Consul官方版

Consul简介

Consul是一个服务管理平台，可以通过这个软件管理企业的多种远程服务。200多种微服务可以分布在多个AKS集群上，每个AKS集群连接到一个集合。这个集群形成了一个更大的服务发现网格，这样人们可以在几分钟内找到并连接服务。您可以在软件中配置自动管理方案，并且可以自动安排服务项目。我们的手已经完全被自动化的工作流程所取代。Consul有很多功能。您可以通过该软件管理企业网络服务项目，在软件中配置管理任务，建立分布式服务管理方案！

Consul软件功能

Consul是一个服务网格解决方案，提供了具有服务发现、配置和分段功能的全功能控制平面。这些功能中的每一个都可以单独使用或一起使用来构建一个完整的服务网格。Consul需要一个数据平面，并支持代理和本机集成模型。Consul自带一个简单的内置代理，所以一切都可以直接使用。它还支持整合第三方代理，如特使。

1.跨越任何运行时服务网格

在任何运行时或基础设施(计算机、虚拟机和Kubernetes集群)之间的任何云中部署服务网格。

2.安全的多云服务网络

通过在服务网格资源之间使用基于意图的策略和自动mTLS加密，在任何环境中运行的安全服务。

3.动态负载平衡

通过集成的DNS解析发现的服务。自动化第三方负载平衡器(F5、NGINX、HAPxy)。消除了网络设备的手动配置。

4.通过健康状况发现服务。

Consul支持检测新服务的部署，对现有服务进行更改，并提供实时代理运行状态，以减少停机时间。

5.强大的生态系统

Consul支持并集成了许多流行的DevOps和网络工具。

6.与Kubernetes的集成和扩展

使用Helm Consul在Kubernetes上快速部署。自动将sidecar注入Kubernetes资源。将多个集群组合成一个服务网格。

Consul软件特色

1.连接

Consul Connect使用相互传输层安全性(TLS)来提供服务到服务的连接授权和加密。应用程序可以在服务网格配置中使用sidecar代理来为入站和出站连接建立TLS连接，而根本不知道连接。应用程序还可以与Connect本机集成，以实现最佳性能和安全性。Connect可以帮助您保护服务，并提供关于服务对服务通信的数据。

2.应用安全

Connect通过自动服务到服务加密和基于身份的授权实现了安全部署最佳实践。连接使用注册的服务标识而不是IP地址来实施访问控制。这使得访问控制的推理变得更容易，并使服务能够由协调者(如Kubernetes和Nomad)重新安排。意向执行与网络无关，所以Connect可以与物理网络、云网络、软件定义网络、跨云等一起使用。

可观察量

3.ConsulConnect的主要优势之一是，它可以为您网络上的所有服务提供统一一致的视图，无论它们的编程语言和框架如何。当您将Consul Connect配置为使用Sidecar代理时，这些代理会“查看”所有服务到服务的流量，并可以收集相关数据。Consul Connect可以配置特使代理来收集第7层指标，并将其导出到工具(如Pmetheus)中。正确配置的应用程序也可以通过特使发送开放跟踪数据。

Consul使用说明

Consul数据中心之间的服务对服务流量

1.6.0+:此功能在Consul 1.6.0及更高版本中提供。

网格支持在不同Consul数据中心之间路由服务网格流量。这些数据中心可以位于不同的云或运行时环境中，在这些环境中，所有数据中心中的所有服务之间的传统互连是不可行的。一种有用的情况是连接具有重叠IP地址空间的网络。

这是通过从mTLS连接中嗅探SNI报头，并根据请求的名称将连接路由到适当的目的地来实现的。mTLS会话中的数据将不会被解密。

从Consul 1.8.0开始，mesh还可以在Consul之间转发流言和RPC通信。这是由广域网联盟通过网状网络实现的。

从Consul服务网格外部到网格中服务的流量

1.8.0+:此功能在Consul 1.8.0及更高版本中提供。

是外部流动的切入点。它们支持从Consul服务网格之外的服务到服务网格之内的服务的可能未经身份验证的入口流量。

这些允许您定义应该公开哪些服务、在哪个端口上以及通过哪个主机名。您可以通过定义一组可以映射到不同支持服务组的侦听器来配置门户。

与portal Consul的L7配置紧密结合，HTTP请求可以通过请求路径等类动态路由。

从Consul服务网格中的服务到外部服务的流量

1.8.0+:此功能在Consul 1.8.0及更高版本中提供。

终端支持从Consul服务网格中的服务连接到网格外的服务。网格之外的服务没有Sidecar代理，也没有本地集成。这些可能是在传统基础架构上运行的服务，或者是在您无法控制的基础架构上运行的托管云服务。

终止实际上充当了一个出口代理，可以代表一种或多种服务。他们终止连接mTLS连接，强制执行领事意图并将请求转发到适当的目的地。

这些也简化了来自动态服务地址的授权。领事意图决定了这种联系是否得到授权。，防火墙或IAM角色等传统工具可以授权从已知节点到目标服务的连接。

同步Kubernetes和Consul服务

uberetes和Consul中的服务可以自动同步，这样一来，Consul代理就可以使用Kubernetes服务，而Consul中的服务可以作为一流的Kubernetes服务。该功能由consult-k8s项目提供，可使用Consul Helm图自动安装配置。

