Instalación del complemento de Istio

En lugar de la comunidad Istio, puede instalar el complemento de Istio gestionado.

Antes de empezar

• Asegúrese de que dispone de la función de acceso al servicio IAM Writer o Manager IBM Cloud para IBM Cloud Kubernetes Service.
• Cree un clúster de Kubernetes estándar con al menos 3 nodos trabajadores con 4 núcleos y 16 GB de memoria (b3c.4x16) o más cada uno.
• No puede ejecutar Istio de comunidad al mismo tiempo que el complemento gestionado de Istio en el clúster. Si utiliza un clúster existente y ha instalado previamente Istio en el clúster mediante el diagrama de Helm de IBM o con otro método, limpie la instalación de Istio.
• Clústeres multizona clásicos: Asegúrese de habilitar un Virtual Routing and Forwarding(VRF) para la cuenta de infraestructura de IBM Cloud. Para habilitar VRF, consulte Habilitación de VRF. Para comprobar si un VRF ya está habilitado, utilice el mandato ibmcloud account show. Si no puede o no desea habilitar VRF, habilite Expansión de VLAN. Para realizar esta acción, necesita el permiso Administrar infraestructura de expansión de VLAN de red, o puede solicitarle al propietario de la cuenta que lo habilite. Para comprobar si el spanning de VLAN ya está activado, utilice el comando ibmcloud ks vlan spanning get --region <region>.

Actualización del complemento de Istio

Actualice el complemento de Istio, probado por IBM Cloud y aprobado para su uso en IBM Cloud Kubernetes Service.

No utilice istioctl para actualizar la versión de Istio que ha instalado el complemento gestionado. Utilice únicamente los pasos siguientes para actualizar el complemento de Istio gestionado, que incluye una actualización de la versión de Istio.

Para actualizar desde versiones no soportadas del complemento de Istio, actualice los componentes de Istio a la última versión de parche soportada por IBM Cloud Kubernetes Service.

Personalización de la instalación de Istio

Puede personalizar un conjunto de opciones de configuración de Istio editando el recurso de mapa de configuración managed-istio-custom. Estos valores incluyen un control adicional sobre la supervisión, el registro y la red en el plano de control y la red de servicios.

1. Describa el recurso managed-istio-custom ConfigMap para revisar su contenido y la documentación en línea.

   kubectl describe cm managed-istio-custom -n ibm-operators
   

2. Edite el recurso de mapa de configuración managed-istio-custom.

   kubectl edit cm managed-istio-custom -n ibm-operators
   

3. En la sección data, añada el par <key>: "<value>" de una o varias de las siguientes opciones de configuración.

   istio-components-pilot-requests-cpu

   Valor predeterminado: "500m"

   Configure la solicitud de CPU en milli CPU para el pod de componentes istiod. Tenga cuidado al cambiar este valor. Si este valor se establece demasiado bajo, esto podría impedir que el plano de control funcionara correctamente y, si se establece demasiado alto, podría impedir la planificación del pod istiod.

   istio-global-logging-level

   Valor predeterminado: "default:info"

   Define el ámbito de los registros y el nivel de los mensajes de registro para los componentes del plano de control. Un ámbito representa un área funcional dentro de un componente del plano de control y cada ámbito da soporte a niveles de información de registro específicos. El ámbito de registro predeterminado (default), que es para mensajes de registro no categorizados, se aplica a todos los componentes del plano de control en el nivel de información (info) básico.

   Para especificar niveles de registro para ámbitos de componentes individuales, incluya una lista separada por comas de ámbitos y niveles, como "<scope>:<level>,<scope>:<level>". Para obtener una lista de los ámbitos de cada componente del plano de control y el nivel de información de los mensajes de registro, consulte la documentación de registro de componentes de Istio. Para cambiar el nivel de registro del plano de datos, utilice el comando istioctl proxy-config log <pod> --level <level>.

   istio-global-outboundTrafficPolicy-mode

   Valor predeterminado: "ALLOW_ANY"

   De forma predeterminada, se permite todo el tráfico de salida de la red de servicios. Para bloquear el tráfico de salida de la red de servicios a cualquier host que no esté definido en el registro de servicios o que no tenga una ServiceEntry dentro de la red de servicios, establezca REGISTRY_ONLY.

