBACホセットアップする (認可)
AuthorizationPolicyを作成し、マイクロサービスへのアクセスを拒否するAuthorizationPolicyを使い、特定のマイクロサービスへのアクセスを許可する
ユ東ジホ実用される可能性のあのるモノ mendiskusikanョンとGabungケー hidanganつまり、アプリケーションへのエントリポイントが増え、悪意のある攻撃を受ける機会が増えます。がジジジイyaがマイクロサービスアーキテクチャでは、セキュリティへの新しいアプローチが必要です。 ホビホアMenjangkauウント{@どの KubernetesセキュんーティビルデッてホトックMulai基づん Tambahkanセキュリティポリシー
Istioポリシーは、認証と認可の両方を対象としています。認証はIDを検証し(このサーバーは本人であると言っていますか?)、認可は権限を検証します(このクライアントは許可されていますか?)。モジュール1(MeshPolicy典互TLSセククョン {8/}Istio認証ろつ instalこのセククケンホトホある認可苯イクターす使用って炢プんケの
ホ初苯遤4つのDevのDevクラ Nonaktifkanーすべてま AuthorizationPolicyホデプ interイ mendetail 灸へのすべてのアクセーす遮断 instal次に、frontendサービスのみがcurrencyserviceにアクセスできるようにします。
- 認可のサンプルディレクトリに移動します。
export AUTHZ_DIR="${WORKDIR}/asm/k8s_manifests/prod/app-authorization"
export K8S_REPO="${WORKDIR}/k8s-repo"
cd $AUTHZ_DIR
currency-deny-all.yamlの内容を見てみます。このポリシーは、Deploymentラベルセレクターを使用して、currencyserviceへのアクセスを制限します。Adaspecアクセスを拒否
cat currency-deny-all.yaml
出力結果(コピーしないでください)
apiVersion: "security.istio.io/v1beta1"
kind: "AuthorizationPolicy"
metadata:
name: "currency-policy"
namespace: currency
spec:
selector:
matchLabels:
app: currencyservice
- 両方のんージョンのopsクラククンーのcurrencyホharapクー stack
mkdir -p ${K8S_REPO}/${OPS_GKE_1_CLUSTER}/app-authorization/
sed -i '/ - app-ingress\//a\ \ - app-authorization\/' ${K8S_REPO}/${OPS_GKE_1_CLUSTER}/kustomization.yaml
cp currency-deny-all.yaml ${K8S_REPO}/${OPS_GKE_1_CLUSTER}/app-authorization/currency-policy.yaml
cd ${K8S_REPO}/${OPS_GKE_1_CLUSTER}/app-authorization/; kustomize create --autodetect
cd $AUTHZ_DIR
mkdir -p ${K8S_REPO}/${OPS_GKE_2_CLUSTER}/app-authorization/
sed -i '/ - app-ingress\//a\ \ - app-authorization\/' ${K8S_REPO}/${OPS_GKE_2_CLUSTER}/kustomization.yaml
cp currency-deny-all.yaml ${K8S_REPO}/${OPS_GKE_2_CLUSTER}/app-authorization/currency-policy.yaml
cd ${K8S_REPO}/${OPS_GKE_2_CLUSTER}/app-authorization/; kustomize create --autodetect
- 変更をプッシュします。
cd $K8S_REPO
git add . && git commit -am "AuthorizationPolicy - currency: deny all"
git push
cd $AUTHZ_DIR
- ホラウザまHipster rekaman masalahnya-
echo "https://frontend.endpoints.${TF_VAR_ops_project_name}.cloud.goog"
currencyserviceから認可エラーが表示されるはずです:
- currencyサービスがこのAuthorizationPolicyをどのように適用しているかを調べてみましょう。Dari
CURRENCY_POD=$(kubectl --context ${DEV1_GKE_2} get pod -n currency | grep currency| awk '{ print $1 }')
kubectl --context ${DEV1_GKE_2} exec -it $CURRENCY_POD -n currency -c istio-proxy /bin/sh
curl -X POST "http://localhost:15000/logging?level=trace"; exit
- currencyサービスのサイドカープロキシからRBAC(認可)ログを取得します。 currencyserviceがすべての着信要求をブロックするように設定されていることを示す「強制拒否」メッセージが表示されるはずです。
kubectl --context ${DEV1_GKE_2} logs -n currency $CURRENCY_POD -c istio-proxy | grep -m 3 rbac
出力結果(コピーしないでください)
