Skip to main content
HashnodeDevops

Command Palette

Search for a command to run...

🏗️ Kiến Trúc và Thành Phần Của Istio

Published
4 min read
H
Hoàng Anh Nguyễn Bá
Part of seriesKubernetes security series

🌐 Giới Thiệu Về Istio

Istio là một Service Mesh mạnh mẽ và phổ biến, được thiết kế để quản lý và bảo mật giao tiếp giữa các dịch vụ trong hệ thống microservices. Với Istio, bạn có thể dễ dàng kiểm soát traffic, tăng cường bảo mật và quan sát hệ thống một cách toàn diện mà không cần chỉnh sửa code của ứng dụng.

Để hiểu rõ hơn, hãy cùng khám phá kiến trúc của Istio và các thành phần chính của nó.

🏛️ Kiến Trúc Istio

Kiến trúc của Istio được chia thành hai phần chính:

  1. Control Plane: Quản lý và điều khiển toàn bộ Service Mesh.

  2. Data Plane: Xử lý traffic giữa các dịch vụ.

🔹 1. Control Plane

Control Plane chịu trách nhiệm cấu hình và quản lý các proxy trong Data Plane. Nó bao gồm các thành phần sau:

  1. Pilot:

    • Chức năng: Cung cấp cấu hình và điều khiển traffic cho các proxy (thường là Envoy).

    • Vai trò: Đảm bảo các proxy có thể định tuyến traffic đúng cách dựa trên các quy tắc được định nghĩa.

  2. Citadel:

    • Chức năng: Quản lý bảo mật, cấp chứng chỉ TLS, và thực thi xác thực giữa các dịch vụ.

    • Vai trò: Cung cấp mutual TLS (mTLS) để đảm bảo dữ liệu được mã hóa khi truyền giữa các dịch vụ.

  3. Galley:

    • Chức năng: Quản lý cấu hình và xác thực cấu hình từ Kubernetes.

    • Vai trò: Đảm bảo các cấu hình trong Service Mesh là hợp lệ và được áp dụng đúng cách.

  4. Mixer (Deprecated):

    • Chức năng: Cung cấp khả năng thu thập metrics và logs (đã được thay thế bằng các công cụ tích hợp như Prometheus và Fluentd).

🔹 2. Data Plane

Data Plane bao gồm các sidecar proxy (thường là Envoy) được gắn kèm vào mỗi Pod. Chúng chịu trách nhiệm xử lý tất cả traffic giữa các dịch vụ.

  • Envoy Proxy:

    • Chức năng:

      • Định tuyến và cân bằng tải traffic.

      • Mã hóa và giải mã traffic với TLS.

      • Thu thập metrics và logs để quan sát hệ thống.

    • Vai trò: Đảm bảo việc giao tiếp giữa các dịch vụ diễn ra an toàn và hiệu quả theo đúng cấu hình từ Control Plane.

📝 Luồng Hoạt Động Của Istio

Hãy cùng xem một ví dụ về cách Istio hoạt động khi một dịch vụ gửi yêu cầu đến dịch vụ khác:

  1. Dịch vụ A gửi yêu cầu đến Dịch vụ B.

  2. Yêu cầu từ Dịch vụ A được chuyển qua sidecar proxy Envoy của nó.

  3. Envoy proxy áp dụng các quy tắc traffic (ví dụ: retry, timeout) và gửi yêu cầu đến Envoy proxy của Dịch vụ B.

  4. Envoy proxy của Dịch vụ B kiểm tra bảo mật (ví dụ: mutual TLS) trước khi chuyển yêu cầu đến Dịch vụ B.

  5. Dịch vụ B phản hồi lại thông qua quy trình tương tự.

Luồng này đảm bảo tất cả traffic được kiểm soát, bảo mật và quan sát được.

🔍 Ví Dụ Minh Họa

Giả sử chúng ta có một ứng dụng Bookinfo với 4 dịch vụ:

  1. productpage: Giao diện chính.

  2. details: Cung cấp thông tin chi tiết về sản phẩm.

  3. reviews: Cung cấp đánh giá sản phẩm.

  4. ratings: Cung cấp xếp hạng sản phẩm.

Kiến Trúc Bookinfo Với Istio:

+--------------------+         +--------------------+         +--------------------+
|    productpage     |---->----|      details       |---->----|      reviews       |
|    (Envoy Proxy)   |         |    (Envoy Proxy)   |         |    (Envoy Proxy)   |
+--------------------+         +--------------------+         +--------------------+
                                   |                                   |
                                   |                                   |
                                   v                                   v
                          +--------------------+         +--------------------+
                          |      ratings       |         |      ratings       |
                          |    (Envoy Proxy)   |         |    (Envoy Proxy)   |
                          +--------------------+         +--------------------+

  • Pilot sẽ điều khiển cách traffic luân chuyển giữa các dịch vụ.

  • Citadel sẽ mã hóa dữ liệu truyền giữa các Envoy proxy.

  • Envoy Proxy sẽ thu thập logs và metrics để giám sát.

Lợi Ích Của Kiến Trúc Istio

  1. Quản Lý Traffic Linh Hoạt:
    Điều khiển traffic giữa các dịch vụ một cách dễ dàng mà không cần thay đổi code.

  2. Bảo Mật Tự Động:
    Mã hóa giao tiếp giữa các dịch vụ và thực thi các chính sách bảo mật.

  3. Giám Sát Toàn Diện:
    Thu thập metrics, logs và tracing để phát hiện và khắc phục sự cố nhanh chóng.

  4. Khả Năng Mở Rộng:
    Tích hợp tốt với các công cụ như Prometheus, Grafana, Jaeger, và Kiali.

🚀 Kết Luận

Hiểu rõ kiến trúc và các thành phần của Istio giúp bạn triển khai và quản lý Service Mesh hiệu quả hơn trong hệ thống microservices. Với Istio, bạn có thể kiểm soát traffic, đảm bảo bảo mật và quan sát hệ thống một cách linh hoạt và mạnh mẽ.

Trong bài tiếp theo, chúng ta sẽ cùng tìm hiểu cách cài đặt Istio trên Kubernetes và triển khai một ứng dụng mẫu để thực hành.

Nếu bạn có thắc mắc hoặc muốn tìm hiểu sâu hơn, hãy để lại bình luận nhé! 😊

#istio
6 views

Comments

Join the discussion

No comments yet. Be the first to comment.

Kubernetes security series

Part 3 of 3
Start from the beginning

Service Account trong Kubernetes: Giới thiệu, Cách tấn công, Bảo vệ, và Chaos Testing

1. Service Account (SA) trong Kubernetes là gì? Trong Kubernetes, Service Account (SA) là một thành phần rất quan trọng để giúp các pod và container có thể tương tác với API Server. Mỗi Pod đều có một SA gắn liền với nó. SA được sử dụng để cung cấp c...

More from this blog

Devops

39 posts