メッシュの外側に Istio コントロールプレーンを展開する

Istio 向けの新しいデプロイメントモデルです。

2020 年 8 月 27 日 | Lin Sun - IBM、Iris Ding - IBM 著

概要

さまざまなサービスメッシュのユーザーやベンダーと業務に携わってきた経験から、一般的なサービスメッシュには重要なペルソナが 3 つあると考えるようになりました。

サービスメッシュ制御プレーンのインストールとアップグレードを管理するメッシュオペレーター。
メッシュプラットフォームを所有し、サービス所有者がサービスメッシュを採用するための総合的な戦略と実装を決定する、プラットフォームの所有者と呼ばれることが多いメッシュ管理者。
メッシュ内で 1 つ以上のサービスを所有する、サービスの所有者と呼ばれることが多いメッシュユーザー。

バージョン 1.7 より前は、Istio では制御プレーンをメッシュ内のプライマリークラスタのいずれかで実行する必要があり、その結果メッシュオペレーターとメッシュ管理者の間に分離が生じていました。Istio 1.7 では新しい外部制御プレーンデプロイメントモデルが導入され、メッシュオペレーターが個別の外部クラスタにメッシュ制御プレーンをインストールして管理できるようになりました。このデプロイメントモデルでは、メッシュオペレーターとメッシュ管理者を明確に分離できます。これにより、Istio メッシュオペレーターはメッシュ管理者の Istio 制御プレーンを実行できるようになり、メッシュ管理者は、制御プレーンのインストールや管理を心配することなく、制御プレーンの構成をコントロールできます。このモデルはメッシュユーザーには透過的です。

外部制御プレーンデプロイメントモデル

デフォルトインストールプロファイルを使用して Istio をインストールすると、下図のように、単一クラスタに Istiod 制御プレーンがインストールされます。

Istio mesh in a single cluster — 単一クラスタ内の Istio メッシュ

Istio 1.7 の新しいデプロイメントモデルを使用すると、次の図に示すように、Istiod をメッシュサービスとは別の外部クラスターで実行できます。外部コントロールプレーンクラスターはメッシュオペレーターが所有し、メッシュ管理者はメッシュにデプロイされたサービスを実行するクラスターを所有します。メッシュ管理者は、外部コントロールプレーンクラスターにアクセスできません。メッシュオペレーターは、このステップバイステップガイドに従って、詳細をさらに探求できます。（注: Istio メンテナーによるいくつかの内部ディスカッションでは、このモデルは以前「中央 Istiod」と呼ばれていました。）

Istio mesh in a single cluster with Istiod outside — 外部コントロールプレーンクラスター内の Istiod を備えた単一クラスター Istio メッシュ

メッシュ管理者は、外部クラスター内で実行される同じ Istiod によって管理される複数のクラスターにサービスメッシュを拡張できます。この場合、メッシュクラスターのいずれもプライマリクラスターではありません。これらはすべてリモートクラスターです。ただし、そのうちの 1 つはサービスを実行することに加えて、Istio 構成クラスターとしても機能します。外部コントロールプレーンは、config cluster から Istio 構成を読み取り、Istiod は次の図に示すように、config クラスターと他のリモートクラスターの両方で実行されるデータプレーンに構成をプッシュします。

Multicluster Istio mesh with Istiod outside — 外部コントロールプレーンクラスター内の Istiod を備えたマルチクラスター Istio メッシュ

メッシュオペレーターはこのデプロイメントモデルをさらに拡張して、複数の Istiod コントロールプレーンを実行する外部クラスターから複数の Istio コントロールプレーンを管理できます

Istio meshes in single clusters with Istiod outside — 外部コントロールプレーンクラスター内の複数の Istiod コントロールプレーンを備えた複数の単一クラスター

この場合、各 Istiod はそれぞれのリモートクラスターを管理します。メッシュオペレーターは、外部コントロールプレーンクラスターに独自の Istio メッシュをインストールし、リモートクラスターから各 Istiod コントロールプレーンに対応するトラフィックをルーティングする istio-ingress ゲートウェイを構成することもできます。これについては、これらのステップをご覧ください。

結論

外部コントロールプレーンデプロイメントモデルを使用すると、Istio で運用上の専門知識を持つメッシュオペレーターによって Istio コントロールプレーンを実行および管理でき、サービスメッシュ制御とデータプレーンを明確に分離できます。メッシュオペレーターは、独自のクラスターや他の環境でコントロールプレーンを実行し、メッシュ管理者にサービスとしてコントロールプレーンを提供できます。メッシュオペレーターは、単一クラスター内で複数の Istiod コントロールプレーンを実行し、独自の Istio メッシュをデプロイし、istio-ingress ゲートウェイを使用してこれらの Istiod コントロールプレーンへのアクセスを制御できます。ここで提供される例を通じて、メッシュオペレーターはさまざまな実装の選択肢を検討し、自分にとって最適なものを選択できます。

この新しいモデルでは、メッシュ管理者が制御プレーン自体を操作せずにメッシュ設定に集中できるようになることで、メッシュ管理の複雑さが軽減されます。メッシュ管理者は引き続きメッシュ全体で設定と Istio リソースを構成できますが、外部の制御プレーンクラスタにアクセスする必要はありません。メッシュユーザーは変更を加えずにサービスメッシュを操作し続けることができます。