[[404861]]

 Linkerd 是 Kubernetes 的服務(wù)網(wǎng)格。它通過為您提供運(yùn)行時(shí)調(diào)試(runtime debugging)、可觀察性(observability)、可靠性(reliability)和安全性(security)，使運(yùn)行服務(wù)更輕松、更安全 — 所有這些都不需要對(duì)您的代碼進(jìn)行任何更改。

服務(wù)網(wǎng)格是用于處理服務(wù)間通信的專用基礎(chǔ)設(shè)施層。它負(fù)責(zé)通過包含現(xiàn)代云原生應(yīng)用程序的復(fù)雜服務(wù)拓?fù)鋪砜煽康貍鬟f請(qǐng)求。實(shí)際上，服務(wù)網(wǎng)格通常通過一組輕量級(jí)網(wǎng)絡(luò)代理來實(shí)現(xiàn)，這些代理與應(yīng)用程序代碼一起部署，而不需要感知應(yīng)用程序本身。— Willian Morgan Buoyant CEO

為什么我們需要 Service Mesh?

1.What's a service mesh? And why do I need one? 一文中做了詳細(xì)的解釋，這里不再贅述。擁抱云原生，微服務(wù)已進(jìn)入 Service Mesh 時(shí)代。

https://buoyant.io/2020/10/12/what-is-a-service-mesh/

為什么折騰 Linkerd2 而不是 Istio?

2.Benchmarking Linkerd and Istio

https://linkerd.io/2021/05/27/linkerd-vs-istio-benchmarks/

部署環(huán)境

• 騰訊云 TKE K8S 集群(或你自建的私有 K8S 集群)
• CentOS 7.x

可先快速過一個(gè)官方上手教程，本文是基于此在騰訊云的實(shí)戰(zhàn)詳解。

• 快速上手 Linkerd v2 Service Mesh(服務(wù)網(wǎng)格)
• Getting Started

https://linkerd.io/2.10/getting-started

查看集群版本

kubectl version --short

Client Version: v1.16.9 
Server Version: v1.16.9 

Linkerd2 CLI 安裝

首先我們需要下載并安裝最新版本的 linkerd CLI。

我們直接進(jìn)入 Linkerd2 版本發(fā)行頁(yè)面，查看最新版：

https://github.com/linkerd/linkerd2/releases/

這里我們下載 linkerd2-cli-edge-21.6.1-linux-amd64。

https://github.com/linkerd/linkerd2/releases/download/edge-21.6.1/linkerd2-cli-edge-21.6.1-linux-amd64

安裝：

wget -c https://github.com/linkerd/linkerd2/releases/download/edge-21.6.1/linkerd2-cli-edge-21.6.1-linux-amd64 
 
mv linkerd2-cli-edge-21.6.1-linux-amd64 /usr/local/bin/linkerd 
 
chmod 755 /usr/local/bin/linkerd 

現(xiàn)在我們運(yùn)行 linkerd，會(huì)看到如下信息：

Usage: 
  linkerd [command] 
 
Available Commands: 
  check        Check the Linkerd installation for potential problems 
  completion   Output shell completion code for the specified shell (bash, zsh or fish) 
  diagnostics  Commands used to diagnose Linkerd components 
  help         Help about any command 
  identity     Display the certificate(s) of one or more selected pod(s) 
  inject       Add the Linkerd proxy to a Kubernetes config 
  install      Output Kubernetes configs to install Linkerd 
  install-cni  Output Kubernetes configs to install Linkerd CNI 
  jaeger       jaeger manages the jaeger extension of Linkerd service mesh 
  multicluster Manages the multicluster setup for Linkerd 
  profile      Output service profile config for Kubernetes 
  repair       Output the secret/linkerd-config-overrides resource if it has been deleted 
  uninject     Remove the Linkerd proxy from a Kubernetes config 
  uninstall    Output Kubernetes resources to uninstall Linkerd control plane 
  upgrade      Output Kubernetes configs to upgrade an existing Linkerd control plane 
  version      Print the client and server version information 
  viz          viz manages the linkerd-viz extension of Linkerd service mesh 
 
Flags: 
      --api-addr string            Override kubeconfig and communicate directly with the control plane at host:port (mostly for testing) 
      --as string                  Username to impersonate for Kubernetes operations 
      --as-group stringArray       Group to impersonate for Kubernetes operations 
      --cni-namespace string       Namespace in which the Linkerd CNI plugin is installed (default "linkerd-cni") 
      --context string             Name of the kubeconfig context to use 
  -h, --help                       help for linkerd 
      --kubeconfig string          Path to the kubeconfig file to use for CLI requests 
  -L, --linkerd-namespace string   Namespace in which Linkerd is installed ($LINKERD_NAMESPACE) (default "linkerd") 
      --verbose                    Turn on debug logging 
 
Additional help topics: 
  linkerd alpha        experimental subcommands for Linkerd 
 
Use "linkerd [command] --help" for more information about a command. 

