Istio "embraces the monolith!"

Istio 1.5 erschienen: Neue Version kommt mit monolithischer Control Plane

Jean Kiltz

© Shutterstock/De Visu

Istio 1.5 verändert seine Control Plane hin zu einem einzigen Binary. Damit soll das Installieren, Verwalten und Upgraden von Istio erleichtert werden. Dazu kommen noch weitere neue Features, wie z.B. Telemetry v2.

Mit dem quartalsmäßigen Update auf Version 1.5 bringt das Service Mesh Istio jede Menge Features mit sich. Durch diese versprechen sich die Entwickler eine verbesserte Benutzerfreundlichkeit, Telemetrie, Traffic Control und mehr Sicherheit. Das wohl markanteste Feature dürfte die Konsolidierung aller Microservices der Control Plane auf einen einzigen Binary namens Istiod sein.

Istiod

Wie bereits gesagt, haben sich die Macher von Istio dazu entschieden, die Control Plane architektonisch zu konsolidieren. Anstatt mehrerer Microservices wird es nur noch ein Binary geben. Durch den Wegfall einiger dieser Komponenten, sollen Operator das Service Mesh mit weniger Aufwand verwenden können. Gleichzeitig sollen die verbleibenden Komponenten leichter zu debuggen und zu verstehen sein.

Service-Mesh-Nutzer sollen sich explizit keine Sorgen machen, da alle API- und Runtime-Eigenschaften mit den vorherigen Komponenten kohärent bleiben. In der folgenden Gegenüberstellung schauen wir uns an, wie die Entwickler von Istiod dies erreichen wollen:

Istio 1.4

In Istio 1.4 bestand die Control Plane aus den Microservices Mixer, Pilot, Galley und Citadel. Die Services Pilot, Galley und Citadel waren mit dem Mixer verbunden, der das topologische Zentrum von Istio darstellte. Mixer war sozusagen das Bindeglied zwischen der Control Plane und der Data Plane. Weiterhin war Mixer für die Erweiterbarkeit von Istio zuständig. Der Pilot sorgte für die Konfiguration der Sidecar-Proxies. Citadel hingegen sorgte für die Sicherheit. Galley stellte die Validierung der Konfigurationsdaten.

Quelle: IBM

Istio 1.5

Wie man unten auf dem Modell erkennen kann, hat sich die Control Plane im Gegensatz zu Version 1.4 enorm vereinfacht. Istiod übernimmt das Laden von Proxy-Sidecars, die Berechnung des Meshes, die Sicherheit und die Validierung. Das Binary bildet somit die gesamte Kontrollebene ab, während sich auf der Datenebene ebenfalls einiges ändert, etwa die Mixer-Adapter-Plug-ins. Diese werden innerhalb des Meshes als Envoy-Plug-ins neu implementiert.

Wer einen Multicluster benutzt, sollte übrigens auf Version 1.5.1 warten, da die aktuelle Version von Istio sowohl in geteilten als auch in kopierten Control Planes für Probleme sorgen kann.

Quelle: IBM

Erhöhte Sicherheit und Observability

Mit dem Update von Istio soll sich auch die Sicherheit des Service Mesh verbessern. Alle Sicherheits-Policies sind ab Istio 1.5 in der Betaphase angekpommen, das Service Gateway (SDS) läuft in der neuesten Version stabil. Gemäß der neuen Prämisse möglichst wenig Fragmentierung zu haben, wurden der Node- und der Istio-Agent ebenfalls in einem einzigen Binary kombiniert. Das bedeutet, dass künftig keine PodSecurityPolicy mehr konfiguriert werden muss. Auch der Umgang mit Zertifikaten hat sich geändert. Mussten vorher noch jedem Pod manuell Zertifikate zugewiesen werden, weist Istiod jedem Pod automatisch ein einzigartiges Zertifikat zu.

Telemetry v2, das mit Istio 1.5 eingeführt wird, ist der Versuch, die Observability in Istio zu verbessern. Das nun standardmäßig eingesetzte Telemtriesystem soll die Latenz und die CPU-Belastung um etwa die Hälfte reduzieren – Letzteres hängt vor allem mit dem Ausbau des Mixer zusammen.

Wer sich weiter über die neueste Version des Open Source verfügbaren Service Mesh informieren möchte, findet nähere Informationen zum Update in den Change Notes.

Geschrieben von
Jean Kiltz
Jean Kiltz ist seit März 2020 Redakteur bei Software & Support Media. Er hat Geschichte und Kulturanthropologie an der Johannes Gutenberg-Universität Mainz studiert. Danach war er beim ZDF als First-Level-IT-Support angestellt.
Kommentare

Hinterlasse einen Kommentar

avatar
4000
  Subscribe  
Benachrichtige mich zu: