点击查看目录
本文为翻译文章,点击查看原文。
编者按
本文阐述了如何使用 Helm 和 Istio 实现手动金丝雀发布。
我近期工作的项目目标是为微服务应用的金丝雀/分阶段发布制定一套流水线。而这些微服务被部署在Azure Kubernetes 集群上(AKS)。
本文假设您熟悉Kubernetes,Helm和Istio 流量管理。
这篇文章描述了发布的基本要求,为这些要求选择的发布策略,以及每个阶段实现细节。
在后面的文章中,我将详细介绍本文中描述的发布阶段如何对应到Azure DevOps 发布流水线。
关键要求
高级要求是将应用程序服务通过金丝雀版本发布到生产环境中。
基本要求/限制:
每个 Micro 服务都应打包为单独的Helm图表。
不同的团队管理不同的微服务,每个团队应该能够独立于其他微服务发布。
服务网格Istio安装在 Kubernetes 集群上
在项目的初始阶段,只有Helm和Istio可用于集群。在此阶段,不使用类似flagger这样的工具。
团队可以使用 Helm chart 分阶段的发布新版本应用程序:
- 10% 的流量路由到新版本
- 90% 的流量路由到新版本
- 100% 的流量路由到新版本
在每个阶段之后,需要手动判断以进入下一个发布阶段
每个阶段都可以使用 Helm chart 回滚到前一个生产版本
发布微服务资源
每个微服务都需要如下 Kubernetes 资源:
当前版本 deployment,在新版本发布之前稳定运行的版本,承载 100% 的流量。
金丝雀 deployment,在发布之前是 0 个实例,不承载流量。当发布时,承载流量会逐步增至 10%、90%、100%。
service,与微服务当前 deployment 对应
Istio Virtual Service,用于控制当前 deployment 和金丝雀 deployment 流量分配的权重
Istio Destination Rule,包含当前 deployment 和金丝雀 deployment 的子集(subset)
Istio Gateway(可选),如果服务需要从容器集群外被访问则需要搭建 gateway
列出上述资源,有助于我们理解第一章的实现细节。
查看 GitHub 仓库
这个仓库包含上述微服务的样例代码,Dockerfile,Helm chart 以及每个阶段执行的 Helm 命令。同时,仓库还包含了由 Helm Chart 的 helm template 命令生成的 Kubernetes 示例资源。
使用的示例服务是 Istio 产品页面应用程序,应用程序代码和 docker 文件来自 Istio GitHub 仓库。
仓库结构
- 产品页面应用的源码
- 应用容器的 Dockerfile
- Helm Chart 文件夹包含 Kubernetes 和 Istio 资源
- helm-commands.sh,包含各阶段 helm 命令(rollback 命令、helm template 命令)
- helm-template-output.yaml,包含由 helm template 命令生成的 Kubernetes 示例资源
关键内容
Helm Values
让我们看下 Helm values 文件:
service:
name: product-page-svc
port: 9080
productionDeployment:
replicaCount: 2
weight: 100
image:
repository: myacrepo.azurecr.io/bookinfo/productpage
tag: 83
pullPolicy: IfNotPresent
canaryDeployment:
replicaCount: 0
weight: 0
image:
repository: myacrepo.azurecr.io/bookinfo/productpage
tag: 83
pullPolicy: IfNotPresent
service 部分包含了 service 名称。生产部署包含了副本数量、路由转发权重、容器镜像仓库名称、以及镜像 tag。它跟金丝雀部署有一点类似。上面的值表示当处于稳定状态时,100% 的流量被路由转发到现有生产版本 Pod。而金丝雀版本则被设置为 0 副本,并且与生产版本使用相同镜像。当使用金丝雀发布时,金丝雀版本将被设置为使用新版本镜像。
在这个案例中,容器镜像打 tag 策略是使用对应的 build id,然后把它推送到镜像仓库。所以如果应用程序的新版本被触发构建,则下一个版本容器镜像 tag 为 84(83+1)。
我们也可以选择其他适合的镜像 tag 策略。
生产版本以及金丝雀版本 Deployment 文件
生产版本 Deployment 文件
apiVersion: apps/v1beta2
kind: Deployment
metadata:
name: productpage
labels:
app: productpage
canary: "false"
spec:
replicas: 2
selector:
matchLabels:
app: productpage
canary: "false"
template:
metadata:
labels:
app: productpage
canary: "false"
spec:
containers:
- name: productpage
image: "myacrepo.azurecr.io/bookinfo-canary/productpage:83"
imagePullPolicy: IfNotPresent
ports:
- name: http
containerPort: 9080
protocol: TCP
....
