閱讀英文

共用方式為

部署适用于 Azure Kubernetes 服务的基于 Istio 的服务网格加载项

  • 2025/05/09

本文介绍如何为 Azure Kubernetes 服务 (AKS) 群集安装基于 Istio 的服务网格加载项。

有关 Istio 和服务网格加载项的详细信息,请参阅 Azure Kubernetes 服务的 Istio 服务网格加载项

开始之前

  • 加载项需要安装 Azure CLI 2.57.0 或更高版本。 可以运行 az --version 来验证版本。 若要安装或升级,请参阅安装 Azure CLI

  • 若要查找有关哪些 Istio 加载项修订在区域中可用以及它们与 AKS 群集版本的兼容性的信息,请使用命令 az aks mesh get-revisions

    az aks mesh get-revisions --location <location> -o table

  • 在某些情况下,以前安装的 Istio CRD 可能不会在卸载时自动清理。 确保删除现有的 Istio CRD:

    kubectl delete crd $(kubectl get crd -A | grep "istio.io" | awk '{print $1}')

    建议从 Istio 的自管理安装中清理其他资源(例如 ClusterRoles、MutatingWebhookConfigurations 和 ValidatingWebhookConfigurations)。

  • 请注意,如果选择使用 istioctl CLI 命令,则需要包含一个标志来指向 Istio 的加载项安装:--istioNamespace aks-istio-system

设置环境变量

export CLUSTER=<cluster-name>
export RESOURCE_GROUP=<resource-group-name>
export LOCATION=<location>

安装 Istio 加载项

本部分包括使用 Azure CLI 在群集创建期间安装 Istio 加载项或为现有群集启用的步骤。 如果要使用 Bicep 安装加载项,请参阅使用 Bicep 安装具有 Istio 服务网格加载项的 AKS 群集指南。 若要详细了解 AKS 群集的 Bicep 资源定义,请参阅 Bicep managedCluster 参考

注意

如果需要将 istiod 和入口网关 Pod 调度到特定节点上,您可以使用 AKS 系统节点 或利用 azureservicemesh/istio.replica.preferred 标签。 Pod 具有与 AKS 系统节点(标记为100)相关性的加权首选项 kubernetes.azure.com/mode: system,并且对标记为50的节点具有加权首选项 azureservicemesh/istio.replica.preferred: true

修订选择

如果在未指定修订的情况下启用加载项,则会为你安装默认支持的修订。

若要指定修订,请执行以下步骤。

  1. 使用 az aks mesh get-revisions 命令检查哪些修订可用于区域中的不同 AKS 群集版本。
  2. 根据可用的修订,可以在用于网格安装的 enable 命令中包含 --revision asm-X-Y(例如 --revision asm-1-24)标志。

在群集创建期间安装网格

若要在创建群集时安装 Istio 加载项,请使用 --enable-azure-service-mesh--enable-asm 参数。

az group create --name ${RESOURCE_GROUP} --location ${LOCATION}

az aks create \
    --resource-group ${RESOURCE_GROUP} \
    --name ${CLUSTER} \
    --enable-asm \
    --generate-ssh-keys

为现有群集安装网格

以下示例为现有 AKS 群集启用 Istio 加载项:

重要

如果现有群集上已有 OSM 加载项,则不能在该群集上启用 Istio 加载项。 在安装 Istio 加载项之前卸载 OSM 加载项。 有关详细信息,请参阅从 AKS 群集卸载 OSM 加载项。 只能在版本不低于 1.23 的 AKS 群集上启用 Istio 加载项。

az aks mesh enable --resource-group ${RESOURCE_GROUP} --name ${CLUSTER}

验证是否成功安装

若要验证 Istio 加载项是否已安装在群集上,请运行以下命令:

az aks show --resource-group ${RESOURCE_GROUP} --name ${CLUSTER}  --query 'serviceMeshProfile.mode'

确认输出显示 Istio

使用 az aks get-credentials 获取 AKS 群集的凭据:

az aks get-credentials --resource-group ${RESOURCE_GROUP} --name ${CLUSTER}

使用 kubectl 验证 istiod(Istio 控制平面)Pod 是否成功运行:

kubectl get pods -n aks-istio-system

确认 istiod Pod 的状态为 Running。 例如:

