Реалізація Service Mesh (Istio/Linkerd) для мікросервісів

Наша компанія займається розробкою, підтримкою та обслуговуванням сайтів будь-якої складності. Від простих односторінкових сайтів до масштабних кластерних систем, побудованих на мікро сервісах. Досвід розробників підтверджено сертифікатами від вендорів.
8+Років на ринку900+Реалізованих проектів100+Розробників у штаті19+Партнерів

Розробка та обслуговування будь-яких видів сайтів:

Інформаційні сайти або веб-програми
Сайти візитки, landing page, корпоративні сайти, онлайн каталоги, квіз, промо-сайти, блоги, ресурси новин, інформаційні портали, форуми, агрегатори
Сайти або веб-програми електронної комерції
Інтернет-магазини, B2B-портали, маркетплейси, онлайн-обмінники, кешбек-сайти, біржі, дропшиппінг-платформи, парсери товарів
Веб-програми для управління бізнес-процесами
CRM-системи, ERP-системи, корпоративні портали, системи управління виробництвом, парсери інформації
Сайти або веб-програми електронних послуг
Дошки оголошень, онлайн-школи, онлайн-кінотеатри, конструктори сайтів, портали надання електронних послуг, відеохостинги, тематичні портали

Це лише деякі з технічних типів сайтів, з якими ми працюємо, і кожен із них може мати свої специфічні особливості та функціональність, а також бути адаптованим під конкретні потреби та цілі клієнта.

Пропоновані послуги
Показано 1 з 1 послугУсі 2065 послуг
Реалізація Service Mesh (Istio/Linkerd) для мікросервісів
Складна
від 2 тижнів до 3 місяців
Часті питання

Наші компетенції:

Етапи розробки

Останні роботи

  • image_website-b2b-advance_0.png
    Розробка сайту компанії B2B ADVANCE
    1262
  • image_web-applications_feedme_466_0.webp
    Розробка веб-додатків для компанії FEEDME
    1171
  • image_websites_belfingroup_462_0.webp
    Розробка веб-сайту для компанії БЕЛФІНГРУП
    874
  • image_ecommerce_furnoro_435_0.webp
    Розробка інтернет магазину для компанії FURNORO
    1094
  • image_crm_enviok_479_0.webp
    Розробка веб-додатків для компанії Enviok
    831
  • image_bitrix-bitrix-24-1c_fixper_448_0.png
    Розробка веб-сайту для компанії ФІКСПЕР
    851
Показати більше робіт

Реалізація Service Mesh (Istio/Linkerd) для мікросервісів

Service Mesh — інфраструктурний шар для управління міжсервісним трафіком у Kubernetes. Замість того щоб кожен мікросервіс самостійно реалізовував retry, timeout, mTLS та трейсинг, ці функції виносяться в sidecar-прокси, прозорий для коду сервісу.

Що дає Service Mesh

Traffic Management:

  • Canary deployment (5% трафіку → нова версія)
  • A/B тестування по заголовках
  • Circuit breaker на рівні інфраструктури
  • Retry та timeout без змін коду

Observability:

  • Автоматичний трейсинг всіх запросів між сервісами
  • Метрики: latency, error rate, throughput для кожної пари сервісів
  • Граф залежностей сервісів (Service Graph)

Security:

  • mTLS між усіма сервісами без змін коду
  • Ротація сертифікатів
  • Authorization Policies

Istio vs Linkerd

Критерій Istio Linkerd
Прокси Envoy (тяжкий, потужний) Linkerd2-proxy (легкий, Rust)
RAM на sidecar 300–500 МБ 10–30 МБ
Складність Висока Помірна
Можливості Повний набір Основні функції
Крива навчання Крута Більш пологая

Linkerd — для команд, яким потрібні mTLS, observability та базове управління трафіком без вивчення сотень Istio CRD.

Установка Linkerd

# Установка CLI
curl --proto '=https' --tlsv1.2 -sSfL https://run.linkerd.io/install | sh

# Перевірка кластера
linkerd check --pre

# Установка control plane
linkerd install --crds | kubectl apply -f -
linkerd install | kubectl apply -f -

# Перевірка
linkerd check

Ін'єкція sidecar (аннотація namespace):

apiVersion: v1
kind: Namespace
metadata:
  name: production
  annotations:
    linkerd.io/inject: enabled

Після цього всі поди у namespace автоматично отримують linkerd-proxy контейнер.

Управління трафіком Istio

Canary Deployment — поступовий виккат нової версії:

Використовувати VirtualService та DestinationRule для розподілу трафіку, маршрутизації по заголовках та поступового зсуву трафіку.

Circuit Breaker через DestinationRule:

Налаштувати пороги послідовних помилок, час видалення та пули з'єднань.

mTLS

У Istio, включити mTLS на рівні namespace або глобально:

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: default
  namespace: production
spec:
  mtls:
    mode: STRICT  # тільки mTLS, plaintext заборонено

Authorization Policy — хто може вивикатись кого:

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: order-service-policy
  namespace: production
spec:
  selector:
    matchLabels:
      app: order-service
  rules:
    - from:
        - source:
            principals: ["cluster.local/ns/production/sa/api-gateway"]
      to:
        - operation:
            methods: ["GET", "POST"]

Observability через Kiali

Kiali — UI для Istio, показує Service Graph:

kubectl apply -f https://raw.githubusercontent.com/istio/istio/release-1.20/samples/addons/kiali.yaml
kubectl apply -f https://raw.githubusercontent.com/istio/istio/release-1.20/samples/addons/jaeger.yaml
kubectl apply -f https://raw.githubusercontent.com/istio/istio/release-1.20/samples/addons/prometheus.yaml
kubectl apply -f https://raw.githubusercontent.com/istio/istio/release-1.20/samples/addons/grafana.yaml

istioctl dashboard kiali

Тимчасовість реалізації

  • Установка Linkerd + базова observability — 3–5 днів
  • Установка Istio + canary routing + mTLS — 1–2 тижні
  • Authorization policies + повна observability stack — ще 1 тиждень