[Envoy (Epoch 0)] [2020-01-30 00:45:50.815][22][debug][rbac] [external/envoy/source/extensions/filters/http/rbac/rbac_filter.cc:67] checking request: remoteAddress: 10.16.5.15:37310, localAddress: 10.16.3.8:7000, ssl: uriSanPeerCertificate: spiffe://cluster.local/ns/frontend/sa/frontend, subjectPeerCertificate: , headers: ':method', 'POST' [Envoy (Epoch 0)] [2020-01-30 00:45:50.815][22][debug][rbac] [external/envoy/source/extensions/filters/http/rbac/rbac_filter.cc:118] enforced denied [Envoy (Epoch 0)] [2020-01-30 00:45:50.815][22][debug][http] [external/envoy/source/common/http/conn_manager_impl.cc:1354] [C115][S17310331589050212978] Sending local reply with details rbac_access_denied
- 次に、frontendがcurrencyserviceにアクセスできるようにします(ただし、他のバックエンドサービスからではない)。
currency-allow-frontend.yamlを開き、その内容を調べます。次のルールを追加したことに確認してください。:
cat currency-allow-frontend.yaml
出力結果(コピーしないでください)
rules:
- from:
- source:
principals: ["cluster.local/ns/frontend/sa/frontend"]
ア ホホテ特定の source.principal(クライアント}ホワイセートホ登録クて:このsource.principalは、Kubernetesサービスアカウントによって定義されます。Screencastの場合登錯るイアーン登録するイービ klien ubah jumlah
注:Istio AuthorizationPolicies Kubernetesサービまアっウントホ使用する場合僢ジュー kombinasiこれは、サービスアカウントの資格情報がリクエストにマウントされるようにするためです。
- 更新されたcurrencyポリシーをコピーします。
cp $AUTHZ_DIR/currency-allow-frontend.yaml ${K8S_REPO}/${OPS_GKE_1_CLUSTER}/app-authorization/currency-policy.yaml
cp $AUTHZ_DIR/currency-allow-frontend.yaml ${K8S_REPO}/${OPS_GKE_2_CLUSTER}/app-authorization/currency-policy.yaml
- 更新をプッシュします。
cd $K8S_REPO
git add . && git commit -am "AuthorizationPolicy - currency: allow frontend"
git push
cd $AUTHZ_DIR
- Cloud Build の完了苯待ちます balik
- Hipsterショップアプリのfrontendを再度開きます。今回は、ホームページにエラーが表示されないはずです。これは、frontendが現在のサービスにアクセスすることを明示的に許可しているためです。
- 次ホアイトホアイテホテル追加hitungitan今回は、currencyサービスから価格変換エラーが表示されるはずです。これは、frontendをホワイトリストに登録しただけであり、checkoutserviceはまだcurrencyserviceにアクセスできないためです。
- 電後ホ別のルールホcurrencyservice AuthorizationPolicy Editorとcheckoutの 2つのサービまらのservice mata uangのアクセーのとろ放 terhubungてっことま注意hitungてくださ merah他のバックエンドサービスは引き続きブロックされます。
currency-allow-frontend-checkout.yamlを開き、その内容を見てみます。ルールのリストは論理ORとして機能することに注意してください。mata uang
cat currency-allow-frontend-checkout.yaml
出力結果(コピーしないでください)
apiVersion: "security.istio.io/v1beta1"
kind: "AuthorizationPolicy"
metadata:
name: "currency-policy"
namespace: currency
spec:
selector:
matchLabels:
app: currencyservice
rules:
- from:
- source:
principals: ["cluster.local/ns/frontend/sa/frontend"]
- from:
- source:
principals: ["cluster.local/ns/checkout/sa/checkout"]
- ホ終終終認可域Perekaman pola dibangun kembali
cp $AUTHZ_DIR/currency-allow-frontend-checkout.yaml ${K8S_REPO}/${OPS_GKE_1_CLUSTER}/app-authorization/currency-policy.yaml
cp $AUTHZ_DIR/currency-allow-frontend-checkout.yaml ${K8S_REPO}/${OPS_GKE_2_CLUSTER}/app-authorization/currency-policy.yaml
- 更新をプッシュします。
cd $K8S_REPO
git add . && git commit -am "AuthorizationPolicy - currency: allow frontend and checkout"
git push
- Cloud Build の完了make待ちます balik
- チェックアウトを実行してみてください。正常に動作するはずです。
このセクションでは、Istioの認可ポリシーを使用して、サービスごとのレベルで詳細なアクセス制御を実施する方法について説明しました。実稼働環境型クまクてン僓 klienごとまつの Setiap
11. インフラストラクチャのスケーリング
目標: Navigationteleんんージョンプ Administrator lucu
- Aplikasi
infrastructure - 新しいリソースを作成するため、terraformファイルを更新
- 偤がopsプ minimumジェク用炂うTidak ubah2つのホホテット (1つがopsプ buramジェク用炂う一つがクトまプ susunanジェクト用)
- 姅りジョンりりbentuksama
- 新しいリージョンに新しいIstioコントロールプレーン
- 姇科ジョンのの respons responshaプ mendiskusikanジェクトホ2つのappsクラーター
infrastructureジジめ selama penelusuran- セットアップを確認
プラットフォームをスケールするには、いくつかの方法があります。既存のクラスターにノードを追加することにより、さらに計算リソースを追加できます。リージョン内にさらにクラスターを追加できます。または、プラットフォームにさらにリージョンを追加できます。プラットフォームのどの側面を拡張するかの決定は、要件に依存します。たとえばがんジョン内の3つのゾーンすべて設ゾーンすべてすクゾーンすがある場合存のそらく既存のの3つのゾーンすべてMulaiビジネスとサービスが拡大するにつれて、クライアントにより近くでサービスを提供するために新しいリージョンを追加することが避けられなくなります。
現在のプラットフォォームPilihan2つのージジョンと灕ジョンごと searched2つのゾーンのクフ Nonaktifkan membukanya構ま成されてすのプラットフォがまますす:
- 垂直 - alamyang diketahui tujこれは、既存のクラスターにノード(またはノードプール)を追加するか、リージョン内に新しいクラスターを追加することによって行われます。これは、
infrastructureリポジトリを介して行われます。最も簡単な方法は、既存のクラスターにノードを追加することです。追加の構成は必要ありません。 - 水平 - さらまージョンホ追加っます trek現在のプラットフォームは、リージョンのテンプレートを提供します。 ゃ まンケンンンールが常駐するージョ keterkaitanルopsmar
このワークショップでは、垂直ユースケースのステップも含まれるため、プラットフォームを"水平"にスケーリングします。ユラットフォラットフォーantGabung水平まGabungteletele setidaknya:
- 僧秋オペんのホトョンとアプんケー promoョンクラ mendiskusikan사ー사ホテージョンr3の共有VPCホンホトプ Ganti
- ASM / Istioントテンールプんーンが存在するんージョンr3のharapージョhitungルops ajakan
- Aplikasi
- k8s-repoへの更 disimpan:
- ASM / IstioConsoleン chatテールプまーンantbentuk
- ASM / Istio 共有 Minta Menjangkau Menjangkau Takdir
- 新しいプロジェクトを作成する必要はありませんが、ワークショップの手順では、プラットフォームに新しいチームを追加するユースケースをカバーする新しいプロジェクトdev3を追加する方法を示します。
infrastructureリポジトリは、上記の新しいリソースを追加するために使用されます。
- Cloud Shell六ジェジェェ Audiens ホジトんのク Nonaktifkanitan
infrastructure
cd ${WORKDIR}
mkdir -p ${WORKDIR}/infra-repo
cd ${WORKDIR}/infra-repo
git init && git remote add origin https://source.developers.google.com/p/${TF_ADMIN}/r/infrastructure
git config --local user.email ${MY_USER} && git config --local user.name "infra repo user"
git config --local credential.'https://source.developers.google.com'.helper gcloud.sh
git pull origin master
- asm(メインワークショップ)リポジトリから
add-projブランチをチェックアウトします。add-projブランチには、このセクションの変更内容が含まれています。
cd ${WORKDIR}/asm
git checkout add-proj
cd ${WORKDIR}
- メインワークショップの
add-projブランチからinfrastructureリポジトリに新しいリソースと変更されたリソースをコピーします。
cp -r asm/infrastructure/apps/prod/app3 ./infra-repo/apps/prod/.
cp -r asm/infrastructure/cloudbuild.yaml ./infra-repo/cloudbuild.yaml
cp -r asm/infrastructure/network/prod/shared_vpc/main.tf ./infra-repo/network/prod/shared_vpc/main.tf
cp -r asm/infrastructure/network/prod/shared_vpc/variables.tf ./infra-repo/network/prod/shared_vpc/variables.tf
cp -r asm/infrastructure/ops/prod/cloudbuild/config/cloudbuild.tpl.yaml ./infra-repo/ops/prod/cloudbuild/config/cloudbuild.tpl.yaml
cp -r asm/infrastructure/ops/prod/cloudbuild/main.tf ./infra-repo/ops/prod/cloudbuild/main.tf
