Istio Service 健康检查

此任务展示了如何使用 Kubernetes liveness 和 readiness 探针在 Istio Service 上进行健康检查。

在 Kubernetes 中存在三种 liveness 和 readiness 探针：

命令
http 请求
tcp 请求

此任务分别提供在启用和禁用 Istio 双向 TLS 认证时，前两个选项的示例。

开始之前

了解 Kubernetes liveness 和 readiness 探针，Istio 认证策略和双向 TLS 认证的概念。
具有一个安装了 Istio 的 Kubernetes 集群，但没有启用全局双向 TLS（例如按照安装步骤中的描述使用 istio-demo.yaml，或者在使用 Helm 时将 global.mtls.enabled 设置为 false）。

使用命令选项的 liveness 和 readiness 探针

在本节中，我们将展示如何在禁用双向 TLS 时配置健康检查，然后再展示在启用双向 TLS 时它的工作情况。

禁用双向 TLS

运行此命令以在默认 namespace 中部署 liveness：

$ kubectl apply -f <(istioctl kube-inject -f @samples/health-check/liveness-command.yaml@)

等待一分钟，然后检查 pod 状态

$ kubectl get pod
NAME                             READY     STATUS    RESTARTS   AGE
liveness-6857c8775f-zdv9r        2/2       Running   0           1m

‘RESTARTS’ 列中的数字 ‘0’ 表示 liveness 探针工作正常。Readiness 探针的工作方式相同，您可以相应地修改 liveness-command.yaml 以自行尝试。

启用双向 TLS

运行此命令以在默认 namespace 中启用 service 的双向 TLS。

cat <<EOF | istioctl create -f -
apiVersion: "authentication.istio.io/v1alpha1"
kind: "Policy"
metadata:
  name: "example-1"
  namespace: "default"
spec:
  peers:
  - mtls:
EOF

运行此命令重新部署该 service：

$ kubectl delete -f <(istioctl kube-inject -f @samples/health-check/liveness-command.yaml@)
$ kubectl apply -f <(istioctl kube-inject -f @samples/health-check/liveness-command.yaml@)

并重复上一小节中的相同步骤以验证 liveness 探针是否工作正常。

使用 http 请求选项的 liveness 和 readiness 探针

本节介绍了如何使用 HTTP 请求选项配置健康检查。

禁用双向 TLS 策略

运行此命令删除双向 TLS 策略。

cat <<EOF | istioctl delete -f -
apiVersion: "authentication.istio.io/v1alpha1"
kind: "Policy"
metadata:
  name: "example-1"
  namespace: "default"
spec:
  peers:
  - mtls:
EOF

运行此命令以在默认 namespace 中部署 liveness：

$ kubectl apply -f <(istioctl kube-inject -f @samples/health-check/liveness-http.yaml@)

等待一分钟，然后检查 pod 状态，查看 ‘RESTARTS’ 列为 ‘0’ 以确保 liveness 工作正常。

$ kubectl get pod
NAME                             READY     STATUS    RESTARTS   AGE
liveness-http-975595bb6-5b2z7c   2/2       Running   0           1m

启用双向 TLS 策略