安裝 Linkerd2 控制平面

首先，我們需要驗(yàn)證下集群，使用 linkerd check --pre，正常會(huì)輸出如下信息：

Linkerd core checks 
=================== 
 
kubernetes-api 
-------------- 
√ can initialize the client 
√ can query the Kubernetes API 
 
kubernetes-version 
------------------ 
√ is running the minimum Kubernetes API version 
√ is running the minimum kubectl version 
 
pre-kubernetes-setup 
-------------------- 
√ control plane namespace does not already exist 
√ can create non-namespaced resources 
√ can create ServiceAccounts 
√ can create Services 
√ can create Deployments 
√ can create CronJobs 
√ can create ConfigMaps 
√ can create Secrets 
√ can read Secrets 
√ can read extension-apiserver-authentication configmap 
√ no clock skew detected 
 
pre-kubernetes-capability 
------------------------- 
√ has NET_ADMIN capability 
√ has NET_RAW capability 
 
linkerd-version 
--------------- 
√ can determine the latest version 
√ cli is up-to-date 
 
Status check results are √ 

部署控制平面：

linkerd install | kubectl apply -f - 

查看 linkerd 命名空間的 pod 部署情況：

kubectl get po -n linkerd 
 
NAME                                      READY   STATUS    RESTARTS   AGE 
linkerd-destination-6c6bf4fc4-282gd       3/3     Running   0          5m 
linkerd-identity-7cd9998969-cvzc8         2/2     Running   0          5m 
linkerd-proxy-injector-855b9b6747-r8pcz   2/2     Running   0          5m 

同樣，我們使用 linkerd check 檢查一下。

ok, 接下來我們部署一些常用的擴(kuò)展，增強(qiáng)我們控制平面的功能。

安裝 Linkerd2 控制平面常用擴(kuò)展

grafana，prometheus，jaeger 等的部署(針對(duì) Linkerd 2 的相關(guān)指標(biāo))

使用如下命令：

linkerd viz install | kubectl apply -f - # on-cluster metrics stack 
 
kubectl get po -n linkerd-viz #審查 namespace, 直到所 pod 都 ready 
 
# grafana-5659477d88-txq5b        0/2     PodInitializing   0          14m 
# metrics-api-6fcb849dc-k9sw5     2/2     Running           0          14m 
# prometheus-798d8d4698-4x8h2     2/2     Running           0          14m 
# tap-f5984d7f7-fkpf9             0/2     PodInitializing   0          14m 
# tap-injector-6b455dd64b-2c82n   0/2     PodInitializing   0          14m 
# web-657dbffb8f-7d2gr            0/2     PodInitializing   0          14m 

如果出現(xiàn)某一個(gè) pod 出現(xiàn)錯(cuò)誤，我們可以通過 kubectl describe po 來獲取詳細(xì)錯(cuò)誤信息，如：

kubectl describe po grafana-5659477d88-txq5b -n linkerd-viz 

比如說，我這里如下鏡像就被卡住了(騰訊云)：

cr.l5d.io/linkerd/grafana:edge-21.6.1 
cr.l5d.io/linkerd/tap:edge-21.6.1 
cr.l5d.io/linkerd/web:edge-21.6.1 

大家可以(科學(xué)上網(wǎng))手動(dòng)拉取。

同樣，我們?cè)俨渴饍蓚€(gè)可選的擴(kuò)展。

部署 jaeger：

## optional 
linkerd jaeger install | kubectl apply -f - # Jaeger collector and UI 
 
kubectl get po -n linkerd-jaeger #審查 namespace 
# OR: 
# docker pull cr.l5d.io/linkerd/jaeger-webhook:edge-21.6.1 
# docker pull jaegertracing/all-in-one:1.19.2 

部署 multicluster：

linkerd multicluster install | kubectl apply -f - # multi-cluster components 
kubectl get po -n linkerd-multicluster 
 
# 果然報(bào)錯(cuò)了 
linkerd-gateway-bcb5888c5-ws6wz   1/2     ErrImagePull   0          21s 

查看報(bào)錯(cuò)信息：

kubectl describe po linkerd-gateway-bcb5888c5-ws6wz -n linkerd-multicluster 
# Normal   BackOff    21s (x5 over 2m13s)  kubelet, k8s-master-01  Back-off pulling image "gcr.io/google_containers/pause" 
# Warning  Failed     21s (x5 over 2m13s)  kubelet, k8s-master-01  Error: ImagePullBackOff 

