IstioのMesh内に仮想マシンを取り込む

あまり知られていないような気がするが、Istioは仮想マシン（VM）もMeshに取り込むことが出来る。
これを利用すると以下のような事が出来るようになる。

• Istioで保護されたネットワーク内でPod↔VM間通信が出来るようになる
  →DBだけVMを使いたいようなケースでもMeshを利用することが出来る
• VM側でKubernetesの名前を使ってクラスタ内のサービスにアクセスできる　
  （例：curl nginx.mynamespace.svcみたいなのが通るようになる）

めちゃくちゃ便利そうなので実際に構築して挙動を確認する。
ここではIstioのVirtual Machine Installationを参考に進める。

基礎知識

ネットワークをまたぐ構成でPodとVMを直接通信する場合のアーキテクチャは以下となる。

（引用元：Virtual Machine Architecture）

IstiodはKubernetes側で用意し、DataplaneをVMに配置するような形となる。
PodとVM間はIstioのGatewayを介して通信する形となる。

注意点として、VM上に展開するサイドカーのパッケージが、RPMだとCentOS8しかサポートしていないようなので、試すならCentOS8を使うかUbuntu/Debian系のディストリビューションにしておく方が楽ができる。

前提

以下を用意する

• Kubernetesクラスタ
• VM
• istioctl
• istioctlのインストール時にダウンロードされるディレクトリ・ファイル一式

今回はKubernetesクラスタにvSphere with Tanzuで構築したKubernetesクラスタを使い、VMはUbuntuを使用した。

また検証するIstioの構成としては、

• Multi Network（VMとKubernetesで別のネットワークを利用）
• WorkloadEntry（後述）の自動作成を有効

の構成とする。

検証

事前準備

Multi Network構成ではspec.values.global.networkにKubernetes側のネットワーク名を適当に定義してIstioをインストールする。
インストールに使うYAMLファイルを作成する。

export CLUSTER=tkg-cluster-2
export CLUSTER_NETWORK=kube-network
cat << EOF > ./vm-cluster2.yaml
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: istio
spec:
  values:
    global:
      meshID: mesh1
      multiCluster:
        clusterName: "${CLUSTER}"
      network: "${CLUSTER_NETWORK}"
EOF

istioctlでインストールする。WorkloadEntryの自動作成を有効にするために設定用パラメータもコマンドラインに追加して実行する。

istioctl install -f vm-cluster2.yaml --set values.pilot.env.PILOT_ENABLE_WORKLOAD_ENTRY_AUTOREGISTRATION=true --set values.pilot.env.PILOT_ENABLE_WORKLOAD_ENTRY_HEALTHCHECKS=true -y

East-Westで通信するためのEast-West Gatewayをインストールする。

samples/multicluster/gen-eastwest-gateway.sh \
--mesh mesh1 --cluster "${CLUSTER}" --network "${CLUSTER_NETWORK}" | \
istioctl install -y -f -

Istiodを公開するためのkind: VirtualServiceとkind: Gatewayを作成し、Namespaceのistio-systemにネットワークが複数ある場合にどのネットワークを使うかのラベルを付与する。

kubectl apply -n istio-system -f samples/multicluster/expose-istiod.yaml
kubectl apply -n istio-system -f samples/multicluster/expose-services.yaml
kubectl label namespace istio-system topology.istio.io/network="${CLUSTER_NETWORK}"

VMを管理するためのNamespaceとServiceAccountを作成する。

kubectl create ns vmtest
kubectl create sa vmtestsa -n vmtest

次にWorkloadGroupを作成する。WorkloadGroupというのはMeshに追加するワークロード(VM)のグループを定義したものの模様。
Podに対するDeploymentのようなものらしい。
なお、Podに相当するものはWorkloadEntryになり、今回の手順ではこのWorkloadEntryを自動でつくる手筈で進めている。
WorkloadGroupの仕様はこちら参照。
ということで、以下で作成してクラスタに適用する。

cat <<EOF > workloadgroup.yaml
apiVersion: networking.istio.io/v1alpha3
kind: WorkloadGroup
metadata:
  name: "ubuntu"
  namespace: "vmtest"
spec:
  metadata:
    labels:
      app: "ubuntu"
  template:
    serviceAccount: "vmtestsa"
    network: "${CLUSTER_NETWORK}"
EOF
kubectl apply -f workloadgroup.yaml -n vmtest

