Istio

Questo documento descrive come configurare il deployment di Google Kubernetes Engine in modo da poter utilizzare Google Cloud Managed Service per Prometheus per raccogliere metriche da Istio. Questo documento mostra come eseguire le seguenti operazioni:

  • Configurare Istio per la generazione di report sulle metriche.
  • Accedere a una dashboard predefinita in Cloud Monitoring per visualizzare le metriche.
  • Configurare le regole di avviso per monitorare le metriche.

Queste istruzioni si applicano solo se utilizzi la raccolta gestita con Managed Service per Prometheus. Se utilizzi la raccolta con deployment autonomo, consulta il repository di origine per Istio per informazioni sull'installazione.

Queste istruzioni sono fornite a titolo di esempio e dovrebbero funzionare nella maggior parte degli ambienti Kubernetes. Se hai difficoltà a installare un'applicazione o un esportatore a causa di policy di sicurezza o aziendali restrittive, ti consigliamo di consultare la documentazione open source per ricevere assistenza.

Per informazioni su Istio, vedi Istio.

Prerequisiti

Per raccogliere metriche da Istio utilizzando Managed Service per Prometheus e la raccolta gestita, il deployment deve soddisfare i seguenti requisiti:

  • Il cluster deve eseguire Google Kubernetes Engine versione 1.28.15-gke.2475000 o successive.
  • Devi eseguire Managed Service per Prometheus con la raccolta gestita abilitata. Per maggiori informazioni, consulta la guida introduttiva alla raccolta gestita.

Istio espone automaticamente le metriche in formato Prometheus; non devi installarlo separatamente. Puoi eseguire i seguenti controlli per verificare che Istio Proxy sia stato inserito come sidecar e che sia Istiod, il control plane di Istio, sia Istio Proxy emettano metriche sugli endpoint previsti.

  • Per determinare se Istio Proxy viene inserito come sidecar, esegui il seguente comando, che enumera i container in esecuzione nei pod dell'applicazione:

    kubectl get pod -l app=APPLICATION_NAME -n NAMESPACE_NAME -o jsonpath='{.items[0].spec.containers[*].name}'

    Se vedi che i pod contengono il container sidecar istio, l'esportatore è stato inserito. Se il sidecar non viene inserito, segui le istruzioni riportate in Istio: Installing the sidecar.

  • Per verificare che le metriche vengano emesse da Istio Proxy, esegui il seguente comando, che ispeziona l'endpoint /stats/prometheus di istio sul pod specificato:

    kubectl exec POD_NAME -n NAMESPACE_NAME -c istio-proxy -- curl -sS 'localhost:15090/stats/prometheus'

    Se vedi le metriche Prometheus istio_* e envoy_* non elaborate, le metriche vengono emesse correttamente.

  • Per verificare che le metriche vengano emesse in modo simile su Istiod, esegui il seguente comando, che ispeziona l'endpoint /metrics di Istiod su uno dei pod nel deployment istiod:

    kubectl exec -n istio-system deployment/istiod -- curl -sS 'localhost:15014/metrics'

Definisci una risorsa PodMonitoring

Per l'individuazione dei target, l'operatore Managed Service per Prometheus richiede una risorsa PodMonitoring che corrisponda a Istio nello stesso spazio dei nomi.

Puoi utilizzare la seguente configurazione PodMonitoring:

# Copyright 2022 Google LLC
#
# Licensed under the Apache License, Version 2.0 (the "License");
# you may not use this file except in compliance with the License.
# You may obtain a copy of the License at
#
#     https://www.apache.org/licenses/LICENSE-2.0
#
# Unless required by applicable law or agreed to in writing, software
# distributed under the License is distributed on an "AS IS" BASIS,
# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
# See the License for the specific language governing permissions and
# limitations under the License.

