Linkerd 2.10(Step by Step)—安裝多集群組件
Linkerd 2.10 中文手冊持續修正更新中:
- https://linkerd.hacker-linner.com
Linkerd 中的多集群支持需要在默認控制平面安裝之上進行額外的安裝和配置。本指南將介紹此安裝和配置以及您可能遇到的常見問題。
要求
- 兩個集群。
- 每個集群中的控制平面安裝共享一個公共信任錨。
- 這些集群中的每一個都應配置為 kubectl contexts。
- 兩個集群上的提升權限。我們將創建服務帳戶并授予擴展權限,因此您需要能夠在測試集群上執行此操作。
- 支持 east 集群中的 LoadBalancer 類型的服務。查看集群提供商(cluster provider)的文檔或查看 inlets。這是 west 集群將用于通過網關與 east 通信的內容。
步驟 1:安裝多集群控制平面
在每個集群上,運行:
- linkerd multicluster install | \
- kubectl apply -f -
要驗證一切是否已成功啟動,請運行:
- linkerd multicluster check
步驟 2:Link 集群
每個集群都必須 linked。這包括在源集群中安裝多個資源,包括一個包含允許 訪問目標集群 Kubernetes API 的 kubeconfig 的 secret、 一個用于鏡像服務(mirroring services)的服務鏡像控件(service mirror control)以及一個 用于保存配置的 Link 自定義資源。要將集群 west 連接到集群 east,您將運行:
- linkerd --context=east multicluster link --cluster-name east |
- kubectl --context=west apply -f -
要驗證憑據(credentials)已成功創建并且集群能夠相互訪問,請運行:
- linkerd --context=west multicluster check
您還應該通過運行以下命令看到網關列表。請注意,您需要在源集群中安裝 Linkerd 的 Viz 擴展以獲取網關列表:
- linkerd --context=west multicluster gateways
有關此步驟的詳細說明,請查看鏈接集群部分。
步驟 3:暴露 services
服務不會在鏈接的集群中自動鏡像。默認情況下,只會鏡像帶有 mirror.linkerd.io/exported 標簽的服務。對于您想要鏡像到鏈接集群的每個服務,運行:
- kubectl label svc foobar mirror.linkerd.io/exported=true
您可以通過在 linkerd multicluster link 命令上使用 --selector 標志或 通過編輯由 linkerd multicluster link 命令 創建的鏈接資源來配置不同的標簽選擇器(different label selector)。
利用 Ambassador
不需要捆綁的 Linkerd gateway。事實上,如果您有一個現有的 Ambassador 安裝,那么使用它很容易!通過使用現有的 Ambassador 安裝, 您無需管理多個入口網關(multiple ingress gateways)并為額外的云負載均衡器付費。本指南假定 Ambassador 已安裝到 ambassador 命名空間中。
首先,您需要使用 Linkerd 注入 ambassador deployment:
- kubectl -n ambassador get deploy ambassador -o yaml | \
- linkerd inject \
- --skip-inbound-ports 80,443 \
- --require-identity-on-inbound-ports 4183 - | \
- kubectl apply -f -
這將添加 Linkerd 代理, 跳過 Ambassador 為公共流量處理的端口并要求網關端口上的 identity。接下來,您需要添加一些配置,以便 Ambassador 知道如何處理請求:
- cat <<EOF | kubectl --context=${ctx} apply -f -
- ---
- apiVersion: getambassador.io/v2
- kind: Module
- metadata:
- name: ambassador
- namespace: ambassador
- spec:
- config:
- add_linkerd_headers: true
- ---
- apiVersion: getambassador.io/v2
- kind: Host
- metadata:
- name: wildcard
- namespace: ambassador
- spec:
- hostname: "*"
- selector:
- matchLabels:
- nothing: nothing
- acmeProvider:
- authority: none
- requestPolicy:
- insecure:
- action: Route
- ---
- apiVersion: getambassador.io/v2
- kind: Mapping
- metadata:
- name: public-health-check
- namespace: ambassador
- spec:
- prefix: /-/ambassador/ready
- rewrite: /ambassador/v0/check_ready
- service: localhost:8877
- bypass_auth: true
- EOF
Ambassador service 和 deployment 定義需要稍作修補。這會添加 service mirror controller 所需的元數據。要修補這些資源,請運行:
- kubectl --context=${ctx} -n ambassador patch deploy ambassador -p='
- spec:
- template:
- metadata:
- annotations:
- config.linkerd.io/enable-gateway: "true"
- '
- kubectl --context=${ctx} -n ambassador patch svc ambassador --type='json' -p='[
- {"op":"add","path":"/spec/ports/-", "value":{"name": "mc-gateway", "port": 4143}},
- {"op":"replace","path":"/spec/ports/0", "value":{"name": "mc-probe", "port": 80, "targetPort": 8080}}
- ]'
- kubectl --context=${ctx} -n ambassador patch svc ambassador -p='
- metadata:
- annotations:
- mirror.linkerd.io/gateway-identity: ambassador.ambassador.serviceaccount.identity.linkerd.cluster.local
- mirror.linkerd.io/multicluster-gateway: "true"
- mirror.linkerd.io/probe-path: /-/ambassador/ready
- mirror.linkerd.io/probe-period: "3"
- '
現在您可以將 Linkerd 多集群組件安裝到您的目標集群上。由于我們使用 Ambassador 作為我們的網關, 我們需要使用 --gateway=false 標志跳過安裝 Linkerd 網關:
- linkerd --context=${ctx} multicluster install --gateway=false | kubectl --context=${ctx} apply -f -
完成所有設置和配置后,您就可以將源集群鏈接到這個 Ambassador 網關了。運行 link 命令,指定 Ambassador service 的名稱和命名空間:
- linkerd --context=${ctx} multicluster link --cluster-name=${ctx} --gateway-name=ambassador --gateway-namespace=ambassador \
- | kubectl --context=${src_ctx} apply -f -
從源集群(未運行 Ambassador 的集群),您可以通過運行以下命令來驗證一切是否正常工作:
- linkerd multicluster check
此外,在列出活動網關時會顯示 ambassador 網關:
- linkerd multicluster gateways
信任錨捆綁
為了保護集群之間的連接,Linkerd 需要有一個共享的信任錨。這允許控制平面加密在集群之間傳遞的請求并驗證這些請求的身份。此身份用于控制對集群的訪問,因此共享信任錨至關重要。
最簡單的方法是在多個集群之間共享一個信任錨證書。如果您有一個現有的 Linkerd 安裝并丟棄了信任錨 key, 則可能無法為信任錨提供單個證書。幸運的是,信任錨也可以是一堆證書!