ちなみにWorkloadGroup側でVMにReadinessProbeみたいな感じでヘルスチェックを設定することも出来るが、ここでは割愛する。

作成したら、istioctlに食わせて設定ファイルを生成する。

mkdir vmfiles
istioctl x workload entry configure -f workloadgroup.yaml -o ./vmfiles --clusterID "${CLUSTER}" --autoregister

生成されたファイルはそれぞれ以下となる。

cluster.env	サービス名やNamespaceなどの複数の環境変数を定義したファイル
istio-token	CAから証明書を取得するのに使うKubernetesトークン
mesh.yaml	discoveryAddressを設定するためのProxyConfig
root-cert.pem	認証に使用されるルート証明書
hosts	/etc/hostsに追記する内容（istio-eastwestgatewayのExternal IPとistiod.istio-system.svcの組が記載）

ちなみにProxyConfigとMeshConfigの違いはWorkloadやNamespace単位など細かな単位でも設定出来るのがProxyConfigで、Mesh全体への設定を行うのがMeshConfigだそう。

生成されたファイルをVMに転送する。

scp ./vmfiles/* ubuntu@10.215.76.71:

以上で下準備は終了となる。

VM側の設定

ルート証明書を配置する。

sudo mkdir -p /etc/certs
sudo cp ./root-cert.pem /etc/certs/root-cert.pem

Kubernetesトークンを配置する。

sudo  mkdir -p /var/run/secrets/tokens
sudo cp ./istio-token /var/run/secrets/tokens/istio-token

サイドカーをインストールする。なお、ここではDebian系のパッケージで入れたが、rpmも用意されている。（ただしCentOS8しかサポートしていない点に注意）

curl -LO https://storage.googleapis.com/istio-release/releases/1.20.2/deb/istio-sidecar.deb
sudo dpkg -i istio-sidecar.deb

ちなみにこれの中身は以下のようになっている。

$ dpkg-deb -c istio-sidecar.deb
drwxr-xr-x 0/0               0 2024-01-03 14:42 ./
drwxr-xr-x 0/0               0 2024-01-03 14:42 ./lib/
drwxr-xr-x 0/0               0 2024-01-03 14:42 ./lib/systemd/
drwxr-xr-x 0/0               0 2024-01-03 14:42 ./lib/systemd/system/
-rw-r--r-- 0/0             382 2024-01-03 14:37 ./lib/systemd/system/istio.service
drwxr-xr-x 0/0               0 2024-01-03 14:42 ./var/
drwxr-xr-x 0/0               0 2024-01-03 14:42 ./var/lib/
drwxr-xr-x 0/0               0 2024-01-03 14:42 ./var/lib/istio/
drwxr-xr-x 0/0               0 2024-01-03 14:42 ./var/lib/istio/envoy/
-rw-r--r-- 0/0            4818 2024-01-03 14:37 ./var/lib/istio/envoy/sidecar.env
-rw-r--r-- 0/0           22679 2024-01-03 14:37 ./var/lib/istio/envoy/envoy_bootstrap_tmpl.json
drwxr-xr-x 0/0               0 2024-01-03 14:42 ./usr/
drwxr-xr-x 0/0               0 2024-01-03 14:42 ./usr/local/
drwxr-xr-x 0/0               0 2024-01-03 14:42 ./usr/local/bin/
-rwxr-xr-x 0/0        44118016 2024-01-03 14:38 ./usr/local/bin/pilot-agent
-rwxr-xr-x 0/0            5847 2024-01-03 14:37 ./usr/local/bin/istio-start.sh
-rwxr-xr-x 0/0       114688376 2024-01-03 14:38 ./usr/local/bin/envoy
drwxr-xr-x 0/0               0 2024-01-03 14:42 ./usr/share/
drwxr-xr-x 0/0               0 2024-01-03 14:42 ./usr/share/doc/
drwxr-xr-x 0/0               0 2024-01-03 14:42 ./usr/share/doc/istio-sidecar/
-rw-r--r-- 0/0             133 2024-01-03 14:42 ./usr/share/doc/istio-sidecar/changelog.gz

また、パッケージインストール時にistio-proxyというユーザが作成される。

環境変数を定義したファイルをEnvoyのディレクトリにコピーする。

sudo cp ./cluster.env /var/lib/istio/envoy/cluster.env

ProxyConfigをIstioのMeshの設定ディレクトリにコピーする。

sudo cp ./mesh.yaml /etc/istio/config/mesh

istio-eastwestgatewayにアクセスするために/etc/hostsに追記する。

sudo sh -c 'cat $(eval echo ~$SUDO_USER)/hosts >> /etc/hosts'

istio-proxyユーザがディレクトリを参照できるようアクセス権を設定する。

sudo mkdir -p /etc/istio/proxy
sudo chown -R istio-proxy /var/lib/istio /etc/certs /etc/istio/proxy /etc/istio/config /var/run/secrets /etc/certs/root-cert.pem

