Kubernetes容器应用基于Istio的灰度发布实践 张超盟 @ Huawei Cloud BU 2018.08.25 Service Mesh Meetup #3 深圳站 Agenda • Istio & Kubernetes • Istio & Kubernetes上的灰度发布 An open platform to connect, manage, and secure microservices Node 1 svc1 自身业务 SDK Sidecar 服务治理 Node 2 svc 2 自身业务 SDK Sidecar 服务治理 通信基础 服务发现 负载均衡 熔断容错 动态路由 … for (封装++) { 应用侵入--； 治理位置--； } 微服务角度看Istio: 服务网格 服务网格控制面 从基础设施(Kubernetes)看Istio: 服务访问 Node io: 能力增强 服务部署运 维 服务治理 • 调用链追踪 • 动态路由 • 熔断限流 • 负载均衡 • 服务发现 • 扩缩容 • 运维 • 部署 Kubernetes Istio Istio治理的不只是微服务，只要有访问的服务，都可以被治理。 Istio关键能力 流量管理 负载均衡 动态路由 灰度发布 可观察性 调用链 访问日志 监控 策略执行 限流 ACL 故障注入

1 Kubernetes容器应用基于Istio的灰度发布实践 张超盟 @ Huawei Cloud BU 2018.08.25 Service Mesh Meetup #3 深圳站2 Agenda • Istio & Kubernetes • Istio & Kubernetes上的灰度发布3 An open platform to connect, manage, and secure Node 1 svc1 自身业务 SDK Sidecar 服务治理 Node 2 svc 2 自身业务 SDK Sidecar 服务治理 通信基础 服务发现 负载均衡 熔断容错 动态路由 … for (封装++) { 应用侵入--； 治理位置--； }6 微服务角度看Istio: 服务网格 服务网格控制面7 从基础设施(Kubernetes)看Istio: 服务访问 o: 能力增强 服务部署运 维 服务治理 • 调用链追踪 • 动态路由 • 熔断限流 • 负载均衡 • 服务发现 • 扩缩容 • 运维 • 部署 Kubernetes Istio9 Istio治理的不只是微服务，只要有访问的服务，都可以被治理。10 Istio关键能力 流量管理 负载均衡 动态路由 灰度发布 可观察性 调用链 访问日志 监控 策略执行 限流 ACL

KubeVela：以应用为中心的 渐进式发布最佳实践 孙健波 阿里云-云原生应用平台团队 技术专家 关于我 • 孙健波 • 阿里云 (@天元) • 云原生应用平台团队--应用管理和应用交付 • Github(@wonderflow) • OAM - Open Application Model (https://oam.dev/) • KubeVela (http://kubevela 云原生时代的应用与发布挑战 01 KubeVela 简介 02 KubeVela 中的渐进式发布实践 03 云原生时代，应用是怎 么样的？ 以 K8s 资源组合为核心 kubernetes/StatefulSet Kubernetes/Deployment K8s 的原生资源组合 1. 复杂、难懂、门槛高 2. 能力局限，不同场景各不相同 3. 不统一，每一个模式需要重新编 写发布对接 K8s-sigs 只描述了应用产品元数据， 研发、运维无从入手。 2. 无人维护、缺乏活跃度。 3. 信息不足以对接发布。 kubernetes-sigs/application 几乎成为事实标准的应用打包工具 helm 1. 黑盒，不明确内部有哪些 资源。 2. 无法使用/对接云资源。 3. 发布能力缺失，使用 helm upgrade 没有灰度 能力。 Helm Chart 基于 CRD 自定义实现

Container Platform 可以满足用户对安全性、隐私、合规性及监管的要求。 1.1. 关于此版本 OpenShift Container Platform (RHSA-2023:5006)现已正式发布。此发行版本使用 Kubernetes 1.27 和 CRI-O 运行时。OpenShift Container Platform 4.14 的新功能、改变以及已知的问题包括在此文档中。 OpenShift Azure 的用 的用户 户定 定义 义的 的标签现 标签现已正式 已正式发 发布 布 Microsoft Azure 的用户定义的标签功能以前在 OpenShift Container Platform 4.13 中作为技术预览引 进，现在在 OpenShift Container Platform 4.14 中正式发布。如需更多信息，请参阅为 Azure 配置用户定 义的标签。 1.3.2.8 Nutanix 上安装三节点集群。 1.3.2.16. 使用机密虚 使用机密虚拟 拟机在 机在 GCP 上安装集群已正式 上安装集群已正式发 发布 布 在 OpenShift Container Platform 4.14 中，在安装集群时使用机密虚拟机已正式发布。64 位 ARM 架构目 前不支持机密虚拟机。如需更多信息，请参阅 启用机密虚拟机。 1.3.2.17. RHOSP 的根卷 的根卷类

可视化形式操作⽹关，⽀持监控分析、⽇ 志审计、多租⼾管理、多集群切换、多⼯作分区等能⼒。 1.1
技术架构
数据平⾯ 1. 数据平⾯⽤于接收并处理调⽤⽅请求，使⽤
Lua
与
Nginx
动态控制请求流量。当请求进⼊时，将根据 预设路由规则进⾏匹配，匹配到的请求将被⽹关转发⾄对应上游服务。在此过程中，⽹关有能⼒根据 预设规则中不同插件的配置，使⽤⼀系列插件对请求从进⼊到离开的各个阶段进⾏操作。例如：请求 务器中，QPS
约为
140K，延迟约 为
0.2
ms；
全动态能⼒ 6. 修改⽹关配置、增加或修改插件等，⽆需重启⽹关服务即可实时⽣效；⽀持动态加载
SSL
证书；
扩展能⼒强 7. 借助灵活的插件机制，可针对内部业务完成功能定制；⽀持⾃定义负载均衡算法与路由算法，不受限 于
API
⽹关实现；通过运⾏时动态执⾏⽤⼾⾃定义函数⽅式来实现
Serverless，使⽹关边缘节点更加 ⽬前匹配路由速度最快的
API
⽹关。它⽀ 持全路径匹配、前缀匹配，也⽀持使⽤
Nginx
内置变量作为匹配条件，以此实现精细化路由。此 外，API7
⽀持流量镜像与⾼级路由匹配功能，可实现灰度发布等精细化路由管理功能。此外，它 也⽀持服务发现与多种注册中⼼，并有能⼒根据请求中
Header、Query、Cookie
等参数进⾏分 流； • 协议转换：API7
⽀持丰富的协议，如
TC

Controller TLS 安全配置集 6.3.1.1. 了解 TLS 安全配置集 6.3.1.2. 为 Ingress Controller 配置 TLS 安全配置集 6.3.2. Ingress 控制器端点发布策略 6.4. 查看默认的 INGRESS CONTROLLER 6.5. 查看 INGRESS OPERATOR 状态 6.6. 查看 INGRESS CONTROLLER 日志 6.7. 查看 1. macvlan 配置示例 11.2.4. 为额外网络配置 IP 地址分配 11.2.4.1. 静态 IP 地址分配配置 11.2.4.2. 动态 IP 地址(DHCP)分配配置 11.2.4.3. 使用 Whereabouts 进行动态 IP 地址分配配置 11.2.5. 使用 Cluster Network Operator 创建额外网络附加 11.2.6. 通过应用 YAML 清单来创建额外网络附加 以太网设备配置对象 12.5.1.1. 为额外网络配置 IP 地址分配 12.5.1.1.1. 静态 IP 地址分配配置 12.5.1.1.2. 动态 IP 地址(DHCP)分配配置 12.5.1.1.3. 使用 Whereabouts 进行动态 IP 地址分配配置 12.5.2. 配置 SR-IOV 额外网络 12.5.3. 后续步骤 12.5.4. 其他资源 12.6. 配置 SR-IOV

Ingress 资源，来使用 Ingress Operator 路由流量。Ingress Controller 中的配置（如定义 endpointPublishingStrategy 类型和内部负载平衡）提供了发布 Ingress Controller 端点的方法。 1.2.1. 路由和 Ingress 的比较 OpenShift Container Platform 中的 Kubernetes Ingress Ingress 资源，来使用 Ingress Operator 路由流量。Ingress Controller 中的配置（如定义 endpointPublishingStrategy 类型和内部负载平衡）提供了发布 Ingress Controller 端点的方法。 6.2. INGRESS 配置资产 安装程序在 config.openshift.io API 组中生成带有 Ingress 资源的资产，cluster-ingress-02- DNS 名称，用于配置多个功能： 对于 LoadBalancerService 端点发布策略，domain 被用来配置 DNS 记录。请参阅 endpointPublishingStrategy。 当使用生成的默认证书时，该证书对域 域及其子域 子域有效。请参阅 defaultCertificate。 该值会发布到独立的 Route 状态，以便用户了解目标外部 DNS 记录的 位置。 domain