   istio-egressgateway-public-1-enabled

   Valor predeterminado: "true"

   Para desactivar la puerta de enlace de salida predeterminada de Istio, establezca "false". Por ejemplo, puede crear una pasarela de salida personalizada en su lugar.

   istio-global-proxy-accessLogFile

   Valor predeterminado: ""

   Los proxies de Envoy muestran información de acceso a su salida estándar. Estos registros son útiles al depurar problemas de entrada o de salida. Para ver esta información de acceso al ejecutar mandatos kubectl logs para los contenedores de Envoy, establezca "/dev/stdout".

   istio-ingressgateway-public-1|2|3-enabled

   Valor predeterminado: "true" solo en la zona 1.

   Para aumentar la disponibilidad de las aplicaciones, establezca el valor en "true" para cada zona en la que desee crear un equilibrador de carga de istio-ingressgateway público. Para utilizar pasarelas de entrada personalizadas en lugar de la pasarela de entrada predeterminada, puede establecer el valor en "false".

   istio-ingressgateway-zone-1|2|3

   Valor predeterminado: "<zone>"

   Las zonas donde se despliegan los nodos trabajadores, que se rellenan automáticamente al instalar el complemento y siempre que se aplica una actualización de parche de Istio. Estos campos aplican las zonas del clúster a los campos istio-ingressgateway-public-1|2|3-enabled. Tenga en cuenta que si las zonas que aparecen en esta configuración no están sincronizadas con las zonas de su clúster, puede reiniciar el trabajo de población automática ejecutando kubectl delete pod -n ibm-system -l addon.cleanup=istio y kubectl delete job -n ibm-system -l addon.cleanup=istio.

   istio-monitoring-telemetry

   Valor predeterminado: "true"

   De forma predeterminada, las métricas de telemetría y el soporte para Prometheus están habilitados. Para eliminar cualquier problema de rendimiento asociado con las métricas de telemetría e inhabilitar todas las funciones de supervisión, establézcalo en "false".

   istio-meshConfig-enableTracing

   Valor predeterminado: "true"

   De forma predeterminada, Istio genera el rastreo de 1 de cada 100 solicitudes. Para inhabilitar los intervalos de rastreo, establezca el valor en "false".

   istio-pilot-traceSampling

   Valor predeterminado: "1.0"

   De forma predeterminada, Istio genera intervalos de rastreo para 1 de cada 100 solicitudes, que es una frecuencia de muestreo del 1%. Para generar más intervalos de rastreo, aumente el valor de porcentaje.

   istio-components-pilot-hpa-maxReplicas

   Valor predeterminado: "5"

   Por defecto, Istio establece el máximo de pods de autoescalado horizontal (HPA) para istiod en 5. No aumente este valor a menos que tenga una malla de servicios grande en la que istiod necesite más recursos para actualizar las configuraciones.

   Por ejemplo, el mapa de configuración puede tener un aspecto similar al siguiente.

   apiVersion: v1
   data:
     istio-ingressgateway-zone-1: dal10
     <key: value> # such as istio-egressgateway-public-1-enabled: "false"
   kind: ConfigMap
   metadata:
     name: managed-istio-custom
     namespace: ibm-operators
   

   ¿No ve una opción de esta tabla en el mapa de configuración? Dado que el mapa de configuración contiene valores definidos por el usuario, el mapa de configuración no se actualizará con ninguna opción que se añada con el tiempo. En su lugar, puede realizar una copia de seguridad de una copia del mapa de configuración y suprimir el mapa de configuración del clúster. Después de unos 5 minutos, se crea un mapa de configuración predeterminado que contiene las nuevas opciones en el clúster. A continuación, puede copiar los valores configurados anteriormente de la copia de seguridad en este mapa de configuración predeterminado, configurar todos los nuevos valores y aplicar los cambios.

4. Guarde y cierre el archivo de configuración.

5. Si ha modificado los valores istio-global-logging-level o istio-global-proxy-accessLogFile, debe reiniciar los pods del plano de datos para aplicarles los cambios.