很明顯(gcr.io/google_containers/pause)，我們需要科學(xué)上網(wǎng)(具體怎么做，太多教程了，這里不討論)。

還有一個(gè)問題比較棘手的是，這里即使 gcr.io/google_containers/pause 已經(jīng)存在于本地，部署時(shí)還是回去 gcr.io 拉取。

所以，下面提供另一種方式來弄(沒連外網(wǎng)的情況下)。

使用 kustomize 解決 linkerd-gateway (騰訊云部署)不成功的問題

kustomize 如何安裝，大家自行查看 https://kustomize.io。

首先，導(dǎo)出 linkerd multicluster 部署 yaml 檔。

linkerd multicluster install > linkerd-multicluster.yaml 

然后，我們給它打個(gè)補(bǔ)丁patch-linkerd-multicluster.yaml：

apiVersion: apps/v1 
kind: Deployment 
metadata: 
  annotations: 
    linkerd.io/created-by: linkerd/cli edge-21.6.1 
  labels: 
    app.kubernetes.io/name: gateway 
    app.kubernetes.io/part-of: Linkerd 
    app.kubernetes.io/version: edge-21.6.1 
    linkerd.io/control-plane-component: gateway 
    app: linkerd-gateway 
    linkerd.io/extension: multicluster 
  name: linkerd-gateway 
  namespace: linkerd-multicluster 
spec: 
  replicas: 1 
  selector: 
    matchLabels: 
      app: linkerd-gateway 
  template: 
    metadata: 
      annotations: 
        linkerd.io/created-by: linkerd/cli edge-21.6.1 
        linkerd.io/inject: enabled 
        config.linkerd.io/proxy-require-identity-inbound-ports: "4191,4143" 
        config.linkerd.io/enable-gateway: "true" 
      labels: 
        app: linkerd-gateway 
    spec: 
      containers: 
        - name: pause 
          image: ccr.ccs.tencentyun.com/cloud-native/google-pause 
      serviceAccountName: linkerd-gateway 

ccr.ccs.tencentyun.com/cloud-native/google-pause，這是筆者上傳到騰訊云的公開鏡像。

新建 kustomization.yaml：

resources: 
- linkerd-multicluster.yaml 
patchesStrategicMerge: 
- patch-linkerd-multicluster.yaml 

使用 kustomize 重新部署：

kustomize build . | kubectl apply -f - 

重新查看一下：

kubectl get po -n linkerd-multicluster 
# linkerd-gateway-6c8dc7bb49-6tghc   2/2     Running   0          92s 

完美解決。

使用 Traefik Ingressroute 導(dǎo)出 linkerd-web 管理面板

關(guān)于 traefik v2 的部署，這里不做贅述。

使用 kustomize 對(duì) linkerd viz 部署進(jìn)行更新

我這里使用的域名是 linkerd-web.hacker-linner.com。

導(dǎo)出 yaml 檔：

linkerd viz install > linkerd-viz.yaml 

打補(bǔ)丁，patch-linkerd-viz-web.yaml：

apiVersion: apps/v1 
kind: Deployment 
metadata: 
  annotations: 
    linkerd.io/created-by: linkerd/helm edge-21.6.1 
  labels: 
    linkerd.io/extension: viz 
    app.kubernetes.io/name: web 
    app.kubernetes.io/part-of: Linkerd 
    app.kubernetes.io/version: edge-21.6.1 
    component: web 
    namespace: linkerd-viz 
  name: web 
  namespace: linkerd-viz 
spec: 
  replicas: 1 
  selector: 
    matchLabels: 
      linkerd.io/extension: viz 
      component: web 
      namespace: linkerd-viz 
  template: 
    metadata: 
      annotations: 
        linkerd.io/created-by: linkerd/helm edge-21.6.1 
      labels: 
        linkerd.io/extension: viz 
        component: web 
        namespace: linkerd-viz 
    spec: 
      nodeSelector: 
        beta.kubernetes.io/os: linux 
      containers: 
      - args: 
        - -linkerd-metrics-api-addr=metrics-api.linkerd-viz.svc.cluster.local:8085 
        - -cluster-domain=cluster.local 
        - -grafana-addr=grafana.linkerd-viz.svc.cluster.local:3000 
        - -controller-namespace=linkerd 
        - -viz-namespace=linkerd-viz 
        - -log-level=info 
        - -enforced-host=^(linkerd-web\.hacker-linner\.com|localhost|127\.0\.0\.1|web\.linkerd-viz\.svc\.cluster\.local|web\.linkerd-viz\.svc|\[::1\])(:\d+)?$ 
        image: cr.l5d.io/linkerd/web:edge-21.6.1 
        imagePullPolicy: IfNotPresent 
        livenessProbe: 
          httpGet: 
            path: /ping 
            port: 9994 
          initialDelaySeconds: 10 
        name: web 
        ports: 
        - containerPort: 8084 
          name: http 
        - containerPort: 9994 
          name: admin-http 
        readinessProbe: 
          failureThreshold: 7 
          httpGet: 
            path: /ready 
            port: 9994 
        resources: 
        securityContext: 
          runAsUser: 2103 
      serviceAccountName: web 

