Istio

Questo documento descrive come configurare il deployment di Google Kubernetes Engine in modo da poter utilizzare Google Cloud Managed Service per Prometheus per raccogliere metriche da Istio. Questo documento spiega come effettuare le seguenti operazioni:

  • Configura Istio per generare report sulle metriche.
  • Configura una risorsa PodMonitoring per Managed Service for Prometheus per raccogliere le metriche esportate.
  • Accedi a una dashboard in Cloud Monitoring per visualizzare le metriche.
  • Configura regole di avviso per monitorare le metriche.

Queste istruzioni si applicano solo se utilizzi la raccolta gestita con Managed Service per Prometheus. Se utilizzi la raccolta con deployment autonomo, consulta le informazioni sull'installazione nel repository di origine per Istio.

Queste istruzioni sono fornite a titolo di esempio e dovrebbero funzionare nella maggior parte degli ambienti Kubernetes. Se riscontri problemi durante l'installazione di un'applicazione o di un esportatore a causa di criteri dell'organizzazione o di sicurezza restrittivi, ti consigliamo di consultare la documentazione open source per l'assistenza.

Per informazioni su Istio, consulta Istio.

Prerequisiti

Per raccogliere metriche da Istio utilizzando Managed Service per Prometheus e la raccolta gestita, il deployment deve soddisfare i seguenti requisiti:

  • Il cluster deve eseguire Google Kubernetes Engine versione 1.21.4-gke.300 o successiva.
  • Devi eseguire Managed Service per Prometheus con la raccolta gestita abilitata. Per maggiori informazioni, consulta Inizia a utilizzare la raccolta gestita.

Istio espone automaticamente le metriche in formato Prometheus. Non è necessario installarlo separatamente. Puoi eseguire i controlli seguenti per verificare che il proxy Istio sia stato inserito come file collaterale e che sia Istiod, il piano di controllo di Istio, sia il proxy Istio emettano metriche sugli endpoint previsti.

  • Per determinare se il proxy Istio viene inserito come file collaterale, esegui il comando seguente, che elenca i container in esecuzione nei pod dell'applicazione:

    kubectl get pod -l app=APPLICATION_NAME -n NAMESPACE_NAME -o jsonpath='{.items[0].spec.containers[*].name}'
    

    Se noti che i pod contengono il container collaterale istio, l'esportatore è stato inserito. Se il file collaterale non viene inserito, segui le istruzioni riportate in Istio: installazione del file collaterale.

  • Per verificare che le metriche vengano emesse dal proxy Istio, esegui questo comando, che controlla l'endpoint /stats/prometheus dell'istio sul pod specificato:

    kubectl exec POD_NAME -n NAMESPACE_NAME -c istio-proxy -- curl -sS 'localhost:15090/stats/prometheus'
    

    Se vedi metriche Prometheus non elaborate istio_* e envoy_*, significa che le metriche vengono emesse correttamente.

  • Per verificare che le metriche vengano emesse in modo simile su Istio, esegui questo comando, che controlla l'endpoint /metrics di Istiod su uno dei pod nel deployment istiod:

    kubectl exec -n istio-system deployment/istiod -- curl -sS 'localhost:15014/metrics'
    

definisci una risorsa PodMonitoring

Per il rilevamento della destinazione, l'operatore Managed Service per Prometheus richiede una risorsa PodMonitoring corrispondente all'esportatore Istio nello stesso spazio dei nomi.

Puoi utilizzare la seguente configurazione di PodMonitoring:

# Copyright 2022 Google LLC
#
# Licensed under the Apache License, Version 2.0 (the "License");
# you may not use this file except in compliance with the License.
# You may obtain a copy of the License at
#
#     https://www.apache.org/licenses/LICENSE-2.0
#
# Unless required by applicable law or agreed to in writing, software
# distributed under the License is distributed on an "AS IS" BASIS,
# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
# See the License for the specific language governing permissions and
# limitations under the License.

