Istio

En este documento, se describe cómo configurar tu implementación de Google Kubernetes Engine a fin de que puedas usar Google Cloud Managed Service para Prometheus a fin de recopilar métricas de Istio. Este documento te muestra cómo hacer lo siguiente:

Configura Istio para informar las métricas.
Configurar un recurso PodMonitoring a fin de que Managed Service para Prometheus recopile las métricas exportadas.
Acceder a un panel en Cloud Monitoring para ver las métricas
Configura reglas de alerta para supervisar las métricas

Estas instrucciones se aplican solo si usas la colección administrada con Managed Service para Prometheus. Si usas la colección con implementación automática, consulta el repositorio de origen de Istio a fin de obtener información sobre la instalación.

Estas instrucciones se proporcionan como ejemplo y se espera que funcionen en la mayoría de los entornos de Kubernetes. Si tienes problemas para instalar una aplicación o un exportador debido a políticas restringidas de la organización o de seguridad, te recomendamos que consultes la documentación de código abierto a fin de obtener asistencia.

Para obtener información sobre Istio, consulta Istio.

Requisitos previos

Para recopilar métricas desde Istio mediante Managed Service para Prometheus y la colección administrada, tu implementación debe cumplir los siguientes requisitos:

Tu clúster debe ejecutar la versión 1.21.4-gke.300 o posterior de Google Kubernetes Engine.
Debes ejecutar Managed Service para Prometheus con la colección administrada habilitada. Para obtener más información, consulta Primeros pasos con la recopilación administrada.

Istio expone las métricas con formato Prometheus de forma automática. No es necesario que lo instales por separado. Puedes ejecutar las siguientes verificaciones para verificar que el proxy de Istio se haya insertado como un sidecar y que tanto Istiod, el plano de control de Istio como el proxy de Istio emitan métricas en los extremos esperados.

Para determinar si el proxy de Istio se inserta como un sidecar, ejecuta el siguiente comando, que enumera los contenedores que se ejecutan en los Pods de la aplicación:
```
kubectl get pod -l app=APPLICATION_NAME -n NAMESPACE_NAME -o jsonpath='{.items[0].spec.containers[*].name}'
```
Si ves que los Pods contienen el contenedor de sidecar istio, entonces se insertó el exportador. Si el sidecar no se inserta, sigue las instrucciones en Istio: instala el sidecar.
Para verificar que el proxy de Istio emita las métricas, ejecuta el siguiente comando, que inspecciona el extremo /stats/prometheus de istio en el Pod especificado:
```
kubectl exec POD_NAME -n NAMESPACE_NAME -c istio-proxy -- curl -sS 'localhost:15090/stats/prometheus'
```
Si ves métricas de Prometheus sin procesar istio_* y envoy_*, las métricas se emiten de forma correcta.
Para verificar que las métricas se emitan de manera similar en Istiod, ejecuta el siguiente comando, que inspecciona el extremo /metrics de Istiod en uno de los Pods en la implementación de istiod:
```
kubectl exec -n istio-system deployment/istiod -- curl -sS 'localhost:15014/metrics'
```

Define un recurso PodMonitoring

Para el descubrimiento de destinos, el operador de Managed Service para Prometheus requiere un recurso PodMonitoring que corresponda al exportador de Istio en el mismo espacio de nombres.

Puedes usar la siguiente configuración de PodMonitoring:

# Copyright 2022 Google LLC
#
# Licensed under the Apache License, Version 2.0 (the "License");
# you may not use this file except in compliance with the License.
# You may obtain a copy of the License at
#
#     https://www.apache.org/licenses/LICENSE-2.0
#
# Unless required by applicable law or agreed to in writing, software
# distributed under the License is distributed on an "AS IS" BASIS,
# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
# See the License for the specific language governing permissions and
# limitations under the License.

