使用兩年之后我為什么卸載了Istio

使用兩年之后，我為什么卸載了Istio？在生產(chǎn)中使用了Istio近兩年之后，我們要和它說(shuō)再見(jiàn)了。服務(wù)網(wǎng)絡(luò)大戰(zhàn)正在肆虐?，F(xiàn)在我把票投給了Linkerd。服務(wù)網(wǎng)格提供了微服務(wù)之間的流量監(jiān)控，包括服務(wù)通信的映射和在它們之間生成的HTTP狀態(tài)碼。通過(guò)添加服務(wù)網(wǎng)格，你可以在服務(wù)間添加mTLS，或者換句話說(shuō)，可以在服務(wù)間添加加密的HTTP通信。在我看來(lái)，這兩個(gè)工具幾乎對(duì)所有人都很有用。許多服務(wù)網(wǎng)格都提供了諸如流量分割、重試、超時(shí)等高級(jí)功能。我很少相信這些功能是有用的，或者我認(rèn)為這不應(yīng)該是由Sidecar代理來(lái)處理的功能。它們經(jīng)常被錯(cuò)誤地用來(lái)嘗試解決一個(gè)本該以其他方式解決的問(wèn)題。但另一方面服務(wù)網(wǎng)格很難。如果你要使用任何一種服務(wù)網(wǎng)格，都需要一個(gè)艱苦的過(guò)程才能學(xué)到一些知識(shí)：服務(wù)網(wǎng)格目前只能可靠地支持HTTP通信。我有使用Istio和Linkerd的經(jīng)驗(yàn)，它們都聲稱(chēng)支持許多協(xié)議。我發(fā)現(xiàn)這很不可靠。Istio對(duì)某些數(shù)據(jù)庫(kù)協(xié)議的支持在不同版本之間存在中斷。Linkerd中斷了ampq通信。在這兩個(gè)平臺(tái)上使用HTTPS經(jīng)常會(huì)拋出一些奇怪的錯(cuò)誤。我的印象是，編寫(xiě)一個(gè)透明的網(wǎng)絡(luò)代理是極其困難的。在這一點(diǎn)上，我只相信一個(gè)帶有HTTP通信的服務(wù)網(wǎng)格，無(wú)論如何，這是我想要的，因?yàn)槟鞘荎ubernetes服務(wù)之間通信的流量。在Sidecar代理運(yùn)行之前，應(yīng)用程序容器的網(wǎng)絡(luò)調(diào)用都將失敗。這一點(diǎn)尤為糟糕，這也是我認(rèn)為服務(wù)網(wǎng)格尚不適用于所有人的主要原因。應(yīng)用程序容器可能會(huì)在Sidecar代理之前啟動(dòng)，在這種情況下，它將無(wú)法完成需要由Sidecar代理來(lái)配置處理的網(wǎng)絡(luò)請(qǐng)求?？梢越栌肒ubernetes的故事來(lái)制作Sidecar（你可以標(biāo)記Pod中某個(gè)容器中為自旋向上的Sidecar）。它原本計(jì)劃在1.20版本中發(fā)布，但現(xiàn)在為了支持盡可能多的用例而推遲了。無(wú)論如何，總有一些技巧可以解決這個(gè)問(wèn)題，但這意味著成功實(shí)現(xiàn)一個(gè)服務(wù)網(wǎng)格對(duì)開(kāi)發(fā)人員來(lái)說(shuō)不再是透明的，因?yàn)樗麄冃枰薷囊恍┐a或部署。初始化容器和CronJob不能使用服務(wù)網(wǎng)格。為什么呢？服務(wù)網(wǎng)格代理容器永遠(yuǎn)不會(huì)退出。如果它永不退出，那么初始化容器和CronJob就永遠(yuǎn)不會(huì)真正“完成”。對(duì)容器來(lái)說(shuō)，你的應(yīng)用程序容器將永遠(yuǎn)不會(huì)啟動(dòng)，對(duì)CronJob來(lái)說(shuō)，你的CronJob將超時(shí)并被標(biāo)記為失敗?？赡苡幸恍┙鉀Q方法，但我從未發(fā)現(xiàn)有任何建議是非常實(shí)用的。搜索公眾號(hào)后端架構(gòu)師回復(fù)關(guān)鍵字“面試”，獲取一份驚喜禮包。