NAME                               READY   STATUS    RESTARTS   AGE
istiod-asm-1-24-74f7f7c46c-xfdtl   1/1     Running   0          2m
istiod-asm-1-24-74f7f7c46c-4nt2v   1/1     Running   0          2m

启用挎斗注入

要自动将挎斗安装到任何新 Pod,需要使用与当前安装的控制平面修订对应的修订标签来批注命名空间。

如果不确定安装了哪个修订,请使用:

az aks show --resource-group ${RESOURCE_GROUP} --name ${CLUSTER}  --query 'serviceMeshProfile.istio.revisions'

应用修订标签:

kubectl label namespace default istio.io/rev=asm-X-Y

重要

需要与控制平面修订(例如 istio.io/rev=asm-1-24)匹配的显式版本控制。

默认 istio-injection=enabled 标签将不起作用, 并将导致 sidecar 注入跳过 加载项的命名空间。

若要使用 istioctl kube-inject 手动注入挎斗,需要为 istioNamespace (-i) 和 revision (-r) 指定额外的参数。 例如:

kubectl apply -f <(istioctl kube-inject -f sample.yaml -i aks-istio-system -r asm-X-Y) -n foo

触发 Sidecar 注入

可以部署为测试提供的示例应用程序,也可以为现有工作负载触发 Sidecar 注入。

现有应用程序

如果已有要添加到网格中的应用程序,请确保按上一步所述标记其命名空间,然后重启其部署以触发 Sidecar 注入:

kubectl rollout restart -n <namespace> <deployment name>

验证 Sidecar 注入是否成功,方法是确保所有容器都准备就绪,并在 istio-proxy 输出中查找 kubectl describe 容器,例如:

kubectl describe pod -n namespace <pod name>

istio-proxy 容器是 Envoy Sidecar。 应用程序现在是数据平面的一部分。

部署示例应用程序

使用 kubectl apply 将示例应用程序部署到群集:

kubectl apply -f https://raw.githubusercontent.com/istio/istio/release-1.24/samples/bookinfo/platform/kube/bookinfo.yaml

注意

使用 HTTP 代理进行出站 Internet 访问的群集需要设置服务条目。 如需设置说明,请参阅 Azure Kubernetes 服务中的 HTTP 代理支持

确认已在群集上创建了多个部署和服务。 例如:

service/details created
serviceaccount/bookinfo-details created
deployment.apps/details-v1 created
service/ratings created
serviceaccount/bookinfo-ratings created
deployment.apps/ratings-v1 created
service/reviews created
serviceaccount/bookinfo-reviews created
deployment.apps/reviews-v1 created
deployment.apps/reviews-v2 created
deployment.apps/reviews-v3 created
service/productpage created
serviceaccount/bookinfo-productpage created
deployment.apps/productpage-v1 created

使用 kubectl get services 验证是否已成功创建服务:

kubectl get services

确认已部署以下服务:

NAME          TYPE        CLUSTER-IP     EXTERNAL-IP   PORT(S)    AGE
details       ClusterIP   10.0.180.193   <none>        9080/TCP   87s
kubernetes    ClusterIP   10.0.0.1       <none>        443/TCP    15m
productpage   ClusterIP   10.0.112.238   <none>        9080/TCP   86s
ratings       ClusterIP   10.0.15.201    <none>        9080/TCP   86s
reviews       ClusterIP   10.0.73.95     <none>        9080/TCP   86s

kubectl get pods

NAME                              READY   STATUS    RESTARTS   AGE
details-v1-558b8b4b76-2llld       2/2     Running   0          2m41s
productpage-v1-6987489c74-lpkgl   2/2     Running   0          2m40s
ratings-v1-7dc98c7588-vzftc       2/2     Running   0          2m41s
reviews-v1-7f99cc4496-gdxfn       2/2     Running   0          2m41s
reviews-v2-7d79d5bd5d-8zzqd       2/2     Running   0          2m41s
reviews-v3-7dbcdcbc56-m8dph       2/2     Running   0          2m41s

确认所有 Pod 的状态均为 Running,并且 READY 列中带有两个容器。 添加到每个 Pod 的第二个容器 (istio-proxy) 是 Istio 注入的 Envoy Sidecar,另一个是应用程序容器。

若要对示例应用程序进行入口测试,请查看后续步骤

后续步骤