   1. Obtenga la lista de todos los pods del plano de control que no están en el espacio de nombres istio-system.

      istioctl version --short=false | grep "data plane version" | grep -v istio-system
      

      Salida de ejemplo

      data plane version: version.ProxyInfo{ID:"test-6f86fc4677-vsbsf.default", IstioVersion:"1.23.5"}
      data plane version: version.ProxyInfo{ID:"rerun-xfs-f8958bb94-j6n89.default", IstioVersion:"1.23.5"}
      data plane version: version.ProxyInfo{ID:"test2-5cbc75859c-jh6bx.default", IstioVersion:"1.23.5"}
      data plane version: version.ProxyInfo{ID:"minio-test-78b5d4597d-hkpvt.default", IstioVersion:"1.23.5"}
      data plane version: version.ProxyInfo{ID:"sb-887f89d7d-7s8ts.default", IstioVersion:"1.23.5"}
      data plane version: version.ProxyInfo{ID:"gid-deployment-5dc86db4c4-kdshs.default", IstioVersion:"1.23.5"}
      

   2. Reinicie cada pod suprimiéndolo. En la salida del paso anterior, el nombre del pod y el espacio de nombres se listan en cada entrada como data plane version: version.ProxyInfo{ID:"<pod_name>.<namespace>", IstioVersion:"1.23.5"}.

      kubectl delete pod <pod_name> -n <namespace>
      

¿Quieres cambiar un ajuste de ConfigMap?

Si desea cambiar un valor añadido al mapa de configuración, puede utilizar un script de parche. Por ejemplo, si ha añadido el valor istio-global-proxy-accessLogFile: "/dev/stdout" y, más adelante, quiere cambiarlo de nuevo a "", puede ejecutar kubectl patch cm managed-istio-custom -n ibm-operators --type='json' -p='[{"op": "add", "path": "/data/istio-global-proxy-accessLogFile", "value":""}]'.

¿Necesita depurar su configuración de personalización?

Compruebe los registros del pod addon-istio-operator (versión de Istio 1.10 o posterior) o managed-istio-operator (versión de Istio 1.9 o anterior) ejecutando kubectl logs -n ibm-operators -l name=managed-istio-operator. El operador de Istio valida y concilia los cambios de Istio personalizados que realice.

Si inhabilita el complemento de Istio, el mapa de configuración managed-istio-custom no se elimina durante la desinstalación. Al volver a habilitar el complemento de Istio, se aplica el mapa de configuración personalizado durante la instalación. Si no desea volver a utilizar los valores personalizados en una instalación posterior de Istio, debe suprimir el mapa de configuración después de inhabilitar el complemento de Istio ejecutando kubectl delete cm -n ibm-operators managed-istio-custom. Cuando vuelva a habilitar el complemento de Istio, se aplicará el mapa de configuración predeterminado durante la instalación.

Desinstalación del complemento de Istio

Si ha terminado de trabajar con Istio, puede limpiar los recursos de Istio en su clúster y desinstalar los complementos de Istio.

kubectl delete deployment -n ibm-operators addon-istio-operator --ignore-not-found=true
kubectl delete serviceaccount -n ibm-operators addon-istio-operator --ignore-not-found=true
kubectl delete clusterrolebinding addon-istio-operator --ignore-not-found=true
kubectl delete clusterrole addon-istio-operator --ignore-not-found=true

Desinstalación de otras instalaciones de Istio en el clúster

Si ha instalado anteriormente Istio en el clúster mediante el diagrama de Helm de IBM o por otro método, limpie la instalación de Istio antes de habilitar el complemento de Istio gestionado en el clúster. Para comprobar si Istio ya se encuentra en un clúster, ejecute kubectl get namespaces y busque el espacio de nombres istio-system en la salida.

• Si ha instalado Istio utilizando el diagrama de Helm de Istio de IBM Cloud,

  1. Desinstale el despliegue de Helm de Istio.

     helm del istio --purge
     

  2. Si ha utilizado Helm 2.9 o anterior, suprima el recurso de trabajo adicional.

     kubectl -n istio-system delete job --all
     

  3. El proceso de desinstalación puede durar hasta 10 minutos. Antes de instalar el complemento gestionado de Istio en el clúster, ejecute kubectl get namespaces y verifique que el espacio de nombres istio-system se ha eliminado.