以上でVM上でIstioのサイドカーを動かすための設定は終了となる。
次にIstioのサイドカーを起動する。

sudo systemctl start istio

起動すると以下のような感じのstatusとなる。

$ systemctl status istio
● istio.service - istio-sidecar: The Istio sidecar
     Loaded: loaded (/lib/systemd/system/istio.service; disabled; vendor preset: enabled)
     Active: active (running) since Mon 2024-01-29 07:40:15 UTC; 15s ago
       Docs: http://istio.io/
    Process: 24624 ExecStartPre=/usr/bin/install -d -o istio-proxy -m 0755 /var/run/secrets (code=exited, status=0/SUCCESS)
   Main PID: 24625 (sudo)
      Tasks: 16 (limit: 1012)
     Memory: 34.5M
        CPU: 2.934s
     CGroup: /system.slice/istio.service
             ├─24625 sudo -E -u istio-proxy -s /bin/bash -c "ulimit -n 1024; INSTANCE_IP=10.215.76.71 POD_NAME=ubuntuguest POD_NAMESPACE=vmtest exec /usr/local>
             ├─24711 /usr/local/bin/pilot-agent proxy
             └─24720 /usr/local/bin/envoy -c etc/istio/proxy/envoy-rev.json --drain-time-s 45 --drain-strategy immediate --local-address-ip-version v4 --file-f>

Jan 29 07:40:15 ubuntuguest istio-start.sh[24701]: -A ISTIO_OUTPUT -o lo -p tcp -m tcp ! --dport 53 -m owner ! --gid-owner 997 -j RETURN
Jan 29 07:40:15 ubuntuguest istio-start.sh[24701]: -A ISTIO_OUTPUT -m owner --gid-owner 997 -j RETURN
Jan 29 07:40:15 ubuntuguest istio-start.sh[24701]: -A ISTIO_OUTPUT -d 127.0.0.53/32 -p tcp -m tcp --dport 53 -j REDIRECT --to-ports 15053
Jan 29 07:40:15 ubuntuguest istio-start.sh[24701]: -A ISTIO_OUTPUT -d 127.0.0.1/32 -j RETURN
Jan 29 07:40:15 ubuntuguest istio-start.sh[24701]: -A ISTIO_OUTPUT -j ISTIO_REDIRECT
Jan 29 07:40:15 ubuntuguest istio-start.sh[24701]: -A ISTIO_REDIRECT -p tcp -j REDIRECT --to-ports 15001
Jan 29 07:40:15 ubuntuguest istio-start.sh[24701]: COMMIT
Jan 29 07:40:15 ubuntuguest istio-start.sh[24701]: # Completed on Mon Jan 29 07:40:15 2024
Jan 29 07:40:15 ubuntuguest sudo[24625]:     root : PWD=/ ; USER=istio-proxy ; COMMAND=/bin/bash -c '\\/bin\\/bash -c ulimit\\ -n\\ 1024\\;\\ INSTANCE_IP\\=10\>
Jan 29 07:40:15 ubuntuguest sudo[24625]: pam_unix(sudo:session): session opened for user istio-proxy(uid=997) by (uid=0)

ただし、正常にサービスが起動してもエラーとなってることもあるので、挙動がおかしいと思ったら/var/log/istio/istio.logや/var/log/istio/istio.err.logを確認するとよい。
また、正常に起動すればistioctl proxy-statusでホスト名.Namespace名で見えるようになる。

$ istioctl proxy-status
NAME                                                    CLUSTER           CDS        LDS        EDS        RDS          ECDS         ISTIOD                      VERSION
istio-eastwestgateway-6fdf6bdf69-tzssk.istio-system     tkg-cluster-2     SYNCED     SYNCED     SYNCED     NOT SENT     NOT SENT     istiod-75f9cbf8b7-249xh     1.20.2
istio-ingressgateway-846c5b8ccd-d7kwl.istio-system      tkg-cluster-2     SYNCED     SYNCED     SYNCED     NOT SENT     NOT SENT     istiod-75f9cbf8b7-249xh     1.20.2
ubuntuguest.vmtest                                      tkg-cluster-2     SYNCED     SYNCED     SYNCED     SYNCED       NOT SENT     istiod-75f9cbf8b7-249xh     1.20.2