更新 kustomization.yaml：

resources: 
- linkerd-viz.yaml 
- linkerd-multicluster.yaml 
patchesStrategicMerge: 
- patch-linkerd-viz-web.yaml 
- patch-linkerd-multicluster.yaml 

重新部署

kustomize build . | kubectl apply -f - 

設(shè)置 Ingressroute & Basic Auth

ingressroute-viz.yaml 

apiVersion: v1 
kind: Secret 
metadata: 
  name: linkerd-authsecret 
  namespace: linkerd-viz 
type: Opaque 
stringData: 
  users: # 這里使用 htpasswd -nb 進(jìn)行設(shè)置 
--- 
apiVersion: traefik.containo.us/v1alpha1 
kind: Middleware 
metadata: 
  name: linkerd-basic-auth 
  namespace: linkerd-viz 
spec: 
  basicAuth: 
    secret: linkerd-authsecret 
--- 
apiVersion: traefik.containo.us/v1alpha1 
kind: Middleware 
metadata: 
  name: l5d-header-middleware 
  namespace: linkerd-viz 
spec: 
  headers: 
    customRequestHeaders: 
      l5d-dst-override: "web.linkerd-viz.svc.cluster.local:8084" 
--- 
apiVersion: traefik.containo.us/v1alpha1 
kind: IngressRoute 
metadata: 
  name: linkerd-web-ingress-route 
  namespace: linkerd-viz 
spec: 
  entryPoints: 
    - websecure 
  tls: 
    secretName: hacker-linner-cert-tls 
  routes: 
    - match: Host(`linkerd-web.hacker-linner.com`) 
      kind: Rule 
      services: 
        - name: web 
          port: 8084 
      middlewares: 
        - name: l5d-header-middleware 
        - name: linkerd-basic-auth 

部署：

kubectl apply -f ingressroute-viz.yaml 

部署 emojivoto

運(yùn)行如下命令：

curl -sL https://run.linkerd.io/emojivoto.yml \ 
  | kubectl apply -f 

審查部署：

kubectl get po -n  emojivoto 
# OR 
# docker pull docker.l5d.io/buoyantio/emojivoto-emoji-svc:v11 
# docker pull docker.l5d.io/buoyantio/emojivoto-web:v11 
# docker pull docker.l5d.io/buoyantio/emojivoto-voting-svc:v11 
 
emoji-6b776684f5-nnflg      1/1     Running   0          6m4s 
vote-bot-64695c4dc6-jn8ln   1/1     Running   0          6m4s 
voting-7778876bdb-kdvsx     1/1     Running   0          6m4s 
web-6f8d774656-9dsw7        1/1     Running   0          6m4s 

設(shè)置 Ingressroute

這里是：https://emojivoto.hacker-linner.com

emojivoto-ingressroute.yaml 

apiVersion: traefik.containo.us/v1alpha1 
kind: IngressRoute 
metadata: 
  name: emojivoto-web-ingress-route 
  namespace: emojivoto 
spec: 
  entryPoints: 
    - websecure 
  tls: 
    secretName: hacker-linner-cert-tls 
  routes: 
    - match: Host(`emojivoto.hacker-linner.com`) 
      kind: Rule 
      services: 
        - name: web-svc 
          port: 80 

Service Mesh(Linkerd) 注入

添加 Linkerd 到 emojivoto：

kubectl get -n emojivoto deploy -o yaml \ 
  | linkerd inject - \ 
  | kubectl apply -f - 

審查一下是否一切正常：

linkerd -n emojivoto check --proxy 

回到面板查看 emojivoto：

完美搞定，一切正常。

最后看一下 Grafana 面板：

Refs

• What's a service mesh? And why do I need one?
• https://buoyant.io/2020/10/12/what-is-a-service-mesh
• 快速上手 Linkerd v2 Service Mesh(服務(wù)網(wǎng)格)
• Getting Started
• https://linkerd.io/2.10/getting-started