金丝雀版本 Deployment 文件
apiVersion: apps/v1beta2
kind: Deployment
metadata:
name: productpagecanary
labels:
app: productpage
canary: "true"
chart: productpage-0.1.0
spec:
replicas: 0
selector:
matchLabels:
app: productpage
canary: "true"
template:
metadata:
labels:
app: productpage
canary: "true"
spec:
containers:
- name: productpagecanary
image: "myacrepo.azurecr.io/bookinfo-canary/productpage:83"
imagePullPolicy: IfNotPresent
ports:
- name: http
containerPort: 9080
protocol: TCP
.....
两个 Deployment 文件的关键区别在于,生产版本 canary 标签的值为 false,而金丝雀版本 canary 标签的值为 true。另一个区别是在稳定状态下,金丝雀版本副本实例数量为 0,所以不会运行任何金丝雀版本的 pod。
Kubernetes Service
apiVersion: v1
kind: Service
metadata:
name: product-page-svc
spec:
ports:
- port: 9080
targetPort: http
protocol: TCP
name: http
selector:
app: productpage
......
Istio Destination Rule
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
.........
spec:
host: product-page-svc.bookinfo-k8s-helm-istio-canary.svc.cluster.local
.......
subsets:
- name: production
labels:
canary: "false"
- name: canary
labels:
canary: "true"
Istio destination rule 描述了生产版本和金丝雀版本两个版本子集(subset)。生产版本子集的流量将会被转发给 canary 标签值为 false 的 pod。金丝雀版本子集的流量将会转发给 canary 标签值为 true 的 pod。
Destination rule 中的 host 是 service 的 FQDN,由 service 名称和 Kubernetes namespace 构成。
Istio Virtual Service
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
...
spec:
hosts:
- product-page-svc.bookinfo-k8s-helm-istio-canary.svc.cluster.local
gateways:
- product-page
http:
- route:
- destination:
host: product-page-svc.bookinfo-k8s-helm-istio-canary.svc.cluster.local
subset: production
port:
number: 9080
weight: 100
- destination:
host: product-page-svc.bookinfo-k8s-helm-istio-canary.svc.cluster.local
subset: canary
port:
number: 9080
weight: 0
Virtual service 控制着生产版本与金丝雀版本之间的流量分配比例。
发布阶段的细节
在阶段概览图中用黄色高亮标注出上一节介绍的变化值。接下来我们将 docker 镜像 tag 从当前的 83 升级至 84。
阶段 1:稳定状态,100% 流量转发给应用当前部署的生产版本。没有版本正在发布,金丝雀版本为 0 个副本,并且不被转发任何流量。
Helm 命令
helm upgrade --install --namespace bookinfo-k8s-helm-istio-canary --values ./productpage/chart/productpage/values.yaml --set productionDeployment.image.repository=myacrepo.azurecr.io/bookinfo-canary/productpage,productionDeployment.image.tag=83,productionDeployment.weight=100,productionDeployment.replicaCount=2,canaryDeployment.image.repository=myacrepo.azurecr.io/bookinfo-canary/productpage,canaryDeployment.image.tag=83,canaryDeployment.replicaCount=0,canaryDeployment.weight=0 --wait productpage ./productpage/chart/productpage
阶段概览
阶段 2:正在发布,金丝雀版本副本数量被设置为 2 个,它使用新版应用镜像(tag 84)。10% 的流量被转发给金丝雀版本 pod,其余 90% 的流量被转发给原来的生产版本 pod。
Helm 命令
helm upgrade --install --namespace bookinfo-k8s-helm-istio-canary --values ./productpage/chart/productpage/values.yaml --set productionDeployment.image.repository=myacrepo.azurecr.io/bookinfo-canary/productpage,productionDeployment.image.tag=83,productionDeployment.weight=90,productionDeployment.replicaCount=2,canaryDeployment.image.repository=myacrepo.azurecr.io/bookinfo-canary/productpage,canaryDeployment.image.tag=84,canaryDeployment.replicaCount=2,canaryDeployment.weight=10 --wait productpage ./productpage/chart/productpage
阶段概览
阶段 3:90% 流量被转发给金丝雀版本 pod,10% 流量被转发给原有生产版本 pod。
Helm 命令
helm upgrade --install --namespace bookinfo-k8s-helm-istio-canary --values ./productpage/chart/productpage/values.yaml --set productionDeployment.image.repository=myacrepo.azurecr.io/bookinfo-canary/productpage,productionDeployment.image.tag=83,productionDeployment.weight=10,productionDeployment.replicaCount=2,canaryDeployment.image.repository=myacrepo.azurecr.io/bookinfo-canary/productpage,canaryDeployment.image.tag=84,canaryDeployment.replicaCount=2,canaryDeployment.weight=90 --wait productpage ./productpage/chart/productpage