apiVersion: monitoring.googleapis.com/v1
kind: PodMonitoring
metadata:
  name: istiod
  namespace: istio-system
  labels:
    app.kubernetes.io/name: istiod
    app.kubernetes.io/part-of: google-cloud-managed-prometheus
spec:
  selector:
    matchLabels:
      app: istiod
  endpoints:
  - port: 15014
    interval: 30s
    path: /metrics
  targetLabels:
    fromPod:
    - from: app
      to: app
---
apiVersion: monitoring.googleapis.com/v1
kind: PodMonitoring
metadata:
  name: istio-proxy
  labels:
    app.kubernetes.io/name: istio-proxy
    app.kubernetes.io/part-of: google-cloud-managed-prometheus
spec:
  selector:
    matchLabels:
  endpoints:
  - port: http-envoy-prom
    scheme: http
    interval: 30s
    path: /stats/prometheus
Istio richiede due risorse PodMonitoring separate: una per il monitoraggio di Istiod e un'altra per il monitoraggio dei sidecar del proxy Istio e dei gateway in entrata e in uscita. Per monitorare contemporaneamente le metriche del proxy Fitbit in tutti gli spazi dei nomi del cluster, applica istio-proxy PodMonitoring a ogni spazio dei nomi o configura una risorsa ClusterPodMonitoring anziché una risorsa PodMonitoring per spazio dei nomi.

Se prevedi di utilizzare le dashboard Grafana fornite da Istio, oltre alle risorse PodMonitoring descritte in questo documento, assicurati di aver configurato anche lo scraping di Kubelet e cAdvisor.

Per applicare modifiche alla configurazione da un file locale, esegui questo comando:

kubectl apply -n NAMESPACE_NAME -f FILE_NAME

Puoi anche utilizzare Terraform per gestire le tue configurazioni.

Definisci regole e avvisi

Puoi utilizzare la seguente configurazione di Rules per definire gli avvisi nelle metriche Istio:

# Copyright 2022 Google LLC
#
# Licensed under the Apache License, Version 2.0 (the "License");
# you may not use this file except in compliance with the License.
# You may obtain a copy of the License at
#
#     https://www.apache.org/licenses/LICENSE-2.0
#
# Unless required by applicable law or agreed to in writing, software
# distributed under the License is distributed on an "AS IS" BASIS,
# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
# See the License for the specific language governing permissions and
# limitations under the License.

apiVersion: monitoring.googleapis.com/v1
kind: Rules
metadata:
  name: istio-rules
  labels:
    app.kubernetes.io/component: rules
    app.kubernetes.io/name: istio-rules
    app.kubernetes.io/part-of: google-cloud-managed-prometheus
spec:
  groups:
  - name: istio
    interval: 30s
    rules:
    - alert: IstioHighTotalRequestRate
      expr: sum(rate(istio_requests_total{reporter="destination"}[5m])) > 1000
      for: 2m
      labels:
        severity: warning
      annotations:
        summary: Istio high total request rate (instance {{ $labels.instance }})
        description: |-
          Global request rate in the service mesh is unusually high.
            VALUE = {{ $value }}
            LABELS = {{ $labels }}
    - alert: IstioLowTotalRequestRate
      expr: sum(rate(istio_requests_total{reporter="destination"}[5m])) < 100
      for: 2m
      labels:
        severity: warning
      annotations:
        summary: Istio low total request rate (instance {{ $labels.instance }})
        description: |-
          Global request rate in the service mesh is unusually low.
            VALUE = {{ $value }}
            LABELS = {{ $labels }}
    - alert: IstioHigh4xxErrorRate
      expr: sum(rate(istio_requests_total{reporter="destination", response_code=~"4.*"}[5m])) / sum(rate(istio_requests_total{reporter="destination"}[5m])) * 100 > 5
      for: 1m
      labels:
        severity: warning
      annotations:
        summary: Istio high 4xx error rate (instance {{ $labels.instance }})
        description: |-
          High percentage of HTTP 5xx responses in Istio (> 5%).
            VALUE = {{ $value }}
            LABELS = {{ $labels }}
    - alert: IstioHigh5xxErrorRate
      expr: sum(rate(istio_requests_total{reporter="destination", response_code=~"5.*"}[5m])) / sum(rate(istio_requests_total{reporter="destination"}[5m])) * 100 > 5
      for: 1m
      labels:
        severity: warning
      annotations:
        summary: Istio high 5xx error rate (instance {{ $labels.instance }})
        description: |-
          High percentage of HTTP 5xx responses in Istio (> 5%).
            VALUE = {{ $value }}
            LABELS = {{ $labels }}
    - alert: IstioHighRequestLatency
      expr: rate(istio_request_duration_milliseconds_sum{reporter="destination"}[1m]) / rate(istio_request_duration_milliseconds_count{reporter="destination"}[1m]) > 100
      for: 1m
      labels:
        severity: warning
      annotations:
        summary: Istio high request latency (instance {{ $labels.instance }})
        description: |-
          Istio average requests execution is longer than 100ms.
            VALUE = {{ $value }}
            LABELS = {{ $labels }}
    - alert: IstioLatency99Percentile
      expr: histogram_quantile(0.99, sum(rate(istio_request_duration_milliseconds_bucket[1m])) by (destination_canonical_service, destination_workload_namespace, source_canonical_service, source_workload_namespace, le)) > 1
      for: 1m
      labels:
        severity: warning
      annotations:
        summary: Istio latency 99 percentile (instance {{ $labels.instance }})
        description: |-
          Istio 1% slowest requests are longer than 1s.
            VALUE = {{ $value }}
            LABELS = {{ $labels }}

