# 3.5 Colocando o Istio em execução

## Acessando o k8s

Vamos configurar o ambiente, você precisará configurá-lo a cada nova seção ou executar o jupyter passando as variáveis, como descrito no [README](README.md) e não precisará repetir esses comandos novamente.

In [None]:
# [Opcional] Se você não estiver usando o docker-desktop será necessário obter o arquivo de configuração e ajustar a variável KUBECONFIG
#export KUBECONFIG=~/.kube/config # Local do kubeconfig do docker-desktop
export KUBECONFIG=$PWD/bkp/kdop-learn # Cluster Azure AKS
# [Opcional] Se você tem o Visual Studio Code e gostaria de usá-lo como editor para o kubernetes com o comando `kubectl edit`
export KUBE_EDITOR="code -w"
kubectl config get-contexts
kubectl get nodes

## Instalando o Istio (linux)

Para instalar a última versão do Istio, neste momento 1.8.1, você pode ir até a página [Getting Started](https://istio.io/latest/docs/setup/getting-started/#download) ou seguir as instruções abaixo:

In [None]:
curl -L https://istio.io/downloadIstio | sh -

Para usar o comando `istioctl`, que está no diretório `bin` do download, coloque-o na variável `PATH` ou copie o arquivo `bin/istioctl` para um diretório no seu `PATH`

## Opção 1: Copiar o arquivo para seu diretório de binários

In [None]:
ISTIO_VERSION=1.8.1
# Verificar onde está o executável do Istio
ls istio-$ISTIO_VERSION/bin
# Vamos coloca-lo no diretório bin do usuário
[ ! -d ~/bin ] && echo "Directory ~/bin DOES NOT exists. Creating..." && mkdir ~/bin
# Verificar o conteúdo da variável PATH
echo $PATH | grep $HOME/bin
[ ! $? -eq 0 ] && echo "Not in the PATH variable. Adding..." && export PATH=~/bin:$PATH
# Copiar o arquivo para o diretório bin
cp istio-$ISTIO_VERSION/bin/istioctl ~/bin

In [None]:
# Teste
istioctl version

## Opção 2: Incluir a instalação no PATH
Você pode copiar o comando em qualquer diretório ou mantê-lo no diretório do Istio e ajustar a variável `PATH` na sessão.

In [None]:
export PATH=$PWD/istio-$ISTIO_VERSION/bin:$PATH
echo $PATH
istioctl --help

## O mínimo do Istio

Desde a versão 1.6 o Istio é composto de uma única entrega chamada `istiod` e ela pode ser instalada com o comando abaix:

In [None]:
# Isso deve demorar de 2 a 5 minutos
istioctl install --set profile=minimal --skip-confirmation

Vamos verificar o que foi instalado

In [None]:
# Obtendo os namespaces
kubectl get ns

# Verificando o namespace do Istio
kubectl get all -n istio-system

Neste ponto já temos o Istio instalado.

## Istio CRDs

O Istio é uma aplicação que é executada no kubernetes e adiciona recursos personalizados ([CRD](https://kubernetes.io/docs/concepts/extend-kubernetes/api-extension/custom-resources/)) para sua configuração.

Você pode obter uma lista completa executando o comando abaixo:

In [None]:
kubectl api-resources | grep istio

Esses são os recursos adicionados e na segunda coluna o nome abreviado, você pode utilizar um ou outro, por exemplo:

In [None]:
# O comando
kubectl get dr

# É equivalente ao

kubectl get destinationrules

Você verá muito disso no kubernetes, para uma lista completa de recursos e suas abreviações execute o mesmo comando acima, mas sem o filtro `kubectl api-resources`

In [None]:
kubectl api-resources --api-group=networking.istio.io
kubectl api-resources --api-group=security.istio.io

> Note que todos as configurações para recursos do Istio são aplicados para um _namespace_ (Namespaced=true), isso significa que a configuração terá efeito apenas em um _namespace_, porém, configurações que poderão ser aplicadas para toda a malha de serviços serão realizadas no _namespace_ do Istio, o `istio-system`.

## Ativando o Istio para um namespace

Um elemento chave do Istio é o _sidecar_ ou _proxy_, como veremos na discussão sobre arquitetura do Istio. Para que o Istio injete-o nos PODs da aplicação, é necessário marcar o _namespace_ da seguinte forma:

In [None]:
# POD entregue no namespace defautl
kubectl label namespace default istio-injection=enabled

Vamos verificar como ficou a configuração do namespace

In [None]:
kubectl describe ns/default

O `istiod` irá monitorar todos os _namespaces_ com o rótulo `istio-injection=enabled` e adicionar ao POD um _container_ de proxy, o _sidecar_.