要獲取現有集群的信任錨,請運行:
- kubectl -n linkerd get cm linkerd-config -ojsonpath="{.data.values}" | \
- yq e .identityTrustAnchorsPEM - > trustAnchor.crt
此命令需要 yq。如果您沒有 yq,請隨意使用您選擇的工具從 identityTrustAnchorsPEM 字段中提取證書。`
現在,您需要為新集群創建一個新的信任錨(trust anchor)和頒發者(issuer):
- step certificate create root.linkerd.cluster.local root.crt root.key \
- --profile root-ca --no-password --insecure
- step certificate create identity.linkerd.cluster.local issuer.crt issuer.key \
- --profile intermediate-ca --not-after 8760h --no-password --insecure \
- --ca root.crt --ca-key root.key
我們使用 step cli 生成證書。 openssl 也能正常工作!
使用舊集群的信任錨和新集群的信任錨,您可以通過運行以下命令來創建捆綁包:
- cat trustAnchor.crt root.crt > bundle.crt
您需要使用新捆綁包(new bundle)升級現有集群。確保您希望與新集群通信的每個 pod 都重新啟動, 以便它可以使用此包。要使用這個新的 信任錨包(trust anchor bundle)升級現有集群,請運行:
- linkerd upgrade --identity-trust-anchors-file=./bundle.crt | \
- kubectl apply -f -
最后,您將能夠使用您剛剛創建的信任錨包(trust anchor bundle)以及頒發者證書( issuer certificate)和密鑰(key)在新集群上安裝 Linkerd。
- linkerd install \
- --identity-trust-anchors-file bundle.crt \
- --identity-issuer-certificate-file issuer.crt \
- --identity-issuer-key-file issuer.key | \
- kubectl apply -f -
確保通過對每個集群運行 check 來驗證集群是否已成功啟動。
- linkerd check
通過 Helm 安裝多集群控制平面組件
Linkerd 的多集群組件,即 Gateway 和 Service Mirror 可以 通過 Helm 而不是 linkerd multicluster install 命令安裝。
這不僅允許進行高級配置,還允許用戶將多集群安裝捆綁為他們 現有的基于 Helm 的安裝管道的一部分。
添加 Linkerd 的 Helm 存儲庫
首先,讓我們通過運行以下命令添加 Linkerd 的 Helm repo
- # To add the repo for Linkerd2 stable releases:
- helm repo add linkerd https://helm.linkerd.io/stable
Helm 多集群安裝過程
- helm install linkerd2-multicluster linkerd/linkerd2-multicluster
chart values 將從 chart 的 values.yaml 文件中選取。
您可以通過提供您自己的 values.yaml 文件并使用 -f 選項來覆蓋該文件中的值, 或者使用 --set 標志系列覆蓋特定值。
可以在 此處 找到全套配置選項
可以通過運行以下命令來驗證安裝
- linkerd multicluster check
網關的安裝可以通過 gateway 設置禁用。默認情況下,此值為 true。
安裝額外的訪問憑證
當使用 linkerd multicluster install 將 多集群組件安裝到目標集群上時, 會創建一個服務帳戶,源集群將使用該帳戶來鏡像服務。為每個源集群使用不同的服務帳戶會很有好處,因為它使您能夠從特定源集群撤消服務鏡像訪問。可以通過 CLI 使用 linkerd multicluster allow 命令 生成額外的服務帳戶和關聯的 RBAC。
也可以通過 Helm 將 remoteMirrorServiceAccountName 值設置為 list 來完成相同的功能。
- helm install linkerd2-mc-source linkerd/linkerd2-multicluster --set remoteMirrorServiceAccountName={source1\,source2\,source3} --kube-context target
【編輯推薦】
