2. 程式人生 > >Istio Sidecar注入原理

Istio Sidecar注入原理

阿新 發佈:2020-05-25
## 概念 簡單來說,Sidecar 注入會**將額外容器**的配置**新增到 Pod 模板中**。這裡特指將Envoy容器注應用所在Pod中。 Istio 服務網格目前所需的容器有: `istio-init` 用於設定 iptables 規則,以便將入站/出站流量通過 Sidecar 代理。 初始化容器與應用程式容器在以下方面有所不同: - 它在啟動應用容器之前執行,並一直執行直至完成。 - 如果有多個初始化容器,則每個容器都應在啟動下一個容器之前成功完成。 因此,您可以看到,對於不需要成為實際應用容器一部分的設定或初始化作業來說,這種容器是多麼的完美。在這種情況下,`istio-init` 就是這樣做並設定了 `iptables` 規則。 `istio-proxy` 這個容器是真正的 Sidecar 代理(基於 Envoy)。 下面的內容描述了向 pod 中注入 Istio Sidecar 的兩種方法: 1. 使用 `istioctl`手動注入 2. 啟用 pod 所屬名稱空間的 Istio Sidecar 注入器自動注入。 手動注入直接修改配置,如 deployment,並將代理配置注入其中。 當 pod 所屬`namespace`啟用自動注入後,自動注入器會使用准入控制器在建立 Pod 時自動注入代理配置。 通過應用 `istio-sidecar-injector` ConfigMap 中定義的模版進行注入。 ### 自動注入 當你在一個`namespace`中設定了 `istio-injection=enabled` 標籤,且 injection webhook 被啟用後,任何新的 pod 都有將在建立時自動新增 Sidecar. 請注意,區別於手動注入,自動注入發生在 pod 層面。你將看不到 deployment 本身有任何更改 。 ```shell kubectl label namespace default istio-inhection=enabled kubectl get namespace -L istio-injection NAME STATUS AGE ISTIO-INJECTION default Active 1h enabled istio-system Active 1h kube-public Active 1h kube-system Active 1h ``` 注入發生在 pod 建立時。殺死正在執行的 pod 並驗證新建立的 pod 是否注入 sidecar。原來的 pod 具有 READY 為 1/1 的容器,注入 sidecar 後的 pod 則具有 READY 為 2/2 的容器 。 #### 自動注入原理 自動注入是利用了k8s Admission webhook 實現的。 Admission webhook 是一種用於接收准入請求並對其進行處理的 HTTP 回撥機制, 它可以更改傳送到 API 伺服器的物件以執行自定義的設定預設值操作。 具體細節可以查閱 [Admission webhook ](https://kubernetes.io/zh/docs/reference/access-authn-authz/extensible-admission-controllers/)文件。 istio 對應的istio-sidecar-injector webhook配置,預設會回撥istio-sidecar-injector service的`/inject `地址。 ``` apiVersion: admissionregistration.k8s.io/v1beta1 kind: MutatingWebhookConfiguration metadata: name: istio-sidecar-injector webhooks: - name: sidecar-injector.istio.io clientConfig: service: name: istio-sidecar-injector namespace: istio-system path: "/inject" caBundle: ${CA_BUNDLE} rules: - operations: [ "CREATE" ] apiGroups: [""] apiVersions: ["v1"] resources: ["pods"] namespaceSelector: matchLabels: istio-injection: enabled ``` 回撥API入口程式碼在 `pkg/kube/inject/webhook.go` 中 ```go // 建立一個用於自動注入sidecar的新例項 func NewWebhook(p WebhookParameters) (*Webhook, error) { // ...省略一萬字... wh := &Webhook{ Config: sidecarConfig, sidecarTemplateVersion: sidecarTemplateVersionHash(sidecarConfig.Template), meshConfig: p.Env.Mesh(), configFile: p.ConfigFile, valuesFile: p.ValuesFile, valuesConfig: valuesConfig, watcher: watcher, healthCheckInterval: p.HealthCheckInterval, healthCheckFile: p.HealthCheckFile, env: p.Env, revision: p.Revision, } //api server 回撥函式,監聽/inject回撥 p.Mux.HandleFunc("/inject", wh.serveInject) p.Mux.HandleFunc("/inject/", wh.serveInject) // ...省略一萬字... return wh, nil } ``` `serveInject`邏輯 ```go func (wh *Webhook) serveInject(w http.ResponseWriter, r *http.Request) { // ...省略一萬字... var reviewResponse *v1beta1.AdmissionResponse ar := v1beta1.AdmissionReview{} if _, _, err := deserializer.Decode(body, nil, &ar); err != nil { handleError(fmt.Sprintf("Could not decode body: %v", err)) reviewResponse = toAdmissionResponse(err) } else { //執行具體的inject邏輯 reviewResponse = wh.inject(&ar, path) } // 響應inject sidecar後的內容給k8s api server response := v1beta1.AdmissionReview{} if reviewResponse != nil { response.Response = reviewResponse if ar.Request != nil { response.Response.UID = ar.Request.UID } } // ...省略一萬字... } // 注入邏輯實現 func (wh *Webhook) inject(ar *v1beta1.AdmissionReview, path string) *v1beta1.AdmissionResponse { // ...省略一萬字... // injectRequired判斷是否有設定自動注入 if !injectRequired(ignoredNamespaces, wh.Config, &pod.Spec, &pod.ObjectMeta) { log.Infof("Skipping %s/%s due to policy check", pod.ObjectMeta.Namespace, podName) totalSkippedInjections.Increment() return &v1beta1.AdmissionResponse{ Allowed: true, } } // ...省略一萬字... // 返回需要注入Pod的物件 spec, iStatus, err := InjectionData(wh.Config.Template, wh.valuesConfig, wh.sidecarTemplateVersion, typeMetadata, deployMeta, &pod.Spec, &pod.ObjectMeta, wh.meshConfig, path) // nolint: lll if err != nil { handleError(fmt.Sprintf("Injection data: err=%v spec=%vn", err, iStatus)) return toAdmissionResponse(err) } // 執行容器注入邏輯 patchBytes, err := createPatch(&pod, injectionStatus(&pod), wh.revision, annotations, spec, deployMeta.Name, wh.meshConfig) if err != nil { handleError(fmt.Sprintf("AdmissionResponse: err=%v spec=%vn", err, spec)) return toAdmissionResponse(err) } reviewResponse := v1beta1.AdmissionResponse{ Allowed: true, Patch: patchBytes, PatchType: func() *v1beta1.PatchType { pt := v1beta1.PatchTypeJSONPatch return &pt }(), } return &reviewResponse } ``` `injectRequired`函式 ```go func injectRequired(ignored []string, config *Config, podSpec *corev1.PodSpec, metadata *metav1.ObjectMeta) bool { // HostNetwork模式直接跳過注入 if podSpec.HostNetwork { return false } // k8s系統名稱空間(kube-system/kube-public)跳過注入 for _, namespace := range ignored { if metadata.Namespace == namespace { return false } } annos := metadata.GetAnnotations() if annos == nil { annos = map[string]string{} } var useDefault bool var inject bool // 優先判斷是否申明瞭`sidecar.istio.io/inject` 註解,會覆蓋命名配置 switch strings.ToLower(annos[annotation.SidecarInject.Name]) { case "y", "yes", "true", "on": inject = true case "": // 使用名稱空間配置 useDefault = true } // 指定Pod不需要注入Sidecar的標籤選擇器 if useDefault { for _, neverSelector := range config.NeverInjectSelector { selector, err := metav1.LabelSelectorAsSelector(&neverSelector) if err != nil { } else if !selector.Empty() && selector.Matches(labels.Set(metadata.Labels)) // 設定不需要注入 inject = false useDefault = false break } } } // 總是將 sidecar 注入匹配標籤選擇器的 pod 中,而忽略全域性策略 if useDefault { for _, alwaysSelector := range config.AlwaysInjectSelector { selector, err := metav1.LabelSelectorAsSelector(&alwaysSelector) if err != nil { log.Warnf("Invalid selector for AlwaysInjectSelector: %v (%v)", alwaysSelector, err) } else if !selector.Empty() && selector.Matches(labels.Set(metadata.Labels)){ // 設定需要注入 inject = true useDefault = false break } } } // 如果都沒有配置則使用預設注入策略 var required bool switch config.Policy { default: // InjectionPolicyOff log.Errorf("Illegal value for autoInject:%s, must be one of [%s,%s]. Auto injection disabled!", config.Policy, InjectionPolicyDisabled, InjectionPolicyEnabled) required = false case InjectionPolicyDisabled: if useDefault { required = false } else { required = inject } case InjectionPolicyEnabled: if useDefault { required = true } else { required = inject } } return required } ``` 從上面我們可以看出,是否注入Sidecar的優先順序為 > Pod Annotations → NeverInjectSelector → AlwaysInjectSelector → Default Policy `createPath`函式 ```go func createPatch(pod *corev1.Pod, prevStatus *SidecarInjectionStatus, revision string, annotations map[string]string, sic *SidecarInjectionSpec, workloadName string, mesh *meshconfig.MeshConfig) ([]byte, error) { var patch []rfc6902PatchOperation // ...省略一萬字... // 注入初始化啟動容器 patch = append(patch, addContainer(pod.Spec.InitContainers, sic.InitContainers, "/spec/initContainers")...) // 注入Sidecar容器 patch = append(patch, addContainer(pod.Spec.Containers, sic.Containers, "/spec/containers")...) // 注入掛載卷 patch = append(patch, addVolume(pod.Spec.Volumes, sic.Volumes, "/spec/volumes")...) patch = append(patch, addImagePullSecrets(pod.Spec.ImagePullSecrets, sic.ImagePullSecrets, "/spec/imagePullSecrets")...) // 注入新註解 patch = append(patch, updateAnnotation(pod.Annotations, annotations)...) // ...