apiVersion: monitoring.googleapis.com/v1
kind: PodMonitoring
metadata:
  name: istiod
  namespace: istio-system
  labels:
    app.kubernetes.io/name: istiod
    app.kubernetes.io/part-of: google-cloud-managed-prometheus
spec:
  selector:
    matchLabels:
      app: istiod
  endpoints:
  - port: 15014
    interval: 30s
    path: /metrics
  targetLabels:
    fromPod:
    - from: app
      to: app
---
apiVersion: monitoring.googleapis.com/v1
kind: PodMonitoring
metadata:
  name: istio-proxy
  labels:
    app.kubernetes.io/name: istio-proxy
    app.kubernetes.io/part-of: google-cloud-managed-prometheus
spec:
  selector:
    matchLabels:
  endpoints:
  - port: http-envoy-prom
    scheme: http
    interval: 30s
    path: /stats/prometheus

Istio requiere dos recursos PodMonitoring independientes: uno que supervise Istiod y otro que supervise los sidecars del proxy de Istio y las puertas de enlace de entrada y salida. Para supervisar las métricas del proxy de Istio en todos los espacios de nombres del clúster a la vez, aplica el PodMonitoring istio-proxy a cada espacio de nombres o configura un recurso de ClusterPodMonitoring en lugar de un recurso de PodMonitoring por espacio de nombres.

Si planeas usar los paneles de Grafana proporcionados por Istio, además de los recursos de PodMonitoring que se describen en este documento, asegúrate de haber configurado también la recopilación de cAdvisor y Kubelet.

Para aplicar los cambios de configuración desde un archivo local, ejecuta el siguiente comando:

kubectl apply -n NAMESPACE_NAME -f FILE_NAME

También puedes usar Terraform para administrar tus opciones de configuración.

Define reglas y alertas

Puedes usar la siguiente configuración Rules para definir alertas en las métricas de Istio:

# Copyright 2022 Google LLC
#
# Licensed under the Apache License, Version 2.0 (the "License");
# you may not use this file except in compliance with the License.
# You may obtain a copy of the License at
#
#     https://www.apache.org/licenses/LICENSE-2.0
#
# Unless required by applicable law or agreed to in writing, software
# distributed under the License is distributed on an "AS IS" BASIS,
# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
# See the License for the specific language governing permissions and
# limitations under the License.

apiVersion: monitoring.googleapis.com/v1
kind: Rules
metadata:
  name: istio-rules
  labels:
    app.kubernetes.io/component: rules
    app.kubernetes.io/name: istio-rules
    app.kubernetes.io/part-of: google-cloud-managed-prometheus
spec:
  groups:
  - name: istio
    interval: 30s
    rules:
    - alert: IstioHighTotalRequestRate
      expr: sum(rate(istio_requests_total{reporter="destination"}[5m])) > 1000
      for: 2m
      labels:
        severity: warning
      annotations:
        summary: Istio high total request rate (instance {{ $labels.instance }})
        description: |-
          Global request rate in the service mesh is unusually high.
            VALUE = {{ $value }}
            LABELS = {{ $labels }}
    - alert: IstioLowTotalRequestRate
      expr: sum(rate(istio_requests_total{reporter="destination"}[5m])) < 100
      for: 2m
      labels:
        severity: warning
      annotations:
        summary: Istio low total request rate (instance {{ $labels.instance }})
        description: |-
          Global request rate in the service mesh is unusually low.
            VALUE = {{ $value }}
            LABELS = {{ $labels }}
    - alert: IstioHigh4xxErrorRate
      expr: sum(rate(istio_requests_total{reporter="destination", response_code=~"4.*"}[5m])) / sum(rate(istio_requests_total{reporter="destination"}[5m])) * 100 > 5
      for: 1m
      labels:
        severity: warning
      annotations:
        summary: Istio high 4xx error rate (instance {{ $labels.instance }})
        description: |-
          High percentage of HTTP 5xx responses in Istio (> 5%).
            VALUE = {{ $value }}
            LABELS = {{ $labels }}
    - alert: IstioHigh5xxErrorRate
      expr: sum(rate(istio_requests_total{reporter="destination", response_code=~"5.*"}[5m])) / sum(rate(istio_requests_total{reporter="destination"}[5m])) * 100 > 5
      for: 1m
      labels:
        severity: warning
      annotations:
        summary: Istio high 5xx error rate (instance {{ $labels.instance }})
        description: |-
          High percentage of HTTP 5xx responses in Istio (> 5%).
            VALUE = {{ $value }}
            LABELS = {{ $labels }}
    - alert: IstioHighRequestLatency
      expr: rate(istio_request_duration_milliseconds_sum{reporter="destination"}[1m]) / rate(istio_request_duration_milliseconds_count{reporter="destination"}[1m]) > 100
      for: 1m
      labels:
        severity: warning
      annotations:
        summary: Istio high request latency (instance {{ $labels.instance }})
        description: |-
          Istio average requests execution is longer than 100ms.
            VALUE = {{ $value }}
            LABELS = {{ $labels }}
    - alert: IstioLatency99Percentile
      expr: histogram_quantile(0.99, sum(rate(istio_request_duration_milliseconds_bucket[1m])) by (destination_canonical_service, destination_workload_namespace, source_canonical_service, source_workload_namespace, le)) > 1
      for: 1m
      labels:
        severity: warning
      annotations:
        summary: Istio latency 99 percentile (instance {{ $labels.instance }})
        description: |-
          Istio 1% slowest requests are longer than 1s.
            VALUE = {{ $value }}
            LABELS = {{ $labels }}

