Menyuntikkan proxy sidecar dengan Cloud Service Mesh

Dokumen ini membahas cara mengonfigurasi penyisipan proxy sidecar dengan Cloud Service Mesh untuk meningkatkan keamanan, keandalan, dan kemampuan observasi jaringan. Fungsi ini diabstraksi dari container utama aplikasi dan diimplementasikan dalam proxy di luar proses umum (sidecar), yang dikirimkan sebagai container terpisah di Pod yang sama. Hal ini menyediakan fitur Cloud Service Mesh tanpa mendesain ulang aplikasi produksi Anda untuk berpartisipasi dalam mesh layanan.

Injeksi proxy sidecar otomatis (injeksi otomatis) terjadi saat Cloud Service Mesh mendeteksi label namespace yang Anda konfigurasi untuk Pod workload. Proxy mencegat semua traffic masuk dan keluar ke beban kerja dan berkomunikasi dengan Cloud Service Mesh.

Mengaktifkan injeksi sidecar otomatis

Cara yang direkomendasikan untuk menyuntikkan proxy file bantuan adalah dengan menggunakan injektor file bantuan otomatis berbasis webhook, meskipun Anda dapat memperbarui konfigurasi Kubernetes Pod secara manual.

Untuk mengaktifkan injeksi otomatis, Anda memberi label pada namespace dengan label injeksi default jika tag default disiapkan, atau dengan label revisi ke namespace Anda. Label digunakan oleh webhook injector sidecar untuk mengaitkan sidecar yang di-inject dengan revisi bidang kontrol tertentu.

Untuk mengaktifkan penyuntikan otomatis:

  1. Gunakan perintah berikut untuk menemukan label revisi di istiod:

    kubectl -n istio-system get pods -l app=istiod --show-labels

    Outputnya terlihat mirip dengan yang berikut ini:

    NAME                                READY   STATUS    RESTARTS   AGE   LABELS
istiod-asm-1264-1-5788d57586-bljj4   1/1     Running   0          23h   app=istiod,istio.io/rev=asm-1264-1,istio=istiod,pod-template-hash=5788d57586
istiod-asm-1264-1-5788d57586-vsklm   1/1     Running   1          23h   app=istiod,istio.io/rev=asm-1264-1,istio=istiod,pod-template-hash=5788d57586

    Dalam output, di kolom LABELS, catat nilai label revisi istiod, yang mengikuti awalan istio.io/rev=. Dalam contoh ini, nilainya adalah asm-1264-1.

  2. Terapkan label revisi ke namespace dan hapus label istio-injection (jika ada). Pada perintah berikut, NAMESPACE adalah nama namespace tempat Anda ingin mengaktifkan penyuntikan otomatis, dan REVISION adalah label revisi yang Anda catat pada langkah sebelumnya.

    kubectl label namespace NAMESPACE  istio-injection- istio.io/rev=REVISION --overwrite

    Anda dapat mengabaikan pesan "istio-injection not found" dalam output. Artinya, namespace sebelumnya tidak memiliki label istio-injection, yang akan Anda lihat di penginstalan Cloud Service Mesh atau deployment baru. Karena perilaku injeksi otomatis tidak ditentukan saat namespace memiliki label revisi dan istio-injection, semua perintah kubectl label dalam dokumentasi Cloud Service Mesh secara eksplisit memastikan bahwa hanya satu yang ditetapkan.

  3. Mulai ulang pod yang terpengaruh, menggunakan langkah-langkah di bagian berikutnya.

Mulai ulang Pod untuk mengupdate proxy sidecar

Dengan injeksi sidecar otomatis, Anda dapat mengupdate sidecar untuk Pod yang ada dengan memulai ulang Pod:

Cara memulai ulang Pod bergantung pada apakah Pod dibuat sebagai bagian dari Deployment.

  1. Jika Anda menggunakan Deployment, mulai ulang Deployment, yang akan memulai ulang semua Pod dengan sidecar:

    kubectl rollout restart deployment -n YOUR_NAMESPACE

    Jika Anda tidak menggunakan Deployment, hapus Pod, dan Pod akan otomatis dibuat ulang dengan sidecar:

    kubectl delete pod -n YOUR_NAMESPACE --all

  2. Pastikan semua Pod di namespace memiliki sidecar yang disuntikkan:

    kubectl get pod -n YOUR_NAMESPACE

    Dalam contoh output berikut dari perintah sebelumnya, perhatikan bahwa kolom READY menunjukkan ada dua container untuk setiap beban kerja Anda: container utama dan container untuk proxy sidecar.

    NAME                    READY   STATUS    RESTARTS   AGE
YOUR_WORKLOAD           2/2     Running   0          20s
...

Langkah berikutnya

Pelajari lebih lanjut: