放弃 Sidecar, Cilium + Istio 如何丝滑落地？流量治理与安全策略深度实践

放弃 Sidecar, Cilium + Istio 如何丝滑落地？流量治理与安全策略深度实践

Service Mesh (服务网格) 架构的流行，为微服务治理带来了前所未有的便利。但随之而来的 Sidecar 代理模式，也引入了资源消耗、延迟增加等问题。Cilium 的出现，为 Service Mesh 提供了一种新的思路：在内核层实现服务网格的功能，摆脱 Sidecar 的束缚，提升性能并简化运维。本文将深入探讨如何利用 Cilium 与 Istio 集成，实现高效、安全的 Service Mesh 方案。

1. Sidecar 的困境与 Cilium 的破局

1.1 Sidecar 的优势与挑战

Sidecar 模式通过在每个服务实例旁边部署一个代理 (通常是 Envoy)，来拦截和处理所有进出服务的流量。这种模式的优势在于：

• 解耦: 服务本身无需感知服务治理的逻辑，专注于业务功能。
• 统一: 所有服务都通过 Sidecar 进行治理，方便统一管理和监控。
• 语言无关: Sidecar 可以用任何语言实现，对服务本身使用的语言没有限制。

然而，Sidecar 模式也存在一些挑战：

• 资源消耗: 每个服务实例都需要运行一个 Sidecar，消耗大量的 CPU 和内存资源。
• 延迟增加: 流量需要经过 Sidecar 的转发，增加了延迟。
• 复杂性: 需要管理和维护大量的 Sidecar 实例，增加了运维的复杂性。

1.2 Cilium：基于 eBPF 的内核级 Service Mesh

Cilium 是一个基于 eBPF (扩展伯克利包过滤器) 的开源项目，它能够在 Linux 内核中实现高性能的网络和安全策略。与传统的 Sidecar 模式不同，Cilium 将服务网格的功能直接构建在内核中，避免了 Sidecar 的性能损耗和资源消耗。

• eBPF 技术: eBPF 允许在内核中安全地运行用户自定义的代码，而无需修改内核源码。Cilium 利用 eBPF，在内核中实现流量拦截、转发、负载均衡、安全策略等功能。
• 高性能: 由于所有操作都在内核中进行，Cilium 能够提供比 Sidecar 模式更高的性能和更低的延迟。
• 低资源消耗: 无需为每个服务实例运行单独的 Sidecar，大大降低了资源消耗。
• 简化运维: 减少了 Sidecar 的管理和维护工作，简化了运维。

2. Cilium + Istio：最佳实践

虽然 Cilium 能够提供服务网格的核心功能，但 Istio 在流量管理、可观测性、安全策略等方面仍然具有强大的能力。因此，将 Cilium 与 Istio 集成，可以充分发挥两者的优势，构建更完善的 Service Mesh 方案。

2.1 集成架构

Cilium + Istio 集成架构的核心思想是：使用 Cilium 替代 Istio 中的 Sidecar (Envoy)，负责数据平面的流量转发和安全策略执行，而 Istio 则负责控制平面的配置管理和策略下发。如下图所示：

+-----------------+    +-----------------+    +-----------------+
|     Istio       |    |     Istio       |    |     Istio       |
|   Control Plane  |    |   Control Plane  |    |   Control Plane  |
+-------+---------+    +-------+---------+    +-------+---------+
        |                    |                    |
        |  Configuration     |  Configuration     |  Configuration
        |                    |                    |
+-------v---------+    +-------v---------+    +-------v---------+
|   Cilium Agent  |    |   Cilium Agent  |    |   Cilium Agent  |
+-------+---------+    +-------+---------+    +-------+---------+
        |                    |                    |
        |  eBPF Programs     |  eBPF Programs     |  eBPF Programs
        |                    |                    |
+-------v---------+    +-------v---------+    +-------v---------+
|  Pod (Service A)|    |  Pod (Service B)|    |  Pod (Service C)|
+-----------------+    +-----------------+    +-----------------+

• Istio Control Plane: 负责管理和配置整个 Service Mesh，包括流量规则、安全策略、可观测性配置等。它将配置信息下发给 Cilium Agent。
• Cilium Agent: 运行在每个 Kubernetes 节点上，负责监听 Istio 下发的配置信息，并将这些配置转换为 eBPF 程序，加载到内核中。
• eBPF Programs: 运行在内核中，负责实际的流量转发、负载均衡、安全策略执行等操作。由于 eBPF 程序直接运行在内核中，因此能够提供非常高的性能。
• Pod (Service): 运行实际的业务服务。服务之间的流量不再需要经过 Sidecar 的转发，而是直接通过 Cilium 在内核中进行转发，从而降低了延迟。

2.2 部署步骤

以下是 Cilium + Istio 集成的基本步骤：

1. 安装 Kubernetes: 确保你已经有一个可用的 Kubernetes 集群。
2. 安装 Istio: 按照 Istio 官方文档安装 Istio。注意，需要选择支持 Cilium 的安装选项。
3. 安装 Cilium: 按照 Cilium 官方文档安装 Cilium。确保 Cilium 的版本与 Istio 兼容。
4. 配置 Istio 使用 Cilium: 修改 Istio 的配置，使其使用 Cilium 作为数据平面。这通常涉及到修改 Istio 的 values.yaml 文件，并设置 global.proxy.enabled 为 false。
5. 部署应用程序: 将你的应用程序部署到 Kubernetes 集群中。确保应用程序已经正确配置，能够与 Istio 集成。
6. 验证: 验证 Cilium 和 Istio 是否正常工作。可以通过查看 Cilium 和 Istio 的日志，或者使用 Istio 的流量管理功能来测试流量转发和安全策略是否生效。

2.3 关键配置

在集成 Cilium 和 Istio 时，需要进行一些关键配置：

• global.proxy.enabled: 将 Istio 的 global.proxy.enabled 设置为 false，禁用 Istio 的 Sidecar 代理。
• cni.chainingMode: 配置 Cilium 的 CNI 链接模式。如果你的 Kubernetes 集群已经使用了其他的 CNI 插件，需要将 Cilium 的 cni.chainingMode 设置为 flannel 或 portmap，以便与其他的 CNI 插件兼容。
• kubeProxyReplacement: 配置 Cilium 的 kube-proxy 替换模式。Cilium 可以替换 kube-proxy，提供更高效的 Kubernetes 服务代理。建议将 kubeProxyReplacement 设置为 strict，以获得最佳性能。
• identityAllocationMode: 配置 Cilium 的身份分配模式。Cilium 使用身份来标识不同的服务，并根据身份来执行安全策略。建议将 identityAllocationMode 设置为 crd，以便与 Istio 的安全策略集成。

3. 流量治理

Cilium 与 Istio 集成后，可以利用 Istio 强大的流量管理功能，对服务之间的流量进行精细化的控制。

3.1 流量路由

Istio 允许你根据各种条件 (例如 HTTP Header、URI、请求方法等) 将流量路由到不同的服务版本。例如，你可以将一部分用户流量路由到新版本的服务，以便进行灰度发布。

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: my-service
spec:
  hosts:
  - my-service
  gateways:
  - my-gateway
  http:
  - match:
    - headers:
        user-agent:
          regex: .*Mobile.*
    route:
    - destination:
        host: my-service
        subset: v2
  - route:
    - destination:
        host: my-service
        subset: v1

上述配置会将所有来自移动设备的流量路由到 my-service 的 v2 版本，而将其他流量路由到 v1 版本。

3.2 故障注入

Istio 允许你向服务中注入故障，以便测试应用程序的容错能力。例如，你可以向服务中注入延迟或错误，以便测试应用程序在出现故障时的行为。

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: my-service
spec:
  hosts:
  - my-service
  http:
  - fault:
      delay:
        percentage:
          value: 50
        fixedDelay: 5s
    route:
    - destination:
        host: my-service
        subset: v1

上述配置会向 my-service 的 v1 版本注入 5 秒的延迟，并且影响 50% 的请求。

3.3 流量镜像

Istio 允许你将一部分流量镜像到另一个服务，以便进行性能测试或数据分析。例如，你可以将生产环境的流量镜像到测试环境，以便在不影响生产环境的情况下进行测试。

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: my-service
spec:
  hosts:
  - my-service
  http:
  - route:
    - destination:
        host: my-service
        subset: v1
    mirror:
      host: my-service
      subset: v2

上述配置会将所有流量路由到 my-service 的 v1 版本，并将相同的流量镜像到 v2 版本。

4. 安全策略

Cilium 与 Istio 集成后，可以利用 Istio 强大的安全策略功能，对服务之间的通信进行细粒度的控制。

4.1 身份认证

Istio 使用 SPIFFE (Secure Production Identity Framework For Everyone) 来为每个服务分配一个唯一的身份。服务可以使用这个身份来验证其他服务的身份，并建立安全的通信连接。

4.2 授权策略

Istio 允许你定义授权策略，控制哪些服务可以访问哪些资源。例如，你可以定义一个策略，只允许特定的服务访问数据库。

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: my-policy
spec:
  selector:
    matchLabels:
      app: my-service
  rules:
  - from:
    - source:
        principals:
        - cluster.local/ns/default/sa/my-client
    to:
    - operation:
        methods:
        - GET
        paths:
        - /data

上述配置定义了一个授权策略，只允许 my-client 服务账号访问 my-service 服务的 /data 路径，并且只能使用 GET 方法。

4.3 加密通信

Istio 允许你配置服务之间的加密通信，以保护数据的安全性。你可以使用 TLS (Transport Layer Security) 来加密服务之间的流量。

5. 性能优化

Cilium + Istio 集成的一个主要优势是性能优化。由于 Cilium 在内核中实现了服务网格的功能，因此能够提供比 Sidecar 模式更高的性能。

5.1 减少延迟

由于流量不再需要经过 Sidecar 的转发，因此可以显著减少延迟。Cilium 直接在内核中进行流量转发，避免了用户态和内核态之间的切换，从而降低了延迟。

5.2 降低资源消耗

由于无需为每个服务实例运行单独的 Sidecar，因此可以大大降低资源消耗。Cilium 只需要在每个 Kubernetes 节点上运行一个 Agent，即可为所有服务提供服务网格的功能。

5.3 优化 eBPF 程序

可以通过优化 eBPF 程序来进一步提高性能。例如，可以使用更高效的算法和数据结构，或者减少 eBPF 程序的执行时间。

6. 可观测性

Cilium 与 Istio 集成后，可以利用 Istio 强大的可观测性功能，对服务之间的流量进行监控和分析。

6.1 Metrics

Istio 可以收集服务之间的流量指标，例如请求数量、延迟、错误率等。这些指标可以用于监控服务的性能和健康状况。

6.2 Logs

Istio 可以收集服务之间的流量日志，例如请求的 URL、HTTP Header、响应时间等。这些日志可以用于分析服务的行为和排查问题。

6.3 Traces

Istio 可以生成服务之间的调用链，用于跟踪请求的完整路径。调用链可以帮助你找到性能瓶颈和故障点。

7. 总结与展望

Cilium + Istio 集成是一种非常有前景的 Service Mesh 方案。它既能够提供 Istio 强大的流量管理和安全策略功能，又能够避免 Sidecar 模式的性能损耗和资源消耗。随着 eBPF 技术的不断发展，Cilium 在 Service Mesh 领域的应用前景将更加广阔。

未来，我们可以期待 Cilium 在以下方面取得更大的进展：

• 更强大的功能: Cilium 将会支持更多的 Service Mesh 功能，例如流量染色、服务熔断、自适应限流等。
• 更好的集成: Cilium 将会与更多的 Service Mesh 控制平面集成，例如 Consul、Linkerd 等。
• 更广泛的应用: Cilium 将会在更多的场景中应用，例如边缘计算、物联网等。

总而言之，Cilium 为 Service Mesh 提供了一种新的选择，它将推动 Service Mesh 技术的发展，并为微服务架构带来更大的价值。

8. 常见问题

• Cilium 和 Istio 的版本兼容性如何？
  • Cilium 和 Istio 的版本兼容性非常重要。通常，Cilium 官方文档会明确指出其与哪些 Istio 版本兼容。请务必查阅官方文档，选择兼容的版本组合，以避免出现不兼容的问题。
• 如何排查 Cilium + Istio 集成中的问题？
  • 排查问题需要从多个方面入手：
    • 查看 Cilium Agent 日志: Cilium Agent 的日志通常包含重要的错误信息和警告信息，可以帮助你找到问题的根源。
    • 查看 Istio 组件日志: Istio 组件的日志也可能包含有用的信息，例如配置错误、策略冲突等。
    • 使用 Cilium CLI: Cilium 提供了强大的命令行工具 cilium，可以用于查看 Cilium 的状态、配置、策略等。
    • 使用 Istio CLI: Istio 也提供了命令行工具 istioctl，可以用于查看 Istio 的配置、状态、策略等。
    • 抓包分析: 可以使用 tcpdump 或 wireshark 等工具抓包分析服务之间的流量，以便找到网络问题。
• Cilium 是否支持所有的 Istio 功能？
  • Cilium 并非完全支持所有的 Istio 功能。一些高级功能，例如 WASM (WebAssembly) 插件，可能需要 Sidecar 才能实现。在选择 Cilium + Istio 方案时，需要仔细评估你的应用程序是否需要这些高级功能。
• Cilium 的学习曲线如何？
  • Cilium 的学习曲线相对陡峭。你需要了解 eBPF 技术、Kubernetes 网络、Service Mesh 等多个领域的知识。但是，Cilium 官方文档非常完善，提供了大量的示例和教程，可以帮助你快速上手。

希望这些常见问题能够帮助你更好地理解和使用 Cilium + Istio 集成方案。