如何使用 Istio 进行多集群部署管理：多控制平面

作者 | 王夕宁  阿里云高级技术专家

导读：本文摘自于阿里云高级技术专家王夕宁撰写的《Istio 服务网格技术解析与实战》一书，讲述了如何使用 Istio 进行多集群部署管理来阐述服务网格对多云环境、多集群即混合部署的支持能力。

前文详情：

• 《如何使用 Istio 进行多集群部署管理：单控制平面 VPN 连接拓扑》
• 《如何使用 Istio 进行多集群部署管理：单控制平面 Gateway 连接拓扑》

在多控制平面拓扑的配置中，每个 Kubernetes 集群都会安装相同的 Istio 控制平面，并且每个控制平面只会管理自己集群内的服务端点。通过使用 Istio 网关、公共根证书颁发机构（CA）以及服务条目 ServiceEntry，可以将多个集群配置组成一个逻辑上的单一服务网格。这种方法没有特殊的网络要求，因此通常被认为是在 Kubernetes 集群之间没有通用网络连接时的一种最简单方法。

在这种拓扑配置下，Kubernetes 跨集群通信需要服务之间的双向 TLS 连接，要在集群之间启用双向 TLS 通信，每个集群的 Citadel 将配置由共享的根 CA 生成的中间 CA 证书，如图所示。

（多控制平面）

部署控制平面

从共享的根 CA 为每个集群的 Citadel 生成中间 CA 证书，共享的根 CA 启用跨不同集群的双向 TLS 通信。为了便于说明，我们将 samples/certs 目录下 Istio 安装中提供的示例根 CA 证书用于两个集群。在实际部署中，你可能会为每个集群使用不同的 CA 证书，所有 CA 证书都由公共根 CA 签名。

在每个 Kubernetes 集群中实施以下步骤，以在所有集群中部署相同的 Istio 控制平面配置。

1. 使用以下的命令为生成的 CA 证书创建 Kubernetes 密钥，如下所示：

kubectl
create namespace istio-system
kubectl
create secret generic cacerts -n istio-system \
    --from-file=samples/certs/ca-cert.pem \
  --from-file=samples/certs/ca-key.pem \
  --from-file=samples/certs/root-cert.pem \
  --from-file=samples/certs/cert-chain.pem

1. 安装 Istio 的 CRD 并等待几秒钟，以便将它们提交给 Kubernetes API 服务器，如下所示：

for
i in install/kubernetes/helm/istio-init/files/crd*yaml; do kubectl apply -f $i;
done

1. 部署 Istio 控制平面：如果 helm 依赖项缺失或者不是最新的，可以通过 helm dep update 来更新这些依赖项。注意因为没有使用 istio-cni，可以暂时将其从依赖项 requirements.yaml 中去掉再执行更新操作。具体执行命令如下：

helm
template install/kubernetes/helm/istio --name istio --namespace istio-system \
  -f
install/kubernetes/helm/istio/values-istio-multicluster-gateways.yaml >
./istio.yaml
kubectl
apply -f ./istio.yaml

确保上述步骤在每个 Kubernetes 集群中都执行成功。当然，通过 helm 生成 istio.yaml 的命令执行一次即可。

设置 DNS

为远程集群中的服务提供 DNS 解析，则现有应用程序不需要做修改就可以运行，因为应用程序通常期望通过其 DNS 名称来解析服务并访问所得到的 IP 地址。Istio 本身不使用 DNS 在服务之间路由请求，同一个 Kubernetes 集群下的服务会共享一个相同的 DNS 后缀（例如 svc.cluster.local）。Kubernetes DNS 为这些服务提供 DNS 解析能力。为了给远程集群中的服务提供相似的设置，将远程集群中的服务以 ..global 的格式命名。

Istio 安装包中附带了一个 CoreDNS 服务器，该服务器将为这些服务提供DNS解析能力。为了利用这个 DNS 解析能力，需要配置 Kubernetes 的 DNS 服务指向该 CoreDNS 服务。该 CoreDNS 服务将作为 .global DNS 域的 DNS 服务器。

对于使用 kube-dns 的集群，请创建以下配置项或更新现有的配置项：

kubectl
apply -f -