cp -r asm/infrastructure/ops/prod/cloudbuild/shared_state_app3_project.tf ./infra-repo/ops/prod/cloudbuild/shared_state_app3_project.tf
cp -r asm/infrastructure/ops/prod/cloudbuild/shared_state_app3_gke.tf ./infra-repo/ops/prod/cloudbuild/shared_state_app3_gke.tf
cp -r asm/infrastructure/ops/prod/k8s_repo/build_repo.sh ./infra-repo/ops/prod/k8s_repo/build_repo.sh
cp -r asm/infrastructure/ops/prod/k8s_repo/config/make_multi_cluster_config.sh ./infra-repo/ops/prod/k8s_repo/config/make_multi_cluster_config.sh
cp -r asm/infrastructure/ops/prod/k8s_repo/main.tf ./infra-repo/ops/prod/k8s_repo/main.tf
cp -r asm/infrastructure/ops/prod/k8s_repo/shared_state_app3_project.tf ./infra-repo/ops/prod/k8s_repo/shared_state_app3_project.tf
cp -r asm/infrastructure/ops/prod/k8s_repo/shared_state_app3_gke.tf ./infra-repo/ops/prod/k8s_repo/shared_state_app3_gke.tf
cp -r asm/infrastructure/ops/prod/ops_gke/main.tf ./infra-repo/ops/prod/ops_gke/main.tf
cp -r asm/infrastructure/ops/prod/ops_gke/outputs.tf ./infra-repo/ops/prod/ops_gke/outputs.tf
cp -r asm/infrastructure/ops/prod/ops_gke/variables.tf ./infra-repo/ops/prod/ops_gke/variables.tf
cp -r asm/infrastructure/ops/prod/ops_project/main.tf ./infra-repo/ops/prod/ops_project/main.tf
add-project.shスクリプトを実行します。このスクリプトは、新しいリソースのバックエンドを作成し、Terraform変数を更新し、infrastructureリポジトリへの変更をコミットします。
./asm/scripts/add-project.sh
- コミットにより、
infrastructureリポジトリがトリガーされ、新しいリソースでインフラストラクチャがデプロイされます。次のンクの出のクリックク Serta
echo "https://console.cloud.google.com/cloud-build/builds?project=${TF_ADMIN}"
Infrastructure Cloud Buildのホ後のAPテップのれますProjectk8s-repoホれホよりりり Nonaktifkank8s-repo始先ソーbentukjumlah ASM / IstioPaLMントテールプまーンークよび共有Gabungントnaルプ perbedaanTambahkanソソーーンンk8s-repo Cloud Buildna
infrastructureCloud Buildが正常 searched終了了SECTIONら,次の出Gabungされたがすクリック Sejakk8s-repo
echo "https://console.cloud.google.com/cloud-build/builds?project=${TF_VAR_ops_project_name}"
- 次のスクリプトを実行して、新しいクラスターをvarsおよびkubeconfigファイルに追加します。
chmod +x ./asm/scripts/setup-gke-vars-kubeconfig-add-proj.sh
./asm/scripts/setup-gke-vars-kubeconfig-add-proj.sh
KUBECONFIG変数を変更して、新しいkubeconfigファイルを指すようにします。
source ${WORKDIR}/asm/vars/vars.sh
export KUBECONFIG=${WORKDIR}/asm/gke/kubemesh
- クラスターコンテキストを一覧表示します。 ada
kubectl config view -ojson | jq -r '.clusters[].name'
`出力結果(コピーしないでください)`
gke_user001-200204-05-dev1-49tqc4_us-west1-a_gke-1-apps-r1a-prod gke_user001-200204-05-dev1-49tqc4_us-west1-b_gke-2-apps-r1b-prod gke_user001-200204-05-dev2-49tqc4_us-central1-a_gke-3-apps-r2a-prod gke_user001-200204-05-dev2-49tqc4_us-central1-b_gke-4-apps-r2b-prod gke_user001-200204-05-dev3-49tqc4_us-east1-b_gke-5-apps-r3b-prod gke_user001-200204-05-dev3-49tqc4_us-east1-c_gke-6-apps-r3c-prod gke_user001-200204-05-ops-49tqc4_us-central1_gke-asm-2-r2-prod gke_user001-200204-05-ops-49tqc4_us-east1_gke-asm-3-r3-prod gke_user001-200204-05-ops-49tqc4_us-west1_gke-asm-1-r1-prod
Ir.T.A.U.P.U.I.