省略一萬字... return json.Marshal(patch) } ``` **總結:可以看到,整個注入過程實際就是原本的Pod配置反解析成Pod物件,把需要注入的Yaml內容(如:Sidecar)反序列成物件然後append到對應Pod (如:Container)上,然後再把修改後的Pod重新解析成yaml 內容返回給k8s的api server,然後k8s 拿著修改後內容再將這兩個容器排程到同一臺機器進行部署,至此就完成了對應Sidecar的注入。** #### 解除安裝 sidecar 自動注入器 ```shell kubectl delete mutatingwebhookconfiguration istio-sidecar-injector kubectl -n istio-system delete service istio-sidecar-injector kubectl -n istio-system delete deployment istio-sidecar-injector kubectl -n istio-system delete serviceaccount istio-sidecar-injector-service-account kubectl delete clusterrole istio-sidecar-injector-istio-system kubectl delete clusterrolebinding istio-sidecar-injector-admin-role-binding-istio-system ``` 上面的命令不會從 pod 中移除注入的 sidecar。需要進行滾動更新或者直接刪除對應的pod,並強制 deployment 重新建立新pod。 ### 手動注入 sidecar 手動注入 deployment ,需要使用 使用 `istioctl kube-inject` ```shell istioctl kube-inject -f samples/sleep/sleep.yaml | kubectl apply -f - ``` 預設情況下將使用叢集內的配置,或者使用該配置的本地副本來完成注入。 ```shell kubectl -n istio-system get configmap istio-sidecar-injector -o=jsonpath='{.data.config}' > inject-config.yaml kubectl -n istio-system get configmap istio-sidecar-injector -o=jsonpath='{.data.values}' > inject-values.yaml kubectl -n istio-system get configmap istio -o=jsonpath='{.data.mesh}' > mesh-config.yaml ``` 指定輸入檔案,執行 `kube-inject` 並部署 ```shell istioctl kube-inject --injectConfigFile inject-config.yaml --meshConfigFile mesh-config.yaml --valuesFile inject-values.yaml --filename samples/sleep/sleep.yaml | kubectl apply -f - ``` 驗證 sidecar 已經被注入到 READY 列下 `2/2` 的 sleep pod 中 ```shell kubectl get pod -l app=sleep NAME READY STATUS RESTARTS AGE sleep-64c6f57bc8-f5n4x 2/2 Running 0 24s ``` #### 手動注入原理 手動注入的程式碼入口在 `istioctl/cmd/kubeinject.go` 手工注入跟自動注入還是有些差異的。手動注入是改變了`Deployment`。我們可以看下它具體做了哪些動作: `Deployment`注入前配置: ```yaml apiVersion: apps/v1 kind: Deployment metadata: name: hello spec: replicas: 7 selector: matchLabels: app: hello tier: backend track: stable template: metadata: labels: app: hello tier: backend track: stable spec: containers: - name: hello image: "fake.docker.io/google-samples/hello-go-gke:1.0" ports: - name: http containerPort: 80 ``` `Deployment`注入後配置: ```yaml apiVersion: apps/v1 kind: Deployment metadata: creationTimestamp: null name: hello spec: replicas: 7 selector: matchLabels: app: hello tier: backend track: stable strategy: {} template: metadata: annotations: sidecar.istio.io/status: '{"version":"2343d4598565fd00d328a3388421ee637d25d3f7068e7d5cadef374ee1a06b37","initContainers":["istio-init"],"containers":["istio-proxy"],"volumes":null,"imagePullSecrets":null}' creationTimestamp: null labels: app: hello istio.io/rev: "" security.istio.io/tlsMode: istio tier: backend track: stable spec: containers: - image: fake.docker.io/google-samples/hello-go-gke:1.0 name: hello ports: - containerPort: 80 name: http resources: {} - image: docker.io/istio/proxy_debug:unittest name: istio-proxy resources: {} initContainers: - image: docker.io/istio/proxy_init:unittest-test name: istio-init resources: {} securityContext: fsGroup: 1337 status: {} --- ``` 可以新增了一個容器映象 ```yaml - image: docker.io/istio/proxy_debug:unittest name: istio-proxy resources: {} ``` 那麼注入的內容模板從哪裡獲取,這裡有兩個選項。 1. —injectConfigFile 指定對應的注入檔案 2. —injectConfigMapName 注入配置的 ConfigMap 名稱 如果在操作時發現Sidecar沒有注入成功可以根據注入的方式檢視上面的注入流程來查詢問題。 ## 參考文獻 https://preliminary.istio.io/zh/docs/setup/additional-setup/sidecar-injection/#automatic-sidecar-injection https://kubernetes.io/zh/docs/reference/access-authn-authz/admission-controllers/ https://istio.io/zh/docs/reference/commands/istioctl/#istioctl-kube