为什么要将Kubernetes服务同步到consul？

与Consul目录同步的Kubernetes服务使Kubernetes服务能够被Consul集群中的任何节点访问，包括其他不同的Kubernetes集群。对于非Kubernetes节点，它们可以使用标准Consul DNS或HTTP API访问服务。

为什么要将Consul服务同步到Kubernetes？Consul服务与Kubernetes服务同步后，您可以通过本地Kubernetes访问非Kubernetes服务(例如，在集群之外):使用kube-dns、环境变量等。这使得自动发现外部服务变得非常容易，包括托管服务，如数据库。

安装和配置

在conserve-k8s项目中，服务同步是通过使用一个外部长期运行的过程来完成的。这个过程可以在Kubernetes集群内部或外部运行。然而，在Kubernetes集群中运行这个程序通常更容易，因为它是使用Helm图表自动执行的。

Consul集群可以在Kubernetes集群内运行，也可以在Kubernetes集群内运行。Consul群集不需要与同步进程运行在同一台计算机或平台上。同步过程需要配置Consul代理的地址和任何其他访问(如ACL令牌)。

要安装同步过程，请使用helm值启用目录同步功能，并使用现有的helm升级安装或新的Helm安装来升级安装。

这将使服务能够双向同步。您也可以通过禁用方向来选择仅将Kubernetes服务同步到Consul或相反。

要仅将Consul服务同步到Kubernetes，请使用配置:

要仅将Kubernetes服务同步到Consul，请执行以下命令:

工作

任务是将Consul目录中的动态服务转换为下游网络基础架构更改。Consul-Terraform-Sync使用网络驱动程序自动执行任务。对于Terraform驱动程序，任务范围是Terraform模块。

以下是任务配置示例:

在上面的示例任务中，pviders使用了字段中列出的“假防火墙”和“空”提供程序。应该在各自的terraform_pvider块中配置提供程序本身。这些提供程序用于在源字段中配置的Terraform模块“示例/防火墙-策略/模块”，以创建、更新和销毁资源。该模块可以执行类似于使用提供程序基于IP地址创建和销毁防火墙策略对象的工作。该IP地址来自在该字段中配置的“网络”和“图像”服务实例。服务级别由Consul-Terraform-Sync检索，Consul-Terraform-Sync监视Consul目录中的更改。

您可以使用task cli启用或禁用任务。启用后，任务将被执行并自动执行，如下节所述。但是，在从Consul目录中检测到更改后，将不会执行禁用的任务。由于禁用的任务不会被执行，因此在重新启用之前，它们不会存储事件。

任务执行

当从Consul目录中检测到为任务配置的服务的任何更改时，将执行已启用的任务。执行可以包括对服务值的一个或多个更改(如IP地址、添加或删除的服务实例或标签)。以下内容扩展了将导致任务运行的完整值列表:

任务自动化

Consul-Terraform-Sync将在启动后尝试执行每个已启用的任务，以使基础结构与Consul的当前状态同步。如果在准备自动化环境或首次执行任务时出现任何问题，守护程序将停止并退出。这有助于确保正确配置任务，并随着时间的推移发现服务更改，以便在守护程序完全自动转换为运行任务之前执行任务。因此，不建议一开始就将任务配置为禁用。所有任务成功执行一次后，将记录任务在自动化过程中的失败，后续更改后重试或重试。

当检测到服务更改时，任务几乎实时执行。对于易于波动的服务或环境，为任务配置一个缓冲期以在执行前积累更改可能是有用的。缓冲期可以通过在短时间内分批处理任务变化来减少对基本结构的连续网络调用的次数。

情况

通过状态API收集并提供与状态相关的信息，以提供任务如何运行的可见性。有三个级别(从最低到最高):

活动数据

任务状态

整体状况

这三个级别构成了一个层次结构，其中每个数据级别都有一个更高的级别。每次运行更新网络基础设施的任务时，都会收集最低级别的事件数据。按任务状态汇总此事件数据。所有任务状态的计数分发总体状态的任务摘要。

事件

每次更新任务的服务，Consul-Terraform-Sync都会采取一系列步骤更新网络基础设施。此过程从更新任务模板开始，以从Consul获取新的服务数据，并在修改网络基础架构后以任何后续操作结束。事件是一种数据结构，可以捕获有关网络基础架构更新过程的信息。存储它是为了帮助您了解网络基础架构的更新是否成功，并存储发生的任何错误。由于禁用的任务不会更新网络基础架构，因此在重新启用之前，它们不会有存储事件。

示例事件:

任务状态

每次运行更新网络基础设施的任务时，都会为该任务存储事件数据。每个任务存储5个最新事件，用于确定任务状态。例如，如果最近存储的事件不成功，而其他事件成功，则任务的运行状况为“错误”。

示例任务状态:

您可以使用任务状态应用编程接口来检索任务状态。该应用编程接口文档包含可用健康状态的详细信息，以及如何根据事件的成功/失败来计算健康状态。

概况

总体状态返回所有任务运行状况的摘要。摘要是每个运行状况类别中的任务计数。

总体样本状态:

您可以使用整体状态应用编程接口检索整体状态。API文档包含可用健康状态的详细信息，以及如何根据任务状态的健康状态进行计算。

快跑。