Istio Helm Chart 详解 - Galley

前言

Galley 是 Istio 的配置管理组件,根据官方文档的描述:

Galley 代表其他的 Istio 控制平面组件,用来验证用户编写的 Istio API 配置。随着时间的推移,Galley 将接管 Istio 获取配置、 处理和分配组件的*责任。它将负责将其他的 Istio 组件与从底层平台(例如 Kubernetes)获取用户配置的细节中隔离开来。

values.yaml 中的相关变量

galley:
  enabled: true
  replicaCount: 1
  image: galley

这里看到,Galley 的相关变量只有启用、副本数量以及镜像三个。

  • enabled:负责在 requirements.yaml 中标识是否启用 Galley 组件。
  • replicaCount:负责在 deployment.yaml 中定义副本数量。
  • image:负责在 deployment.yaml 中定义镜像。

RBAC 相关内容

这里可以看到 Galley 使用 Service Account istio-galley-service-account 的身份运行。全局变量中如果定义了 imagePullSecrets,则会在 serviceaccount.yaml 中进行引用。

clusterrole.yaml 模板中定义了 Galley 所需使用的系统资源:

  • 对 admissionregistration.k8s.io 组中的 validatingwebhookconfigurations 类型的完全控制。
  • config.istio.io: Mixer CRD 的所有资源的读取权限。
  • 对 istio-galley Deployment 和 Endpoint 的读取权限。

clusterrolebinding.yaml 将上面的两个对象连接起来完成授权。

service.yaml

这里看到为 Galley 开放了两个端口:443 是一个 https 端口,用来提供验证服务;而 9093 是一个用来进行 Galley 自身服务监控的 http 端口。

该文件只引用了 Release 内置变量。

deployment.yaml

这里以 Galley 为主进程创建了一个 Deployment 对象。

在 annotation 一节中将 sidecar.istio.io/inject 设置为 false 来防止自动注入 Sidecar。

全局变量

  • Chart
  • Release
  • global.priorityClassName
  • global.hub
  • global.tag
  • global.imagePullPolicy
  • 模板 nodeaffinity
  • global.defaultResources

变量使用细节

  • 部署在 Istio 所属命名空间中。
  • 使用 _helpers.tpl 中定义的模板给 App 标签赋值。
  • 使用 Chart 和 Release 变量生成 Deployment 标签。
  • Chart 变量 replicaCount 确定副本数量。
  • 如果定义了 global.priorityClassName,则设置到 Pod 上,提高组件在集群内的优先级。
  • 使用 global.hub + image + global.tag 的方式设置镜像名称。
  • 如果 Chart 变量设置了 resource,则使用独立的资源限制,否则使用缺省的 global.defaultResources
  • 使用缺省的节点亲和性定义。

加载卷

加载了一个名为 istio.istio-galley-service-account的 Secret,注意这个资源的类型为 istio.io/key-and-cert,说明是由 Citadel 生成的,其中包含了几个证书,供 --caCertFile--tlsCertFile 和 --tlsKeyFile用来提供 https 服务。

另外加载了一个 ConfigMap,其中的配置文件供 --webhook-config-file 参数使用,作为 Webhook 的参数。这个 ConfigMap 是由模板 configmap.yaml 和 validatingwehookconfiguration.yaml.tpl 生成的,后面将会进行讲解。

configmap.yaml 以及 validatingwehookconfiguration.yaml.tpl

configmap.yaml 模板中并没有实质内容,主要内容存在于 validatingwehookconfiguration.yaml.tpl 之中。

这个模板中定义了一个 ValidatingWebhookConfiguration 类型的资源。这种资源用于在不改变资源的情况下,对其进行校验并发出接受或拒绝的决策。

引用全局变量

  • Chart 和 Release:用于生成标签和命名空间。
  • global.configValidation:如果这一变量为 True,才会生成后续内容。

Webhook

webhooks 一节定义了两个元素,分别用于 Pilot 和 Mixer 的校验。以 Mixer 部分为例。

clientConfig 一节,定义了这个 Webhook 会调用的校验服务,标准情况下会使用 Istio 所在的命名空间的 istio-galley,URL 相对路径为 /admitmixer,其中的rules 内容,定义了针对 config.istio.io/v1alpha2的一系列对象的创建和更新操作进行校验,如果校验失败,则拒绝创建(failurePolicy: Fail)。

结论

Galley 目前的文档非常少,主要在参考和运维指南部分有一点介绍,但 Istio 的配置难度是很著名的,因此推测随着项目的推进和普及,Galley 会持续的增强,并提供更多这方面的文档。