阶段概览
阶段 4:100% 流量被转发给金丝雀版本 pod
Helm 命令
helm upgrade --install --namespace bookinfo-k8s-helm-istio-canary --values ./productpage/chart/productpage/values.yaml --set productionDeployment.image.repository=myacrepo.azurecr.io/bookinfo-canary/productpage,productionDeployment.image.tag=83,productionDeployment.weight=0,productionDeployment.replicaCount=2,canaryDeployment.image.repository=myacrepo.azurecr.io/bookinfo-canary/productpage,canaryDeployment.image.tag=84,canaryDeployment.replicaCount=2,canaryDeployment.weight=100 --wait productpage ./productpage/chart/productpage
阶段概览
阶段 5:当 100% 流量被转发给金丝雀版本后,对生产版本执行滚动更新,将镜像 tag 更新为 84。
这一步需要在将流量切回生产部署版本之前操作。
Helm 命令
helm upgrade --install --namespace bookinfo-k8s-helm-istio-canary --values ./productpage/chart/productpage/values.yaml --set productionDeployment.image.repository=myacrepo.azurecr.io/bookinfo-canary/productpage,productionDeployment.image.tag=84,productionDeployment.weight=0,productionDeployment.replicaCount=2,canaryDeployment.image.repository=myacrepo.azurecr.io/bookinfo-canary/productpage,canaryDeployment.image.tag=84,canaryDeployment.replicaCount=2,canaryDeployment.weight=100 --wait productpage ./productpage/chart/productpage
阶段概览
阶段 6:将 100% 流量切换回生产版本 pod,而此时生产版本 pod 已经使用最新应用镜像(tag 84)。
helm upgrade --install --namespace bookinfo-k8s-helm-istio-canary --values ./productpage/chart/productpage/values.yaml --set productionDeployment.image.repository=myacrepo.azurecr.io/bookinfo-canary/productpage,productionDeployment.image.tag=84,productionDeployment.weight=100,productionDeployment.replicaCount=2,canaryDeployment.image.repository=myacrepo.azurecr.io/bookinfo-canary/productpage,canaryDeployment.image.tag=84,canaryDeployment.replicaCount=2,canaryDeployment.weight=0 --wait productpage ./productpage/chart/productpage
阶段概览
阶段 7:新的稳定状态,金丝雀版本副本数量再次被修改为 0,100% 流量被转发给最新应用生产版本(容器镜像 tag 为 84)。
Helm 命令
helm upgrade --install --namespace bookinfo-k8s-helm-istio-canary --values ./productpage/chart/productpage/values.yaml --set productionDeployment.image.repository=myacrepo.azurecr.io/bookinfo-canary/productpage,productionDeployment.image.tag=84,productionDeployment.weight=100,productionDeployment.replicaCount=2,canaryDeployment.image.repository=myacrepo.azurecr.io/bookinfo-canary/productpage,canaryDeployment.image.tag=84,canaryDeployment.replicaCount=0,canaryDeployment.weight=0 --wait productpage ./productpage/chart/productpage
阶段概览
任一阶段回滚
我们可以在任一阶段使用 Helm 命令回滚至应用的前一个版本
helm upgrade --install --namespace bookinfo-k8s-helm-istio-canary --values ./productpage/chart/productpage/values.yaml --set productionDeployment.image.repository=myacrepo.azurecr.io/bookinfo-canary/productpage,productionDeployment.image.tag=83,productionDeployment.weight=100,productionDeployment.replicaCount=2,canaryDeployment.image.repository=myacrepo.azurecr.io/bookinfo-canary/productpage,canaryDeployment.image.tag=83,canaryDeployment.replicaCount=0,canaryDeployment.weight=0 --wait productpage ./productpage/chart/productpage
在任一阶段测试应用
在这个案例中,product page 需要可以从集群外部访问,因此我们需要 Istio 网关。从服务器外部访问 Istio 网关,需要获取它的外部 IP。
kubectl get svc istio-ingressgateway -n istio-system
一旦获取了外部 IP,可以通过添加主机 host 文件记录的方式来快速测试
23.XX.YY.ZZ product-page-svc.bookinfo-k8s-helm-istio-canary.svc.cluster.local
新的服务能够通过该 URL 访问:http://product-page-svc.bookinfo-k8s-helm-istio-canary.svc.cluster.local/productpage?u=normal。
在后续文章中,我们将介绍如何使用 Azure Devops 轻松创建这个多阶段流水线、手动判定以及回滚。