• Si instaló Istio manualmente o utilizó la tabla de la comunidad de Istio Helm, consulte la documentación de desinstalación de Istio.

• Si ha instalado anteriormente BookInfo en el clúster, limpie estos recursos.

  1. Cambie el directorio a la ubicación de archivo de Istio.

     cd <filepath>/istio-1.23.5
     

  2. Suprima todos los servicios, pods y despliegues de BookInfo del clúster.

     samples/bookinfo/platform/kube/cleanup.sh
     

  3. El proceso de desinstalación puede durar hasta 10 minutos. Antes de instalar el complemento gestionado de Istio en el clúster, ejecute kubectl get namespaces y verifique que el espacio de nombres istio-system se ha eliminado.

Resolución de problemas del complemento de Istio

Para resolver algunos problemas comunes que puede encontrar cuando se utiliza el complemento de Istio gestionado, consulte Resolución de problemas de complementos gestionados.

Paso 2: Reducir el operador Istio

Reduzca el despliegue del operador Istio.

Ejecute el mandato siguiente:

kubectl scale deployment -n ibm-operators addon-istio-operator --replicas=0

Paso 3: Guardar recursos

Guarde todos los recursos que haya creado o modificado en el espacio de nombres istio-system y todos los recursos Kubernetes generados automáticamente por definiciones de recursos personalizadas (CRD).

1. Guarde el managed-istio-custom ConfigMap para resolver un problema o para volver a instalar el complemento más adelante.

   kubectl get cm -n ibm-operators managed-istio-custom -o yaml > Customizations.yaml
   

2. Guarde todos los CR IstioOperator (IOP).

   • Listar los recursos de IOP:

     kubectl get iop -A
     

   • Para cada recurso IOP de la lista, elimine el finalizador. Ejemplo de utilización del IOP managed-istio :

     kubectl patch -n ibm-operators istiooperator/managed-istio --type json --patch='[ { "op": "remove", "path": "/metadata/finalizers" } ]'
     

   • Para cada recurso de IOP listado, guarde cada uno en un archivo:

     kubectl get iop -n <IOP_namespace> <IOP_name> -o yaml > <IOP_name>.yaml
     

3. Espere 10 minutos antes de continuar con el paso siguiente.

Paso 4: Cambiar el instalador de los IOP

Suprima todos los recursos de operador de Istio (IOP), como por ejemplo para una pasarela de entrada personalizada.

1. Asegúrese de que su herramienta istioctl cli tiene la versión de parche necesaria.

   istioctl version
   

2. Para cada archivo de IOP que haya guardado en el paso anterior, ejecute el mandato upgrade.

   istioctl upgrade -f <filename>.yaml
   

Paso 5: Eliminar el operador Istio y los IOPs

Elimine el despliegue del operador Istio, la cuenta de servicio, la vinculación del rol de clúster, el rol de clúster y todos los IOP.

1. Ejecute los siguientes comandos para eliminar la implantación del operador istio:

   kubectl delete deployment -n ibm-operators addon-istio-operator --ignore-not-found=true
   kubectl delete serviceaccount -n ibm-operators addon-istio-operator --ignore-not-found=true
   kubectl delete clusterrolebinding addon-istio-operator --ignore-not-found=true
   kubectl delete clusterrole addon-istio-operator --ignore-not-found=true
   

2. Borra los IOP.

   • Listar los recursos de IOP:

     kubectl get iop -A
     

   • Para cada recurso IOP de la lista, elimínelo:

     kubectl delete IstioOperator <resource_name> -n <namespace>
     

Paso 6: Eliminar el ConfigMap

Debido a que el ConfigMap se ha guardado anteriormente, se puede eliminar.

Elimine el managed-istio-custom ConfigMap.

kubectl delete cm -n ibm-operators managed-istio-custom

La eliminación del complemento se ha completado y puede seguir utilizando y actualizando el Istio de comunidad según sea necesario.