Vamos fazer _deploy_ de uma aplicação exemplo para verificar esse comportamento.

## Criando uma aplicação demo

Vamos utilizar o helm para criar uma aplicação simples.

In [None]:
# Vamos criar um diretório para nossos exemplos
mkdir -p exemplos/2_simple-app

# Deployment
cat <<EOT > exemplos/2_simple-app/deployment.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  name: simple-app
  labels:
    app: simple-app
    version: v1
spec:
  replicas: 1
  selector:
    matchLabels:
        app: simple-app
        version: v1
  template:
    metadata:
      labels:
        app: simple-app
        version: v1
    spec:
      containers:
        - name: simple-app
          image: "nginx:stable"
          imagePullPolicy: IfNotPresent
          ports:
            - name: http
              containerPort: 80
              protocol: TCP
EOT

# Service
cat <<EOT > exemplos/2_simple-app/service.yaml
apiVersion: v1
kind: Service
metadata:
  name: simple-app
  labels:
    app: simple-app
    version: v1
spec:
  type: ClusterIP
  ports:
    - port: 80
      targetPort: http
      protocol: TCP
      name: http
  selector:
    app: simple-app
    version: v1
EOT

In [None]:
ls -la exemplos/2_simple-app

Criamos dois arquivos, o `deployment.yaml` e o `service.yaml` no diretório `exemplos/simple-app`, agora vamos instala-la no _namespace_ default (quando omitido é onde os recursos serão criados).

Inspecione os arquivos e tente descobrir o que será instalado no cluster, uma dica, procure a pela imagem.

In [None]:
kubectl apply -f exemplos/2_simple-app

Verificando a situação do POD.

In [None]:
kubectl get pods

> Para instalar a aplicação em um _namespace_ diferente adicione `--namesapce` ou `-n`ao comando. Exemplo: `kubectl apply -f exemplos/2_simple-app -n test-app`

Vamos acessar nossa aplicação, ela foi configurada para o tipo de serviço `ClusterIP`, o que significa que o acesso é interno, apenas entre os PODs do cluster, mas podemos acessá-la utilizando o comando `kubectl port-forward`.

In [None]:
kubectl port-forward svc/simple-app 8000:80

Vá até o seu navegador e entre acesse a url: <http://localhost:8000>

Pronto, você tem acesso à sua aplicação como se estivesse sendo executada na sua máquina. Claro que o kubernetes pode estar na sua máquina, mas isso funcionará em qualquer kubernetes, local ou remoto.

Para interromper:
* No Jupyter Lab ou Notebook: Clique no icone <kbd>◾</kbd> (_Interrup the kernel_ na barra de ferramentas)
* No terminal: tecle <kbd>CTRL</kbd>+<kbd>C</kbd>

Verificando o que foi instalado.

In [None]:
kubectl get --show-labels all

Note que o pod/simple-app tem 2/2 na coluna pronto (Ready), isso significa que dois containers de dois estão ok, vamos verificar quem é o segundo container.

In [None]:
# Usaremos um dos labels do pod para encontra-lo
kubectl describe pod -l app=simple-app

É uma grande quantidade de informação, vamos procurar uma seção chamada `Containers` e nela a nossa aplicação `simple-app`.

Como você pode ver, a imagem desse container é `nginx`, com a tag `stable`, mais abaixo tem um segundo container `istio-proxy`, com a imagem `docker.io/istio/proxyv2` e a _tag_ para a  versão `1.8.1`.

Esse container não faz parte do [exemplos/2_simple-app/deployment.yaml](exemplos/2_simple-app/deployment.yaml), ele foi adicionado ao seu pod pelo `istiod`.

Caso você precise saber todos os _namespaces_ que tem a injeção do _conteiner_ _proxy_ do Istio ativado, basta executar o comando:

In [None]:
kubectl get ns -l istio-injection=enabled

Até o momento, somente o namespace `default`, onde configuramos a marcação, foi encontrado.

## Conclusão

Neste ponto temos o mínimo do Istio em execução no nosso cluster, mas com exceção de um container extra isso não significa muito.

Na próxima parte iremos explorar os recursos que esta instalação mínima do Istio pode oferecer.