translate docs/setup/kubernetes/multicluster-install sync #2348
Conversation
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Member
Mr-Linus
commented
Aug 22, 2018
•
Mr-Linus
commented
- 同步更新了该文章,截止PR前与英文文档同步。由于issue 的 diff 不及时,很多内容以及更新多次,因此直接照着英文版对照着翻译看了。
- 建议更新中文文档 issue 与 文章 diff。
|
Hi @Mr-Linus. Thanks for your PR. I'm waiting for a istio member to verify that this patch is reasonable to test. If it is, they should reply with I understand the commands that are listed here. Instructions for interacting with me using PR comments are available here. If you have questions or suggestions related to my behavior, please file an issue against the kubernetes/test-infra repository. |
rootsongjc
reviewed
Aug 23, 2018
|
|
||
| ## 概要 | ||
| 本指南介绍如何通过使用 Istio 仓库里提供的清单和 Helm 图表安装一个多集群 Istio 拓扑。 |
rootsongjc
reviewed
Aug 23, 2018
|
|
||
| Istio 控制平面需要访问网格中的所有集群,来完成服务发现的目的。下面描述了如何在远程集群中创建一个 Service account,并赋予它必要的 RBAC 权限;后面还会使用这个 Service account 的凭据为远程集群生成一个 `kubeconfig` 文件,这样就可以访问远程集群了。 | ||
| * 通过 [Helm plus Tiller](#使用-helm-tiller-进行远程集群的连接) |
rootsongjc
reviewed
Aug 23, 2018
| ### Helm 配置参数 | ||
|
|
||
| 为了使远程集群的 sidecar 与 Istio 控制平面进行交互,`pilot`、 | ||
| `policy`、`telemetry`、`statsd` 和跟踪服务端点需要在 `istio-remote` Helm 图表中配置。 |
rootsongjc
reviewed
Aug 23, 2018
|
|
||
| 为了使远程集群的 sidecar 与 Istio 控制平面进行交互,`pilot`、 | ||
| `policy`、`telemetry`、`statsd` 和跟踪服务端点需要在 `istio-remote` Helm 图表中配置。 | ||
| 该图表默认启用远程集群中的自动 sidecar 注入,但可以通过图表变量禁用。以下表格描述了 |
rootsongjc
reviewed
Aug 23, 2018
| {{< /text >}} | ||
|
|
||
| {{< warning_icon >}} | ||
| 这个 Secret 的命名和文件名一致。Kubernetes 的 Secret 键需符合 `DNS-1123 subdomain` [格式](https://tools.ietf.org/html/rfc1123#page-13) 的要求,例如文件名中不能包含下划线。如果不符合这一要求,就需要修改文件和 Secret 的名称。 | ||
| Kubernetes secret 数据秘钥必须遵守 `DNS-1123 subdomain` | ||
| [格式](https://tools.ietf.org/html/rfc1123#page-13), 所以文件名不能有像下划线这样的符号。 要解决任何问题,您只需更改文件名即可符合格式。 |
rootsongjc
reviewed
Aug 23, 2018
|
|
||
| 1. 在远程集群上用 Helm template 命令来指定 Istio 控制平面的服务端点: | ||
| 以下示例显示如何使用 `helm template` 命令为禁用自动边车注入的远程集群生成清单。 |
|
感谢指点,已修复 @rootsongjc |
rootsongjc
reviewed
Aug 23, 2018
|
|
||
| 为了使远程集群的 sidecar 与 Istio 控制平面进行交互,`pilot`、 | ||
| `policy`、`telemetry`、`statsd` 和跟踪服务端点需要在 `istio-remote` Helm chart中配置。 | ||
| 该 chart 默认启用远程集群中的自动 sidecar 注入,但可以通 chart 变量禁用。以下表格描述了 |
rootsongjc
reviewed
Aug 23, 2018
| | `global.proxy.envoyStatsd.host` | 有效的 IP 地址或主机名 | None | 指定 Istio 控制平面的 `statsd-prom-bridge` Pod IP 地址或远程集群 DNS 可解析主机名。如果 `global.proxy.envoyStatsd.enabled = false` 则忽略。 | | ||
| | `global.remoteZipkinAddress` | 有效的 IP 地址或主机名 | None | 指定 Istio 控制平面的跟踪应用程序 Pod IP 地址或远程群集 DNS 可解析主机名,例如 `zipkin` 或 `jaeger`。| | ||
| | `sidecarInjectorWebhook.enabled` | true, false | true | 指定是否在远程群集上启用自动 sidecar 注入 | | ||