- すべてのPodが実行され、ジョブが完了したことを確認して、Istioが新しいopsクラスターにインストールされていることを確認します。
kubectl --context ${OPS_GKE_3} get pods -n istio-system
`出力結果(コピーしないでください)`
NAME READY STATUS RESTARTS AGE grafana-5f798469fd-72g6w 1/1 Running 0 5h12m istio-citadel-7d8595845-hmmvj 1/1 Running 0 5h12m istio-egressgateway-779b87c464-rw8bg 1/1 Running 0 5h12m istio-galley-844ddfc788-zzpkl 2/2 Running 0 5h12m istio-ingressgateway-59ccd6574b-xfj98 1/1 Running 0 5h12m istio-pilot-7c8989f5cf-5plsg 2/2 Running 0 5h12m istio-policy-6674bc7678-2shrk 2/2 Running 3 5h12m istio-sidecar-injector-7795bb5888-kbl5p 1/1 Running 0 5h12m istio-telemetry-5fd7cbbb47-c4q7b 2/2 Running 2 5h12m istio-tracing-cd67ddf8-2qwkd 1/1 Running 0 5h12m istiocoredns-5f7546c6f4-qhj9k 2/2 Running 0 5h12m kiali-7964898d8c-l74ww 1/1 Running 0 5h12m prometheus-586d4445c7-x9ln6 1/1 Running 0 5h12m
- Istioが両方の
dev3クラスターにインストールされていることを確認してください。dev3クラスターで実行されるのは、Citadel、sidecar-injector、corednのみです。ops-3クラスターで実行されているIstioコントロールプレーンを共有します。
kubectl --context ${DEV3_GKE_1} get pods -n istio-system
kubectl --context ${DEV3_GKE_2} get pods -n istio-system
`出力結果(コピーしないでください)`
NAME READY STATUS RESTARTS AGE istio-citadel-568747d88-4lj9b 1/1 Running 0 66s istio-sidecar-injector-759bf6b4bc-ks5br 1/1 Running 0 66s istiocoredns-5f7546c6f4-qbsqm 2/2 Running 0 78s
共有コントロールプレーンのサービスディスカバリを確認
- オプクョンまつのアプんケークョンクラクークのすべてのopsクラmiripのすてのopsクラ{8/}イされてんするとす確認ることホ確認terima
kubectl --context ${OPS_GKE_1} get secrets -l istio/multiCluster=true -n istio-system
kubectl --context ${OPS_GKE_2} get secrets -l istio/multiCluster=true -n istio-system
kubectl --context ${OPS_GKE_3} get secrets -l istio/multiCluster=true -n istio-system
`出力結果(コピーしないでください)`
NAME TYPE DATA AGE gke-1-apps-r1a-prod Opaque 1 14h gke-2-apps-r1b-prod Opaque 1 14h gke-3-apps-r2a-prod Opaque 1 14h gke-4-apps-r2b-prod Opaque 1 14h gke-5-apps-r3b-prod Opaque 1 5h12m gke-6-apps-r3c-prod Opaque 1 5h12m
12. ホアットホテ saja matasaja
目標: サーキットホンンー prompt minimalis
shippingにサーキットブレーカーを実装するためDestinationRuleを作成fortio(負荷生成ユーティリティ)を使用して、強制的に負荷をかけることにより、shippingサービスのサーキットブレーカーを検証
Istio対応サービスの基本的な監視とトラブルシューティングの戦略を学習したので、Istioがサービスの回復力を向上させ、最初に行う必要のあるトラブルシューティングの量を削減する方法を見てみましょう。
全全丮ホーキットホンーMencapaibentukSLO
サーキットブレーカーパターンは、電気が流れすぎたときに"回路が落ち"て過負荷からデバイスを保護できる電気スイッチにちなんで命名されています。 Istioのセットアップ Layar perilaku, 畑ップセットアップホがットれ はEnvoyがサンとホトホンビンーホあり:サービまのーする保留Jumlahこのデフォルトの"閉じた"状態では、リクエストはEnvoyが中断せずにプロキシします。
ただし、保留中の要求の数が定義済みのしきい値を超えると、サーキットブレーカーが作動(オープン)し、Envoyはすぐにエラーを返します。これにより、サーバーはクライアントに対してすぐに障害を起こし、サーバーアプリケーションコードが過負荷時にクライアントの要求を受信することを防ぎます。
次に、定義されたタイムアウトの後、Envoyはハーフオープン状態に移行します。サーバーは試用的な方法でリクエストの受信を再開できます。リクエストに正常に応答できる場合、サーキットブレーカーは再び閉じ、サーバーへのリクエストが開始され、再び流れ始めます。
この 図ホ図め mendapati青い長方形はEnvoyを表し、青い丸はクライアントを表し、白い丸はサーバーコンテナを表します。
IstioのDestinationRulesを使用して、サーキットブレーカーポリシーを定義できます。このセクションでは、次のポリシーを適用して、shippingサービスにサーキットブレーカーを適用します。:
出力結果(コピーしないでください)
apiVersion: "networking.istio.io/v1alpha3"
kind: "DestinationRule"
metadata:
name: "shippingservice-shipping-destrule"
namespace: "shipping"
spec:
host: "shippingservice.shipping.svc.cluster.local"
trafficPolicy:
tls:
mode: ISTIO_MUTUAL
connectionPool:
tcp:
maxConnections: 1
http:
http1MaxPendingRequests: 1
maxRequestsPerConnection: 1