Per applicare modifiche alla configurazione da un file locale, esegui questo comando:

kubectl apply -n NAMESPACE_NAME -f FILE_NAME

Puoi anche utilizzare Terraform per gestire le tue configurazioni.

Per ulteriori informazioni sull'applicazione di regole al cluster, consulta Valutazione e avvisi delle regole gestite.

Questa configurazione di Rules è stata adattata dalle regole Istio fornite da Awesome Prometheus Alerts. Puoi regolare le soglie di avviso in base alle esigenze della tua applicazione.

Verificare la configurazione

Puoi utilizzare Metrics Explorer per verificare di aver configurato correttamente l'utilità di esportazione. Cloud Monitoring potrebbe impiegare uno o due minuti per importare le metriche.

Per verificare che le metriche siano state importate:

  1. Nel pannello di navigazione della console Google Cloud, seleziona Monitoring e poi  Metrics Explorer:

    Vai a Metrics Explorer

  2. Nella barra degli strumenti del riquadro del generatore di query, seleziona il pulsante il cui nome è  MQL o  PromQL.
  3. Verifica che sia selezionato PromQL nel pulsante di attivazione/disattivazione Lingua. Il pulsante di attivazione/disattivazione della lingua si trova nella stessa barra degli strumenti che consente di formattare la query.
  4. Inserisci ed esegui la query seguente:
    sum(istio_build{cluster="CLUSTER_NAME"}) by (component)
    

Visualizza dashboard

L'integrazione di Cloud Monitoring include la dashboard Istio Envoy Prometheus Overview. Le dashboard vengono installate automaticamente quando configuri l'integrazione. Puoi anche visualizzare anteprime statiche delle dashboard senza installare l'integrazione.

Per visualizzare una dashboard installata, segui questi passaggi:

  1. Nel pannello di navigazione della console Google Cloud, seleziona Monitoring e poi  Dashboard:

    Vai a Dashboard

  2. Seleziona la scheda Elenco dashboard.
  3. Scegli la categoria Integrazioni.
  4. Fai clic sul nome della dashboard, ad esempio Panoramica di Istio Envoy Prometheus.

Per visualizzare un'anteprima statica della dashboard:

  1. Nel pannello di navigazione della console Google Cloud, seleziona Monitoring e poi  Integrazioni:

    Vai a Integrazioni

  2. Fai clic sul filtro della piattaforma di deployment Kubernetes Engine.
  3. Individua l'integrazione Istio e fai clic su Visualizza dettagli.
  4. Seleziona la scheda Dashboard.

Risoluzione dei problemi

Per informazioni sulla risoluzione dei problemi di importazione delle metriche, consulta Problemi con la raccolta dagli esportatori in Risoluzione dei problemi lato importazione.