我已經(jīng)成功地在生產(chǎn)和預(yù)發(fā)集群中使用了服務(wù)網(wǎng)格，但有兩個(gè)限制條件，只讓Sidecar代理監(jiān)控HTTP通信；將mTLS設(shè)置為可選（如果某個(gè)Pod不在網(wǎng)格上，它仍然可以與網(wǎng)格上的另一個(gè)Pod通信）。我不在審查集群上使用服務(wù)網(wǎng)格。把審查應(yīng)用程序放到服務(wù)網(wǎng)格中有太多的問(wèn)題需要解決了。1為什么我卸載了Istio？簡(jiǎn)而言之，因?yàn)椴僮鲝?fù)雜。學(xué)習(xí)Istio的時(shí)間與我第一次學(xué)習(xí)Kubernetes的時(shí)候差不多長(zhǎng)。通過(guò)配Helm來(lái)部署Istio需要花費(fèi)數(shù)周的時(shí)間（相比之下，我?guī)缀蹩偰茉谝惶熘畠?nèi)完成一個(gè)新Helm的配置）。Istio重度依賴(lài)CRD。我盡量避免使用CRD，因?yàn)樗鼈儠?huì)造成供應(yīng)商鎖定。他們的CRD，比如，必不可少的Gateway、VirtualService、DestinationRule都要花費(fèi)一些時(shí)間來(lái)理解，而且我閱讀它們文檔的次數(shù)比我能接受的要多得多。Istio用起來(lái)很?chē)樔?。我?jīng)歷過(guò)一個(gè)巨大的單點(diǎn)故障，當(dāng)開(kāi)發(fā)人員誤命名了包含TLS密鑰的Kubernetes密鑰時(shí)，每個(gè)網(wǎng)關(guān)都中斷了，整個(gè)集群都垮了。這是一個(gè)bug，如果Istio無(wú)法找到密鑰，它將無(wú)法配置并停止所有服務(wù)。這調(diào)試起來(lái)非常困難。日志中沒(méi)有任何內(nèi)容可以指出到底出了什么問(wèn)題。Istio很少在其他方面完全失效，通常與它將配置傳遞給Envoy代理的方式有關(guān)。他們稱(chēng)之為“碎玻璃配置”（“BreakGlassConfiguration”）。最后，也是最重要的一點(diǎn)是，Istio不推薦使用Helm部署，而是推薦使用他們的istioctl命令行實(shí)用程序……然而，他們?cè)诟叩陌姹局兄匦乱肓薍elm的部署。我不喜歡用一堆不同的方法在集群上部署40多個(gè)支持工具，所以當(dāng)他們棄用Helm時(shí)，我非常失望，我使用的其他工具都支持Helm。當(dāng)我發(fā)現(xiàn)這只是暫時(shí)的時(shí)候，我更加沮喪。這意味著我必須離開(kāi)后再回來(lái)升級(jí)到最新的Istio版本。2當(dāng)初我為什么會(huì)選擇Istio?當(dāng)Kubernetes剛出現(xiàn)時(shí)，它還有其他3個(gè)主要競(jìng)爭(zhēng)對(duì)手：Mesos、Nomad和Swarm。很快，Kubernetes就贏得這場(chǎng)戰(zhàn)爭(zhēng)。我從未遇到過(guò)使用Mesos的人，這可能是因?yàn)樗鼪](méi)有得到大公司的支持，盡管我聽(tīng)說(shuō)過(guò)Mesos對(duì)容器編排有著巨大的影響。我見(jiàn)過(guò)的唯一使用Swarm的人，是因?yàn)镾warm比Kubernetes“更簡(jiǎn)單”才使用的。我知道這不會(huì)長(zhǎng)久的。它的“簡(jiǎn)單”實(shí)際上是缺乏功能。如果你只使用Kubernetes特性中的一小部分，Kubernetes也很簡(jiǎn)單。Nomad現(xiàn)在還很活躍，如果你需要將流程直接編排到服務(wù)器上，那么這就是你的選擇。如果你只需要容器編排，我強(qiáng)烈推薦你使用Kubernetes。