这个task展示如何开启Istio CA健康检查。注意这是自从Istio V0.6之后的alpha功能。
自从Istio V0.6,Istio CA有一个可选开启的健康检查功能。默认情况,普通的Istio部署进程不开启这个功能。单签,健康检查功能可以通过定期向API发送CSRs探查CA CSR注册服务失败。很快将支持更多健康检查功能。
Istio CA包含一个prober client 模块,它定期检查CA的状态(当前只检查gRPC服务端的健康状态)。如果Istio CA是健康的,prober client 更新健康状态文件(这个文件总是空的)的修改时间。否则,它什么也不做。Istio CA依赖使用命令行的 K8s liveness and readiness probe 来检查pod上的健康状态文件的修改时间。如果文件在一个周期内没有更新,probe 将会触发, Kubelet 将会重启CA容器。
注意: 因为Istio CA健康检查目前仅监控CSR服务API的健康状态。如果生产安装不使用Istio Mesh Expansion (需要CSR服务API),则这个功能可以不需要。
Before you begin
- 安装Istio。注意在 installation steps 中的第5步开启身份认证。
Deploying the Istio CA with health check
部署开启健康检查的Istio CA。
kubectl apply -f install/kubernetes/istio-ca-with-health-check.yaml部署 istio-ca 服务,这样CSR服务能够被健康检查器发现。
cat <<EOF | kubectl create -f -
apiVersion: v1
kind: Service
metadata:
name: istio-ca
namespace: istio-system
labels:
istio: istio-ca
spec:
ports:
- port: 8060
selector:
istio: istio-ca
EOFVerifying the health checker is working
Istio CA将会记录健康检查结果。运行下列命令:
kubectl logs `kubectl get po -n istio-system | grep istio-ca | awk '{print $1}'` -n istio-system你将看到类似输出:
...
2018-02-27T04:29:56.128081Z info CSR successfully signed.
...
2018-02-27T04:30:11.081791Z info CSR successfully signed.
...
2018-02-27T04:30:25.485315Z info CSR successfully signed.
...上述日志表明周期的健康检查正在运行。可以看到健康检查间隔15s,这是默认的健康检查间隔时间。
(Optional)Configuring the health check
可选的调整健康检查配置来符合你的需求。打开文件install/kubernetes/istio-ca-with-health-check.yaml, 然后查找下面几行。
...
- --liveness-probe-path=/tmp/ca.liveness # path to the liveness health check status file
- --liveness-probe-interval=60s # interval for health check file update
- --probe-check-interval=15s # interval for health status check
- --logtostderr
- --stderrthreshold
- INFO
livenessProbe:
exec:
command:
- /usr/local/bin/istio_ca
- probe
- --probe-path=/tmp/ca.liveness # path to the liveness health check status file
- --interval=125s # the maximum time gap allowed between the file mtime and the current sys clock.
initialDelaySeconds: 60
periodSeconds: 60
...liveness-probe-path and probe-path 是健康状态文件的路径,可以在Istio CA和prober配置; liveness-probe-interval 是更新健康状态文件的时间间隔,如果Istio CA是健康的话; probe-check-interval 是Istio CA健康检查的时间间隔。 interval 是上次更新健康状态文件的最大间隔时间,由prober 判断Istio CA是否健康。 initialDelaySeconds and periodSeconds 是运行期的初始延迟和探针。
延长 probe-check-interval 将会减少健康检查的开销,但是对于探针察觉不健康状态会产生更大的滞后。为了避免探针由于临时不可用而重启Istio CA,在探针的interval 可以配置比 liveness-probe-interval大 N 倍。这将允许探针容忍 N-1 连续的健康检查失败。
Cleanup
- 关闭Istio CA的健康检查
kubectl apply -f install/kubernetes/istio-auth.yaml
kubectl delete svc istio-ca -n istio-system- 移除Istio CA:
kubectl delete -f install/kubernetes/istio-ca-with-health-check.yaml
kubectl delete svc istio-ca -n istio-system