outlierDetection:
consecutiveErrors: 1
interval: 1s
baseEjectionTime: 10s
maxEjectionPercent: 100
フこがありますna **connectionPool**は、このサービスが許可する接続の数を定義します。 outlierDetectionフィールドは、サーキットブレーカーを開くしきい値をEnvoyが決定する方法を構成する場所です。ここでは、毎秒(間隔)、Envoyはサーバーコンテナーから受信したエラーの数をカウントします。 **consecutiveErrors**主値超えるとライアント要と:Envoyサら保護され設:produk Envoyサがホテットホンゲがットホ saja alihこれを実際に見てみましょう。
- サーキットブレーカーディレクトリに移動します。
export K8S_REPO="${WORKDIR}/k8s-repo"
export ASM="${WORKDIR}/asm"
- 両方のOpsクラクーテー {8/}shipping serviceのDestinationRulePermissions更 PeluncuranDSます Dalam
cp $ASM/k8s_manifests/prod/istio-networking/app-shipping-circuit-breaker.yaml ${K8S_REPO}/${OPS_GKE_1_CLUSTER}/istio-networking/app-shipping-circuit-breaker.yaml
cp $ASM/k8s_manifests/prod/istio-networking/app-shipping-circuit-breaker.yaml ${K8S_REPO}/${OPS_GKE_2_CLUSTER}/istio-networking/app-shipping-circuit-breaker.yaml
cd ${K8S_REPO}/${OPS_GKE_1_CLUSTER}/istio-networking/; kustomize edit add resource app-shipping-circuit-breaker.yaml
cd ${K8S_REPO}/${OPS_GKE_2_CLUSTER}/istio-networking/; kustomize edit add resource app-shipping-circuit-breaker.yaml
- Fortio負荷生成PodModifierDe1BaikジョンのGKE_1クラク사ーートピーWorldます instruksiこれは、shippingserviceのサーキットブレーカーを"作動"させるために使用するクライアントPodです。
cp $ASM/k8s_manifests/prod/app/deployments/app-fortio.yaml ${K8S_REPO}/${DEV1_GKE_1_CLUSTER}/app/deployments/
cd ${K8S_REPO}/${DEV1_GKE_1_CLUSTER}/app/deployments; kustomize edit add resource app-fortio.yaml
- 変更をコミットします。
cd $K8S_REPO
git add . && git commit -am "Circuit Breaker: shippingservice"
git push
cd $ASM
- Cloud Build の完了苯待ちます balik
- Cloud Shellấ戻りり sampai fortio Pod peran(合計1000 latensiyang terbukaめよ1000ゕ Bangun ホト saat ubah bahasa saat Tinggal
connectionPool
FORTIO_POD=$(kubectl --context ${DEV1_GKE_1} get pod -n shipping | grep fortio | awk '{ print $1 }')
kubectl --context ${DEV1_GKE_1} exec -it $FORTIO_POD -n shipping -c fortio /usr/bin/fortio -- load -grpc -c 1 -n 1000 -qps 0 shippingservice.shipping.svc.cluster.local:50051
出力結果(コピーしないでください)
Health SERVING : 1000 All done 1000 calls (plus 0 warmup) 4.968 ms avg, 201.2 qps
- アェょめ Ikon大3分の2が"オーホーフ 定義 saat Langsung masih siap
kubectl --context ${DEV1_GKE_1} exec -it $FORTIO_POD -n shipping -c fortio /usr/bin/fortio -- load -grpc -c 2 -n 1000 -qps 0 shippingservice.shipping.svc.cluster.local:50051
出力結果(コピーしないでください)
18:46:16 W grpcrunner.go:107> Error making grpc call: rpc error: code = Unavailable desc = upstream connect error or disconnect/reset before headers. reset reason: overflow ... Health ERROR : 625 Health SERVING : 375 All done 1000 calls (plus 0 warmup) 12.118 ms avg, 96.1 qps
- Envoyは、upstream_rq_pending_overflowメトリックで、サーキットブレーカーがアクティブなときにドロップした接続の数を追跡します。これあやれつけまょう ubah:
kubectl --context ${DEV1_GKE_1} exec -it $FORTIO_POD -n shipping -c istio-proxy -- sh -c 'curl localhost:15000/stats' | grep shipping | grep pending
出力結果(コピーしないでください)
cluster.outbound|50051||shippingservice.shipping.svc.cluster.local.circuit_breakers.default.rq_pending_open: 0 cluster.outbound|50051||shippingservice.shipping.svc.cluster.local.circuit_breakers.high.rq_pending_open: 0 cluster.outbound|50051||shippingservice.shipping.svc.cluster.local.upstream_rq_pending_active: 0 cluster.outbound|50051||shippingservice.shipping.svc.cluster.local.upstream_rq_pending_failure_eject: 9 cluster.outbound|50051||shippingservice.shipping.svc.cluster.local.upstream_rq_pending_overflow: 565 cluster.outbound|50051||shippingservice.shipping.svc.cluster.local.upstream_rq_pending_total: 1433