相關推薦

Istio Sidecar注入原理

## 概念 簡單來說,Sidecar 注入會**將額外容器**的配置**新增到 Pod 模板中**。這裡特指將Envoy容器注應用所在Pod中。 Istio 服務網格目前所需的容器有: `istio-init` 用於設定 iptables 規則,以便將入站/出站流量通過 Sidecar 代理。 初始化

istio sidecar自動注入過程分析

istio sidecar自動注入過程分析 istio通過mutating webhook admission controller機制實現sidecar的自動注入.istio sidecard在每個服務建立pod時都會被自動注入. sidecar自動注入檢查 檢查kube-apiserver web

依賴注入原理,作用,注入方式——Spring IOC/DI(二)

依賴注入原理,作用,注入方式 前言 上一章我們講到了IOC和DI概述: https://blog.csdn.net/qq_34598667/article/details/83275560 這一章接上一章繼續講 依賴注入(Dependency Injection)是用於實現控制反

Mybatis防止sql注入原理

     SQL 注入是一種程式碼注入技術,用於攻擊資料驅動的應用,惡意的SQL 語句被插入到執行的實體欄位中(例如,為了轉儲資料庫內容給攻擊者)。[摘自]  SQL注入 - 維基百科SQL注入,大家都不陌生,是一種常見的攻擊方式。攻擊者在介面的表單資訊或UR

Java程式設計師從笨鳥到菜鳥之(一百)sql注入攻擊詳解(一)sql注入原理詳解

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

sql注入原理及預防措施

SQL注入就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的SQL命令。對於很多網站都有使用者提交表單的埠,提交的資料插入MySQL資料庫中,就有可能發生SQL注入安全問題,那麼,如何防止SQL注入呢? 針對SQL注入安全問題的預防,需時刻認定使

sql注入報錯注入原理解析

sql注入報錯注入原理詳解 前言 我相信很多小夥伴在玩sql注入報錯注入時都會有一個疑問,為什麼這麼寫就會報錯?曾經我去查詢的時候,也沒有找到滿意的答案,時隔幾個月終於找到搞清楚原理,特此記錄,也希望後來的小夥伴能夠少走彎路 0x01