Para aplicar los cambios de configuración desde un archivo local, ejecuta el siguiente comando:

kubectl apply -n NAMESPACE_NAME -f FILE_NAME

También puedes usar Terraform para administrar tus opciones de configuración.

Para obtener más información sobre cómo aplicar reglas a tu clúster, consulta Evaluación y alertas de reglas administradas.

Esta configuración de Rules se adaptó a partir de las reglas de Istio que proporcionan las alertas de Awesome Prometheus. Puedes ajustar los umbrales de las alertas para que se adapten a tu aplicación.

Verifica la configuración

Puedes usar el Explorador de métricas para verificar que configuraste correctamente el exportador de Istio. Cloud Monitoring puede tardar uno o dos minutos en transferir las métricas.

Para verificar que se hayan transferido las métricas, haz lo siguiente:

En el panel de navegación de la consola de Google Cloud, elige Monitoring y, luego, Explorador de métricas:
Ir al Explorador de métricas
En la barra de herramientas del panel del compilador de consultas, selecciona el botón cuyo nombre sea MQL o PromQL.
Verifica que PromQL esté seleccionado en el botón de activación Lenguaje. El botón de activación de lenguaje se encuentra en la misma barra de herramientas que te permite dar formato a tu consulta.

Ingresa y ejecuta la siguiente consulta:

sum(istio_build{cluster="CLUSTER_NAME"}) by (component)

Ver paneles

La integración de Cloud Monitoring incluye el panel Istio Envoy Prometheus Overview. Los paneles se instalan automáticamente cuando configuras la integración. También puedes ver vistas previas estáticas de los paneles sin instalar la integración.

Para ver un panel instalado, haz lo siguiente:

En el panel de navegación de la consola de Google Cloud, elige Monitoring y, luego, Paneles:
Dirígete a Paneles de control
Selecciona la pestaña Lista de paneles.
Elige la categoría Integraciones.
Haz clic en el nombre del panel, por ejemplo, Istio Envoy Prometheus Overview.

Para obtener una vista previa estática del panel, haz lo siguiente:

En el panel de navegación de la consola de Google Cloud, elige Monitoring y, luego, Integraciones:
Dirígete a Integraciones
Haz clic en el filtro de la plataforma de implementación Kubernetes Engine.
Ubica la integración de Istio y haz clic en Ver detalles.
Selecciona la pestaña Paneles.

Soluciona problemas

Para obtener información sobre la solución de problemas de transferencia de métricas, consulta Problemas de recopilación de exportadores en Solución de problemas de transferencia.