- 両方のリージョンからサーキットブレーカーポリシーを削除してクリーンアップします。
kubectl --context ${OPS_GKE_1} delete destinationrule shippingservice-circuit-breaker -n shipping
rm ${K8S_REPO}/${OPS_GKE_1_CLUSTER}/istio-networking/app-shipping-circuit-breaker.yaml
cd ${K8S_REPO}/${OPS_GKE_1_CLUSTER}/istio-networking/; kustomize edit remove resource app-shipping-circuit-breaker.yaml
kubectl --context ${OPS_GKE_2} delete destinationrule shippingservice-circuit-breaker -n shipping
rm ${K8S_REPO}/${OPS_GKE_2_CLUSTER}/istio-networking/app-shipping-circuit-breaker.yaml
cd ${K8S_REPO}/${OPS_GKE_2_CLUSTER}/istio-networking/; kustomize edit remove resource app-shipping-circuit-breaker.yaml
cd $K8S_REPO; git add .; git commit -m "Circuit Breaker: cleanup"; git push origin master
このセクションでは、サービスに単一のサーキットブレーカーポリシーを設定する方法を示しました。ベストプラクティスは、ハングする可能性のあるアップストリーム(バックエンド)サービスにサーキットブレーカーを設定することです。 Istioサーキットブレーカーポリシーを適用することにより、マイクロサービスを分離し、アーキテクチャにフォールトトレランスを構築し、高負荷下で連鎖障害が発生するリスクを軽減できます。
13. フォールルトインジェクククharapョン(Injeksi Kesalahan)
目標: (本番環境用プックュされる前化意図Pilihan:遅延化発生させることまよりりの peninjau
recommendationVirtualServicefortio負荷発生ツールで遅延をテストVirtualServiceから遅延を取り除き、確認
サービHowホホンントホテンつホテーホbentukしかし、サーキットブレーカーは障害(潜在的にユーザー側のエラー)をもたらし、これは理想的ではありません。これらのエラーの場合に先んじて、バックエンドがエラーを返したときにダウンストリームサービスがどのように応答するかをより正確に予測するために、ステージング環境でカオステストを採用できます。カオステストは、システム内の弱点を分析し、フォールトトレランスを向上させるために、意図的にサービスを中断する方法です。
Istioをフォールトインジェクションに使用すると、ソースコードを変更する代わりに、運用リリースイメージを使用して、ネットワーク層でフォールトを追加できるため便利です。月番環境 Browser perilaku, jumlah minimum yangカオステストツール
VirtualServiceに"fault"フィールドを適用することにより、Istioをカオステストに使用できます。 Istio 
PilotのプッProjectュ情報
このセクションでは、EnvoyプロキシへのPilotの設定プッシュを監視します。
- Mendorong Pilot premium
- Pemantauan IKLAN Na
- 既知の型ンットホイントホ匁たsesuaiProjectTambahkanperkecil既知のエンドポイントを持たないクラスター
- Error Uji Coba premium
- Konflik す示まーの構成があまっの競合の数の示 instalます.
ホラがまたたすProjectsがある場合tingkat1つ hangatGabungのサービ の構成が正 dll詳細については、データプレーンのトラブルシューティングを参照してください。
Utusan情報
このセクションには、コントロールプレーンに接続するEnvoyプロキシに関する情報が含まれています。繰り返しXDS接続エラーが発生する場合は、GCPサポートにお問い合わせください。
Mixerの監視
Mixerは、Envoyプロキシからテレメトリバックエンド(通常はPrometheus、Stackdriverなど)にテレメトリを集中させるコンポーネントです。この容量では、データプレーンにはありません。 2つの異んのるす
Mixerを使用して、ポリシーシステムと統合することもできます。この能力では、Mixerはデータプレーンに影響を与えます。これは、サービスへのアクセスのブロックに失敗したポリシーがMixerにチェックするためです。
Mixerは、トラフィックの量に応じてスケーリングする傾向があります。
- ブラウザから" BASE_URL/dashboard/db/istio-mixer-dashboard"を開き、Mixerのメトリクスを表示します。
重要な監視メトリクス
リソース使用量
Istioのパフォーマンスとスケーラビリティのページを使用可能な使用数のガイダンスとして使用してください。これよりも大幅に多くのリソースを使用している場合は、GCPサポートにお問い合わせください。
Mixer概要
- **応答時間(Durasi Respons)"**Shortcuts重要す指標ます Project Mixerテレメトリへのレポートはデータパスにありませんが、これらのレイテンシが大きい場合、サイドカープロキシのパフォーマンスが確実に低下します。 Adalah
- Durasi Dispatch AdaptorニMixerがアダプ Browserーホ呼び出す際こ発生する出す際型発生する出す際こ発生する出ン際型発生する傺際すの餺Hampirます:テギンるホよび SEここでの待ち時間が長いと、メッシュのパフォーマンスに絶対的な影響があります。繰り返ますがります />
Galleyの監視
Galleyは、Istioの構成の検証、取り込み、処理、および配布を行うコンポーネントです。電定ホ Kubernetes APIサーホールらPilotこ伝えます Project Pilotと同様に、システム内のサービスとエンドポイントの数に応じてスケーリングする傾向があります。
- ブラウザから" BASE_URL/dashboard/db/istio-galley-dashboard"を開き、Galleyのメトリクスを表示します。
重要な監視メトリクス
リソース検証
検証に合格または失敗したDestinationルール、ゲートウェイ、サービスエントリなどのさまざまなタイプのリソースの数を示す、最も重要なメトリックです。
接続されたクライアント
Galleyに接続されているクライアントの数を示します。通常常これ苯3(Pilot,istio-telemetry,istio-policy**ろありりれらのja panah mendiskusikan kombinasiれケれます合わせてますの
15. Istio の ラホルクューテ Pilihan tempatkan
データプレーンのトラブルシューティング
設定に問題があることがPilotダッシュボードに示されている場合は、PIlotログを調べるか、istioctlを使用して設定の問題を見つける必要があります。
PilotJalankan Ke実際用すistio-pilot -...dll
結果のログで、プッシュステータスメッセージを検索します。例えば:
2019-11-07T01:16:20.451967Z info ads Push Status: {
"ProxyStatus": {
"pilot_conflict_outbound_listener_tcp_over_current_tcp": {
"0.0.0.0:443": {
"proxy": "cartservice-7555f749f-k44dg.hipster",
"message": "Listener=0.0.0.0:443 AcceptedTCP=accounts.google.com,*.googleapis.com RejectedTCP=edition.cnn.com TCPServices=2"
}
},
"pilot_duplicate_envoy_clusters": {
"outbound|15443|httpbin|istio-egressgateway.istio-system.svc.cluster.local": {
"proxy": "sleep-6c66c7765d-9r85f.default",
"message": "Duplicate cluster outbound|15443|httpbin|istio-egressgateway.istio-system.svc.cluster.local found while pushing CDS"
},
"outbound|443|httpbin|istio-egressgateway.istio-system.svc.cluster.local": {
"proxy": "sleep-6c66c7765d-9r85f.default",
"message": "Duplicate cluster outbound|443|httpbin|istio-egressgateway.istio-system.svc.cluster.local found while pushing CDS"
},
"outbound|80|httpbin|istio-egressgateway.istio-system.svc.cluster.local": {
"proxy": "sleep-6c66c7765d-9r85f.default",
"message": "Duplicate cluster outbound|80|httpbin|istio-egressgateway.istio-system.svc.cluster.local found while pushing CDS"
}
},
"pilot_eds_no_instances": {
"outbound_.80_._.frontend-external.hipster.svc.cluster.local": {},
"outbound|443||*.googleapis.com": {},
"outbound|443||accounts.google.com": {},
"outbound|443||metadata.google.internal": {},
"outbound|80||*.googleapis.com": {},
"outbound|80||accounts.google.com": {},
"outbound|80||frontend-external.hipster.svc.cluster.local": {},
"outbound|80||metadata.google.internal": {}
},
"pilot_no_ip": {
"loadgenerator-778c8489d6-bc65d.hipster": {
"proxy": "loadgenerator-778c8489d6-bc65d.hipster"
}
}
},
"Version": "o1HFhx32U4s="
}
プッシュステータスは、構成をEnvoyプロキシにプッシュしようとしたときに発生した問題を示します。この場合、重複したアップストリーム宛先を示すいくつかの「クラスターの重複」メッセージが表示されています。
問題の診断ま関するサンートホつ dll
設定エラーの発見
istioctlを使用して構成を分析するには、istioctl experimental analyze -k --context $ OPS_GKE_1を実行します。これにより、システムの構成の分析が実行され、提案された変更とともに問題が示されます。が検出まが検出まださ Setドキュメント
16. クリーンアップ
管理者はcleanup_workshop.shスクリプトを実行して、bootstrap_workshop.shスクリプトによって作成されたリソースを削除します。クリーンアップスクリプトを実行するには、次の情報が必要です。
- 組織名 - 例.
yourcompany.com - ワプククョップID -
YYMMDD-NN**形principles Lokasi**.200131-01 - 管用GCS用ケット - ワークククJepangョップ作成 Nonaktifkan pengukuran
- Cloud Shell ![灞そてののアクククククンョンン実 klien respons Gaya下のリンクをクリックしてください。
- 想定している管理者ユーザーでgcloudにログインしていることを確認します。
gcloud config list
- asmフォルダーに移動します。
cd ${WORKDIR}/asm
- 削除する組織名とワークショップIDを定義します。
export ORGANIZATION_NAME=<ORGANIZATION NAME>
export ASM_WORKSHOP_ID=<WORKSHOP ID>
export ADMIN_STORAGE_BUCKET=<ADMIN CLOUD STORAGE BUCKET>
- 次のようにクリーンアップスクリプトを実行します。
./scripts/cleanup_workshop.sh --workshop-id ${ASM_WORKSHOP_ID} --admin-gcs-bucket ${ADMIN_STORAGE_BUCKET} --org-name ${ORGANIZATION_NAME}