事云原生及其安全技术的研 究，致力于推动云原生在通信行业落地实践，全面落实好“大安全”主责主业， 以实际行动践行“国家队、主力军、排头兵”的责任担当。2022 年，我们在“联 通合作伙伴大会”发布了《中国联通云原生安全实践白皮书》，该书系统阐述了 云计算所面临的新型安全问题，介绍了云原生安全防护体系，并给出了云原生安 全防护体系建设实践。 过去一年来，我们持续深耕云原生安全领域，联合多家单位共同编写了《云 DevOps、微服务、容器和持续集成，如图 1、图 2 所示。 图 1 云原生四要素 云原生安全威胁分析与能力建设白皮书 11 图 2 云原生四要素的基本含义 2020 年，云原生产业联盟发布《云原生发展白皮书》[1]，指出云原生是面 向云应用设计的一种思想理念，充分发挥云效能的最佳实践路径，帮助企业构建 弹性可靠、松耦合、易管理可观测的应用系统，提升交付效率，降低运维复杂度， 代 支持持续迭代和运维 自动化，利用云平台设施实现弹性伸缩、动态调度、优化资源利用率。 云原生安全威胁分析与能力建设白皮书 12 1.1.2 云原生安全 云原生安全作为云原生的伴生技术，旨在解决云原生技术面临的安全问题， 其作为一种新兴的安全理念，强调以原生的思维实现云上安全并推动安全与云计 算深度融合。我们在 2022 年发布的中国联通云原生安全实践白皮书中[2]，对比 分析了不同的

工具型APP 服务化、模块化 平台型APP 动态化、高可用 超级APP 开放、生态 新阶段 移动应用发展历程 2013年 2015年 2018年 ING Native HTML5 ReactNative Flutter 开发成本 用户体验 动态性 移动应用开发技术分析 如何保障APP可以快速、动 态的更新 保障APP动态更新的情况 下，如何保证用户体验 缺乏客户端经验的开发者， 人均单日使用时长 数据来源：支付宝2020小程序上半年发展报告，截止时间2020年7月 小程序迎来大爆发，商业价值全面释放 开发⻔槛低 良好用户体验 小程序技术基于 Web前端技术 可实现动态更 新与APP隔离 可独立更新 用户没有学习成本 响应速度响应快 能够快速裂变分享 打通社交媒体 触达海量用户 小程序成为互联网巨头争夺的流量入口是因为？ #移动应用如何利用小程序转型升级# 支持对APP内所有小程序进行快速索引，用户无需苦苦寻找功能 入口 • 小程序支持多版本灰度发布，支持A/B测试，充分释放运营创 新活力 • 支持小程序的精准投放，不同用户得到不同的小程序 功能生态更全：兼容微信，快速引入 距离用户更近：分享裂变，快速索引 需求响应更快：松散耦合，敏捷迭代 服务提供更准：灰度发布，千人千面 小程序让APP“组件化”，外部生态引进来，公司业务走出去 兼容微信，助力银行快速构建数字生态

6 发行注记 发布日期： 2022 年 2 月 16 日 WMCO 1.0.6 现已正式发布，带有相关的程序漏洞修复。WMCO 组件在 RHBA-2022:0240 中发布。 WMCO 1.0.2 发行版本中的支持声明和已知问题也适用于此 WMCO 发行版本。 2.4. RED HAT WINDOWS MACHINE CONFIG OPERATOR 1.0.5 发行注记 发布日期：2021 年 6 月 14 日 WMCO 1.0.5 现已正式发布，带有相关的程序漏洞修复。WMCO 组件在 RHBA-2021:2142 中发布。 WMCO 1.0.2 发行版本中的支持声明和已知问题也适用于此 WMCO 发行版本。 2.5. RED HAT WINDOWS MACHINE CONFIG OPERATOR 1.0.4 发行注记 发布日期：2021 年 4 月 15 日 WMCO 1 1.0.4 现在提供程序错误修正。WMCO 组件在 RHBA-2021:1061 中发布。 WMCO 1.0.2 发行版本中的支持声明和已知问题也适用于此 WMCO 发行版本。 第 第 2 章 章 WINDOWS CONTAINER SUPPORT FOR RED HAT OPENSHIFT 发 发行注 行注记 记 5 2.5.1. 程序错误修复 在以前的版本中，如果您有一个有两个 Windows