apiVersion: monitoring.googleapis.com/v1
kind: PodMonitoring
metadata:
  name: istiod
  namespace: istio-system
  labels:
    app.kubernetes.io/name: istiod
    app.kubernetes.io/part-of: google-cloud-managed-prometheus
spec:
  selector:
    matchLabels:
      app: istiod
  endpoints:
  - port: 15014
    interval: 30s
    path: /metrics
  targetLabels:
    fromPod:
    - from: app
      to: app
---
apiVersion: monitoring.googleapis.com/v1
kind: PodMonitoring
metadata:
  name: istio-proxy
  labels:
    app.kubernetes.io/name: istio-proxy
    app.kubernetes.io/part-of: google-cloud-managed-prometheus
spec:
  selector:
    matchLabels:
  endpoints:
  - port: http-envoy-prom
    scheme: http
    interval: 30s
    path: /stats/prometheus
Istio richiede due risorse PodMonitoring separate: una che monitora Istiod e un'altra che monitora i sidecar di Istio Proxy e i gateway in entrata e in uscita. Per monitorare contemporaneamente le metriche di Istio Proxy in tutti gli spazi dei nomi del cluster, applica PodMonitoring istio-proxy a ogni spazio dei nomi o configura una ClusterPodMonitoring anziché una risorsa PodMonitoring per spazio dei nomi.

Se prevedi di utilizzare le dashboard Grafana fornite da Istio allora oltre alle risorse PodMonitoring descritte in questo documento assicurati di aver configurato anche lo scraping di cAdvisor e Kubelet.

Per applicare le modifiche alla configurazione da un file locale, esegui il seguente comando: 

kubectl apply -n NAMESPACE_NAME -f FILE_NAME

Puoi anche utilizzare Terraform per gestire le configurazioni.

Definisci regole e avvisi

Puoi utilizzare la seguente configurazione Rules per definire gli avvisi sulle metriche di Istio:

# Copyright 2022 Google LLC
#
# Licensed under the Apache License, Version 2.0 (the "License");
# you may not use this file except in compliance with the License.
# You may obtain a copy of the License at
#
#     https://www.apache.org/licenses/LICENSE-2.0
#
# Unless required by applicable law or agreed to in writing, software
# distributed under the License is distributed on an "AS IS" BASIS,
# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
# See the License for the specific language governing permissions and
# limitations under the License.

apiVersion: monitoring.googleapis.com/v1
kind: Rules
metadata:
  name: istio-rules
  labels:
    app.kubernetes.io/component: rules
    app.kubernetes.io/name: istio-rules
    app.kubernetes.io/part-of: google-cloud-managed-prometheus
spec:
  groups:
  - name: istio
    interval: 30s
    rules:
    - alert: IstioHighTotalRequestRate
      expr: sum(rate(istio_requests_total{reporter="destination"}[5m])) > 1000
      for: 2m
      labels:
        severity: warning
      annotations:
        summary: Istio high total request rate (instance {{ $labels.instance }})
        description: |-
          Global request rate in the service mesh is unusually high.
            VALUE = {{ $value }}
            LABELS = {{ $labels }}
    - alert: IstioLowTotalRequestRate
      expr: sum(rate(istio_requests_total{reporter="destination"}[5m])) < 100
      for: 2m
      labels:
        severity: warning
      annotations:
        summary: Istio low total request rate (instance {{ $labels.instance }})
        description: |-
          Global request rate in the service mesh is unusually low.
            VALUE = {{ $value }}
            LABELS = {{ $labels }}
    - alert: IstioHigh4xxErrorRate
      expr: sum(rate(istio_requests_total{reporter="destination", response_code=~"4.*"}[5m])) / sum(rate(istio_requests_total{reporter="destination"}[5m])) * 100 > 5
      for: 1m
      labels:
        severity: warning
      annotations:
        summary: Istio high 4xx error rate (instance {{ $labels.instance }})
        description: |-
          High percentage of HTTP 5xx responses in Istio (> 5%).
            VALUE = {{ $value }}
            LABELS = {{ $labels }}
    - alert: IstioHigh5xxErrorRate
      expr: sum(rate(istio_requests_total{reporter="destination", response_code=~"5.*"}[5m])) / sum(rate(istio_requests_total{reporter="destination"}[5m])) * 100 > 5
      for: 1m
      labels:
        severity: warning
      annotations:
        summary: Istio high 5xx error rate (instance {{ $labels.instance }})
        description: |-
          High percentage of HTTP 5xx responses in Istio (> 5%).
            VALUE = {{ $value }}
            LABELS = {{ $labels }}
    - alert: IstioHighRequestLatency
      expr: rate(istio_request_duration_milliseconds_sum{reporter="destination"}[1m]) / rate(istio_request_duration_milliseconds_count{reporter="destination"}[1m]) > 100
      for: 1m
      labels:
        severity: warning
      annotations:
        summary: Istio high request latency (instance {{ $labels.instance }})
        description: |-
          Istio average requests execution is longer than 100ms.
            VALUE = {{ $value }}
            LABELS = {{ $labels }}
    - alert: IstioLatency99Percentile
      expr: histogram_quantile(0.99, sum(rate(istio_request_duration_milliseconds_bucket[1m])) by (destination_canonical_service, destination_workload_namespace, source_canonical_service, source_workload_namespace, le)) > 1
      for: 1m
      labels:
        severity: warning
      annotations:
        summary: Istio latency 99 percentile (instance {{ $labels.instance }})
        description: |-
          Istio 1% slowest requests are longer than 1s.
            VALUE = {{ $value }}
            LABELS = {{ $labels }}

Per applicare le modifiche alla configurazione da un file locale, esegui il seguente comando: 

kubectl apply -n NAMESPACE_NAME -f FILE_NAME

Puoi anche utilizzare Terraform per gestire le configurazioni.

Per maggiori informazioni sull'applicazione delle regole al cluster, vedi Valutazione e avvisi delle regole gestite.

Questa configurazione Rules è stata adattata dalle regole di Istio fornite da Awesome Prometheus Alerts. Puoi modificare le soglie di avviso in base alla tua applicazione.

Verificare la configurazione

Puoi utilizzare Metrics Explorer per verificare di aver configurato correttamente Istio. Cloud Monitoring potrebbe richiedere uno o due minuti per inserire le metriche.

Per verificare che le metriche siano state inserite:

  1. Nella Google Cloud console, vai alla  Esplora metriche pagina:

    Vai a Esplora metriche

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

  2. Nella barra degli strumenti del riquadro del generatore di query, seleziona il pulsante il cui nome è  PromQL.
  3. Inserisci ed esegui la seguente query:
    sum(istio_build{cluster="CLUSTER_NAME"}) by (component)

Visualizza dashboard

L'integrazione di Cloud Monitoring include la dashboard Istio Envoy Prometheus Overview. Le dashboard vengono installate automaticamente quando configuri l'integrazione. Puoi anche visualizzare le anteprime statiche delle dashboard senza installare l'integrazione.

Per visualizzare una dashboard installata:

  1. Nella Google Cloud console, vai alla pagina  Dashboard:

    Vai a Dashboard

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

  2. Seleziona la scheda Elenco dashboard.
  3. Scegli la categoria Integrazioni.
  4. Fai clic sul nome della dashboard, ad esempio Istio Envoy Prometheus Overview.

Per visualizzare un'anteprima statica della dashboard:

  1. Nella Google Cloud console, vai alla  pagina Integrazioni:

    Vai a Integrazioni

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

  2. Fai clic sul filtro della piattaforma di deployment Kubernetes Engine.
  3. Individua l'integrazione di Istio e fai clic su Visualizza dettagli.
  4. Seleziona la scheda Dashboard.

Risoluzione dei problemi

Per informazioni sulla risoluzione dei problemi di inserimento delle metriche, vedi Problemi con la raccolta dagli esportatori in Risoluzione dei problemi relativi all'inserimento.