回頭探索JDBC及PreparedStatement防SQL注入原理

概述 JDBC在我們學習J2EE的時候已經接觸到了,但是僅是照搬步驟書寫,其中的PreparedStatement防sql注入原理也是一知半解,然後就想回頭查資料及敲測試程式碼探索一下。再有就是我們在專案中有一些配置項是有時候要變動的,比如資料庫的資料來源,為了在修改配置時不改動編譯的程式碼,我們把要變動的

@Resource 的注入原理分析

前言:上一篇 @Autowired 的注入原理分析 講了@Autowired的注入是由AutowiredAnnotationBeanPostProcessor完成的,而@Resource 的注入過程是由 CommonAnnotationBeanPostProcessor  完

SQL注入原理--手工聯合查詢注入技術

                     **實驗目的:理解聯合查詢原理、學習聯合查詢過程**實驗原理: 1、連結後面新增【order by 11(數字任意)】根據頁面返回結果,來判斷站點中的欄位數目2、在連結後面新增語句【union select 1,2,3,4,5,6,7,8,9,10,11 from a

Istio官方文件》Kubernetes-安裝Istio Sidecar

安裝Istio Sidecar 注:以下要求Istio 0.5.0或更高版本。有關版本0.4.0或更高版本,請參閱https://archive.istio.io/v0.4/docs/setup/kubernetes/sidecar-injection。 注意:在以前的版本中,Kubernet

php laravel實現依賴注入原理(反射機制)

在使用laravel的時候,可以看到大量地使用了依賴注入。比如控制器中的HttpRequest物件,各種Model的實現類等等。這種實現方式的好處在於不需要再方法中頻繁地new某些例項,實現模組的解耦。 依賴注入使用PHP反射API實現 反射機制被多種語言使用,用來獲取類、例項物件、方法

【架構師之路】依賴注入原理---IoC框架

github上一篇比較貼切的舉例: https://github.com/android-cn/blog/tree/master/java/dependency-injection 1 IoC理論的背景     我們都知道,在採用面向物件方法設

SQL注入原理及防範

    前段時間部門遇到SQL注入攻擊,在此,我也分享一下自己的經驗和理解。     首先一個很重要的論點:SQL注入是可以完全杜絕的 SQL注入原因     通俗點講,SQL注入的根本原因是: "使用者輸入資料"意外變成了程式碼被執行。     "使用者輸入資料"我

依賴注入原理(為什麼需要依賴注入)

0. 前言 在軟體工程領域,依賴注入(Dependency Injection)是用於實現控制反轉(Inversion of Control)的最常見的方式之一。本文主要介紹依賴注入原理和常見的實現方式,重點在於介紹這種年輕的設計模式的適用場景及優勢。 1. 為什麼需

[web安全] SQL注入原理與分類

一、SQL注入原理 SQL注入漏洞的形成原因:使用者輸入的資料被SQL直譯器執行利用SQL注入繞過登入驗證 在登入的過程中使用者輸入“使用者名稱”和“密碼”。 在程式中執行如下的SQL語句:select count(*) from admin where username=

spring通過註解方式依賴注入原理 (私有成員屬性如何注入

一、spring如何建立依賴的物件  用過spring的都知道我們在dao、service層加上@repository、@Service就能將這兩個物件交給spring管理,在下次使用的時候使用@resource 或者@Autowired  就可以拿到而不需要自己再去new了

sql注入原理【java】

String sql=”select * from judy88 where ” + “pname=’” + username + “’ and password=’” + password + “’”; 如果是加號必須用”“號 進行括起來。 解決注入問

SQL注入原理,值得一看

隨著B/S模式應用開發的發展,使用這種模式編寫應用程式的程式設計師也越來越多。但是由於這個行業的入門門檻不高,程式設計師的水平及經驗也參差不齊,相當大一部分程式設計師在編寫程式碼的時候,沒有對使用者輸入資料的合法性進行判斷,使應用程式存在安全隱患。使用者可以提交一段資料庫查

SQL注入原理-萬能密碼注入

一、學習目的 1、理解【萬能密碼】原理 2、學習【萬能密碼】的使用 二、實驗環境: 本機:192.168.1.2 目標機:192.168.1.3 三、舉例說明 **2、輸入使用者名稱:admin 萬能密碼:2’or’1 如圖:**