前言

Galley 是 Istio 的配置管理组件,根据官方文档的描述:

Galley 代表其他的 Istio 控制平面组件,用来验证用户编写的 Istio API 配置。随着时间的推移,Galley 将接管 Istio 获取配置、 处理和分配组件的*责任。它将负责将其他的 Istio 组件与从底层平台(例如 Kubernetes)获取用户配置的细节中隔离开来。

values.yaml 中的相关变量

galley:
  enabled: true
  replicaCount: 1
  image: galley

这里看到,Galley 的相关变量只有启用、副本数量以及镜像三个。

  • enabled:负责在 requirements.yaml 中标识是否启用 Galley 组件。
  • replicaCount:负责在 deployment.yaml 中定义副本数量。
  • image:负责在 deployment.yaml 中定义镜像。

RBAC 相关内容

这里可以看到 Galley 使用 Service Account istio-galley-service-account 的身份运行。全局变量中如果定义了 imagePullSecrets,则会在 serviceaccount.yaml 中进行引用。

clusterrole.yaml 模板中定义了 Galley 所需使用的系统资源:

  • 对 admissionregistration.k8s.io 组中的 validatingwebhookconfigurations 类型的完全控制。
  • config.istio.io: Mixer CRD 的所有资源的读取权限。
  • 对 istio-galley Deployment 和 Endpoint 的读取权限。

clusterrolebinding.yaml 将上面的两个对象连接起来完成授权。

service.yaml

这里看到为 Galley 开放了两个端口:443 是一个 https 端口,用来提供验证服务;而 9093 是一个用来进行 Galley 自身服务监控的 http 端口。

该文件只引用了 Release 内置变量。

deployment.yaml

这里以 Galley 为主进程创建了一个 Deployment 对象。

在 annotation 一节中将 sidecar.istio.io/inject 设置为 false 来防止自动注入 Sidecar。

全局变量

  • Chart
  • Release
  • global.priorityClassName
  • global.hub
  • global.tag
  • global.imagePullPolicy
  • 模板 nodeaffinity
  • global.defaultResources

变量使用细节

  • 部署在 Istio 所属命名空间中。
  • 使用 _helpers.tpl 中定义的模板给 App 标签赋值。
  • 使用 Chart 和 Release 变量生成 Deployment 标签。
  • Chart 变量 replicaCount 确定副本数量。
  • 如果定义了 global.priorityClassName,则设置到 Pod 上,提高组件在集群内的优先级。
  • 使用 global.hub + image + global.tag 的方式设置镜像名称。
  • 如果 Chart 变量设置了 resource,则使用独立的资源限制,否则使用缺省的 global.defaultResources
  • 使用缺省的节点亲和性定义。

加载卷

加载了一个名为 istio.istio-galley-service-account的 Secret,注意这个资源的类型为 istio.io/key-and-cert,说明是由 Citadel 生成的,其中包含了几个证书,供 --caCertFile--tlsCertFile 和 --tlsKeyFile用来提供 https 服务。

另外加载了一个 ConfigMap,其中的配置文件供 --webhook-config-file 参数使用,作为 Webhook 的参数。这个 ConfigMap 是由模板 configmap.yaml 和 validatingwehookconfiguration.yaml.tpl 生成的,后面将会进行讲解。

configmap.yaml 以及 validatingwehookconfiguration.yaml.tpl

configmap.yaml 模板中并没有实质内容,主要内容存在于 validatingwehookconfiguration.yaml.tpl 之中。

这个模板中定义了一个 ValidatingWebhookConfiguration 类型的资源。这种资源用于在不改变资源的情况下,对其进行校验并发出接受或拒绝的决策。

引用全局变量

  • Chart 和 Release:用于生成标签和命名空间。
  • global.configValidation:如果这一变量为 True,才会生成后续内容。

Webhook

webhooks 一节定义了两个元素,分别用于 Pilot 和 Mixer 的校验。以 Mixer 部分为例。

clientConfig 一节,定义了这个 Webhook 会调用的校验服务,标准情况下会使用 Istio 所在的命名空间的 istio-galley,URL 相对路径为 /admitmixer,其中的rules 内容,定义了针对 config.istio.io/v1alpha2的一系列对象的创建和更新操作进行校验,如果校验失败,则拒绝创建(failurePolicy: Fail)。

结论

Galley 目前的文档非常少,主要在参考和运维指南部分有一点介绍,但 Istio 的配置难度是很著名的,因此推测随着项目的推进和普及,Galley 会持续的增强,并提供更多这方面的文档。


上一篇:kubernetes istio之gateway


下一篇:istio service