また、クラスタ内にkind: WorkloadEntryのオブジェクトが自動生成されることも確認できる。

$ kubectl get workloadentries.networking.istio.io -n vmtest
NAME                  AGE    ADDRESS
ubuntu-10.215.76.71   4m3s   10.215.76.71

動作確認

ここではVMからPodへのアクセス、およびPodからVMへのアクセスを確認する。

まず、検証用にVMからアクセスする検証用のPod(nginx)を起動し公開する。

SAMPLE_NS=nginx-ns
kubectl create ns $SAMPLE_NS
kubectl label namespace $SAMPLE_NS istio-injection=enabled
kubectl run nginx --image nginx -n $SAMPLE_NS
kubectl expose pod nginx --port 80 -n $SAMPLE_NS

また、VMにアクセスするPod(CentOS)も用意する。

kubectl run --image centos centos -n nginx-ns -- sleep infinity

また、VM側でも検証用にHTTPサーバを構築する。
Pythonでhttp.serverモジュールを呼べばポート8000で公開してくれる。

python3 -m http.server &

このHTTPサーバにPodからアクセスするためにはKubernetes側でServiceを作成する必要があるので、以下のように作成する。

cat <<EOF | kubectl apply -f - 
apiVersion: v1
kind: Service
metadata:
  name: ubuntu-svc
  namespace: vmtest
  labels:
    app: ubuntu
spec:
  ports:
  - port: 8000
    name: tcp
  selector:
    app: ubuntu
EOF

以上で検証用のサービスの準備は完了となる。

まず、VMからPodへのアクセスを確認する。Pod間通信と同じ要領で先程作成したnginxのService（nginx.nginx-ns.svc）にアクセスする。

$ curl nginx.nginx-ns.svc
<!DOCTYPE html>
<html>
<head>
：（省略）

問題なくアクセスできた。
次は逆向き、KubernetesクラスタからVMにアクセスしてみる。
先程作成したUbuntu用のServiceにCentOSからアクセスする。

$ kubectl exec -it centos -n nginx-ns -- curl ubuntu-svc.vmtest.svc:8000
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
<html>
<head>
：（省略）

こちらも問題なくアクセスできた。

所感

今回はVMをMeshに追加してPodとVM間で通信する方法を確認した。
特にDNSなどの設定をせずにPodとVM間をKubernetes上の名前でアクセスできるのは非常に便利だと感じた。
ただ、以下あたりはちょっと課題なのかなとも感じた。

• Control PlaneはKubernetes上に必要
  →Kubernetes抜きでの構成は組めなさそう
• RedHat系のサポートOSがCentOS8のみ
  →エンタープライズ系のOSサポートが必要な環境だと利用が厳しい

上記の課題が将来的に解決できればService Meshの幅がかなり広がりそうなので、将来的に改善されることを期待したい。

おまけ：可視化

Kiali、Grafanaを入れて可視化してみる。
なお、本来はKubernetes内の名前を使ってVMのメトリクスを取りたかったのだが、PodからVMのメトリクスのエンドポイントへのアクセス時にエラーが出て断念し、VMのIPを直接叩いてメトリクスを取得した。
（起きた問題は多分これと同件っぽい）

まずメトリクスを取得するためにPrometheusをインストールする。
Istioに付属しているPrometheusのYAMLを以下のように修正し、VMをスクレイピングの対象とする。

--- prometheus.yaml.orig	2024-02-02 14:47:15
+++ prometheus.yaml	2024-02-02 15:42:20
@@ -43,6 +43,15 @@
     - /etc/config/rules
     - /etc/config/alerts
     scrape_configs:
+    - job_name: ubuntu
+      scrape_interval: 15s
+      scrape_timeout: 10s
+      scheme: http
+      metrics_path: /metrics
+      static_configs:
+      - targets:
+        - 10.215.76.71:15020
+        #- ubuntu-svc.vmtest.svc:15020
     - job_name: prometheus
       static_configs:
       - targets:

修正したManifestを使ってPrometheusをインストールする。

kubectl apply -f samples/addons/prometheus.yaml

次にIstioに付属しているKiali、Grafanaをインストールする。

kubectl apply -f samples/addons/kiali.yaml -f samples/addons/grafana.yaml 

適当にPodからVMに負荷を掛けた状態でKialiにアクセスしてみる。

上手く見えているようだ。
Grafanaにもアクセスしてみる。

こちらも問題なさそうだ。
これを上手く活用すれば、Prometheusのメトリクスのエンドポイントを持たないアプリケーションを動作させているVM環境でも、Prometheusによる監視やKiali,Grafanaによる可視化を実現できそうである。