| | `global.remotePilotCreateSvcEndpoint` | true, false | false | 如果设置,使用 `remotePilotAddress` IP `istio-pilot` 的无选择器服务和端点将会被创建,这将确保 `istio-pilot.<namespace>` 在远程集群中是DNS可解析的。| |
rootsongjc
reviewed
Aug 23, 2018
| ## 为远程集群生成 `kubeconfigs` | ||
|
|
||
| Istio 控制平面需要访问网格中的所有群集才能发现服务、endpoint 和 pod 属性。 以下将描述如何生成一个 `kubeconfig` 文件用于 Istio 控制平面使用的远程集群。 | ||
| 在远程集群中,`istio-remote` Helm chart创建了一个名字叫 `istio-multi` 的 Kubernetes service account,它用于最小的 RBAC 访问权限。以下使用 `istio-remote` Helm chart 生成一个 `kubeconfig` 文件给远程集群,用于创建 `istio-multi` service account 的证书。应在要添加到服务网格的每个远程群集上执行以下过程,该过程要求集群管理员用户访问远程群集。 |
rootsongjc
reviewed
Aug 23, 2018
|
|
||
| Istio 可以安装在除 istio-system 之外的其他命名空间中。 | ||
|
|
||
| 运行 Istio 控制平面的本地群集不需要存储和标记它的 secret。 |
rootsongjc
reviewed
Aug 23, 2018
|
|
||
| 1. Helm 初始化: | ||
| 以下是用于将 sidecars 注入应用程序清单的 `istioctl` 命令示例。 这些命令应该在 shell 中运行,并为远程集群设置 `kubeconfig` 上下文。 |
rootsongjc
reviewed
Aug 23, 2018
| > `pilotEndpoint`、`policyEndpoint` 以及 `statsdEndpoint` 必须是 Kubernetes 可以解析的。让这些变量可解析的最简单的办法就是指定这些服务中的 Pod IP。当然如果 Pod IP 发生变化,这种办法就会出现问题。 | ||
| 上述过程提供了部署多集群环境的简单分步指南,生产环境可能需要其他步骤或更复杂的部署选项。该过程收集 Istio 服务的端点 IP 并使用它们来调用 Helm,这将在远程群集上创建 Istio 服务。 | ||
| 作为在远程集群中创建这些服务和端点的一部分,Kubernetes 会将 DNS 条目添加到 kube-dns 中。这允许远程集群中的 kube-dns 解析这些远程集群中所有 envoy sidecar 的 Istio 服务名称。 | ||
| 由于 Kubernetes pod 没有固定的 IP,因此重新启动控制平面群集中的任何 Istio 服务 pod 将导致其端点发生更改。因此,从远程群集到该端点的任何连接都将被破坏,这在 [Istio issue #4822](https://github.com/istio/istio/issues/4822) 中有记录。 |
rootsongjc
reviewed
Aug 23, 2018
|
|
||
| ### 使用 Helm + Tiller 删除 istio-remote | ||
| 目前,Istio 安装不提供为 Istio 服务指定服务类型的选项。 但您可以自己修改 Istio Helm chart或 Istio 清单。 |
|
/lgtm |
|
[APPROVALNOTIFIER] This PR is APPROVED This pull-request has been approved by: rootsongjc The full list of commands accepted by this bot can be found here. The pull request process is described here
Needs approval from an approver in each of these files:
Approvers can indicate their approval by writing |
7 tasks
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
Add this suggestion to a batch that can be applied as a single commit.
This suggestion is invalid because no changes were made to the code.
Suggestions cannot be applied while the pull request is closed.
Suggestions cannot be applied while viewing a subset of changes.
Only one suggestion per line can be applied in a batch.
Add this suggestion to a batch that can be applied as a single commit.
Applying suggestions on deleted lines is not supported.
You must change the existing code in this line in order to create a valid suggestion.
Outdated suggestions cannot be applied.
This suggestion has been applied or marked resolved.
Suggestions cannot be applied from pending reviews.
Suggestions cannot be applied on multi-line comments.
Suggestions cannot be applied while the pull request is queued to merge.
Suggestion cannot be applied right now. Please check back later.