不管怎樣，當(dāng)Istio問(wèn)世時(shí)，情況看起來(lái)非常熟悉。唯一的競(jìng)爭(zhēng)對(duì)手是Linkerd（我想在我的心目中這是一個(gè)Swarm類(lèi)型的競(jìng)爭(zhēng)對(duì)手)，而Istio就像Kubernetes一樣，是谷歌的“孩子”。所以我選擇了Istio。然后，服務(wù)網(wǎng)絡(luò)大戰(zhàn)開(kāi)始了。首先出現(xiàn)的是AWS的AppMesh，然后是Traefik的Maesh，再然后是Azure的OpenServiceMesh（這可能是對(duì)Istio不加入CNCF爭(zhēng)議的一種諷刺)，以及Nginx的服務(wù)網(wǎng)格。還有一些其他的，大多數(shù)都是使用Envoy代理來(lái)創(chuàng)建他們的服務(wù)網(wǎng)格，如Kuma和ConsulConnect。這看來(lái)根本沒(méi)有明顯的贏家。3現(xiàn)在該用什么?在比較了所有的服務(wù)網(wǎng)格之后，我最終選擇了Linkerd，也就是最初的那個(gè)。其他的要么想偷偷進(jìn)入供應(yīng)商鎖定，要么只是沒(méi)有按照我想要的方式工作（比如Maesh，它向節(jié)點(diǎn)添加是代理而不是Pod）。我喜歡Linkerd的原因在于：它支持使用Helm進(jìn)行部署（實(shí)際上，我在所有部署中都使用了Helm的修改版本，并且我使用了一些自定義的代碼來(lái)避免外部手動(dòng)配置）。它相當(dāng)簡(jiǎn)單。你只需要一個(gè)CRD，Helm圖也很易學(xué)。它們的儀表盤(pán)很順滑。Istio使用Grafana/Promethus和Kiali。Linkerd也支持Grafana/Prometheus，但它還有一個(gè)專(zhuān)用的定制儀表盤(pán)，很易于使用。它們用Rust（v2）編寫(xiě)了自己的代理。起初我對(duì)此感到很困惑，因?yàn)镋nvoy如此受歡迎，但后來(lái)我意識(shí)到Linkerd可以快速發(fā)展。Envoy現(xiàn)在是一個(gè)龐然大物，必須對(duì)許多供應(yīng)商保持中立，但是Linkerd可以對(duì)自己的代理做任何想做的事情，從而使開(kāi)發(fā)速度更快。而且，它是用Rust寫(xiě)的！很酷，對(duì)吧？它們加入了CNCF。而Isito沒(méi)有…Linkerd第一步做對(duì)了。Istio試圖嘗試一系列不同的部署，你必須管理它們，但現(xiàn)在它們已經(jīng)轉(zhuǎn)移到單一部署上了。Linkerd是第一個(gè)這樣做的。它確實(shí)有其他部署，但都不是“核心”的。它們?cè)黾犹匦院?，你只需要關(guān)注核心部署就可以讓你的服務(wù)網(wǎng)格工作了。Linkerd有什么不足之處嗎?其實(shí)只有一件小事。我想這更像是一種營(yíng)銷(xiāo)手段。他們聲稱(chēng)這是一個(gè)服務(wù)網(wǎng)絡(luò)，你可以在5分鐘內(nèi)安裝并使用它，一切都能準(zhǔn)備好。但是，正如上文所述，服務(wù)網(wǎng)格并不是簡(jiǎn)單地準(zhǔn)備就緒就行了。Linkerd也存在每個(gè)服務(wù)網(wǎng)格都有的問(wèn)題：缺少原生Sidecar和不可靠的非HTTP協(xié)議處理。4小結(jié)也許有一天，你使用哪個(gè)服務(wù)網(wǎng)格只是一個(gè)小問(wèn)題，就像很多人甚至不知道他們?cè)贙ubernetes上使用的是什么覆蓋網(wǎng)絡(luò)一樣。每個(gè)服務(wù)網(wǎng)格都在采用SMI（服務(wù)網(wǎng)格接口），因此從長(zhǎng)遠(yuǎn)來(lái)看，我認(rèn)為服務(wù)網(wǎng)格將會(huì)成為Kubernetes中的原