[[333307]]

【51CTO.com快譯】

如今，云原生應(yīng)用程序通常被設(shè)計為一組在容器中運(yùn)行的分布式微服務(wù)(請參見--https://www.compunneldigital.com/infographic/how-to-modernize-your-legacy-systems-here-are-the-best-practices/)，因此人們往往將其稱為容器化的應(yīng)用程序。這些容器應(yīng)用主要是基于Kubernetes--這一容器化編排的實(shí)際標(biāo)準(zhǔn)。但是隨著微服務(wù)的指數(shù)級增長，我們很難在多種服務(wù)、加密、身份驗(yàn)證、授權(quán)、以及Kubernetes集群的負(fù)載平衡之間，實(shí)施和標(biāo)準(zhǔn)化路由。為此，我們需要用到“服務(wù)網(wǎng)格(service mesh)”。就像容器是從應(yīng)用程序中抽象出了操作系統(tǒng)那樣，服務(wù)網(wǎng)格則抽象出了如何處理進(jìn)程之間的通信。

什么是服務(wù)網(wǎng)格?

服務(wù)網(wǎng)格是一個專用的基礎(chǔ)架構(gòu)層，它可以被用于處理服務(wù)與服務(wù)(service-to-service)之間的通信。通過構(gòu)建云原生的現(xiàn)代化應(yīng)用，服務(wù)網(wǎng)格能夠使用復(fù)雜服務(wù)拓?fù)洌瑏砜煽康貍鬟f各種請求。服務(wù)網(wǎng)格的實(shí)現(xiàn)，實(shí)際上是與應(yīng)用代碼一起部署的輕量級網(wǎng)絡(luò)代理陣列。換句話說，它是由附加到應(yīng)用程序中所有pod的sidecar代理所組成。服務(wù)網(wǎng)格的概念，隨著與之相連接的云原生應(yīng)用的迭代，而不斷進(jìn)化。值得注意的是：服務(wù)與服務(wù)之間的通信不僅十分復(fù)雜，而且涉及到運(yùn)行時(runtime)行為的基本方面，因此服務(wù)網(wǎng)格能對它們進(jìn)行管理，進(jìn)而有效地確保端到端的性能與可靠性。

除了為Kubernetes提供服務(wù)，服務(wù)網(wǎng)格還包括安全性、可視性、以及路由等功能。許多人普遍認(rèn)為：如果本組織需要實(shí)現(xiàn)集中化的控制，那么服務(wù)網(wǎng)格就是確保內(nèi)部平臺能夠統(tǒng)一執(zhí)行治理策略的唯一方法。

下面，讓我們來看看企業(yè)是如何通過使用服務(wù)網(wǎng)格，配合Kubernetes，來有效地控制服務(wù)的安全性、可視性、路由、以及負(fù)載平衡。

透明度提高

在一個雜亂且密集的云原生環(huán)境中，要遵循復(fù)雜的路由規(guī)則與流程管理著實(shí)不易。各種數(shù)據(jù)消息在不同的拓?fù)浣Y(jié)構(gòu)、以及在基礎(chǔ)架構(gòu)的不同層次之間，沿著既定的軌跡從一個pod傳遞到另一個pod。而服務(wù)網(wǎng)格恰好能為現(xiàn)代化應(yīng)用程序的服務(wù)交付方式(請參見--https://www.compunneldigital.com/blog/modernizing-legacy-systems-with-cloud-native-serverless/)，帶來更好的透明性，以方便用戶有效地跟蹤消息的流轉(zhuǎn)過程。

安全性增強(qiáng)

安全性是服務(wù)網(wǎng)格主要關(guān)注的一個方面。它能夠確保以集中控制的方式，在整個組織中實(shí)現(xiàn)加密、以及細(xì)粒度的訪問控制規(guī)則。相對于傳統(tǒng)的單點(diǎn)控制，服務(wù)網(wǎng)格能夠全面地控制各種網(wǎng)絡(luò)流量，進(jìn)而提供更好的安全態(tài)勢。

此外，隨著微服務(wù)數(shù)量的增加，網(wǎng)絡(luò)流量也會隨之增多。這在無形中也方便了攻擊者輕松地攻擊各種通信流。因此，為了確保網(wǎng)絡(luò)中流量交互的安全性，服務(wù)網(wǎng)格通過提供雙向傳輸層安全(mutual TLS，Transport Layer Security)，來提供驗(yàn)證服務(wù)、執(zhí)行安全策略、以及加密服務(wù)間流量的全棧式解決方案。

加密

由于微服務(wù)之間的通信需求不斷地增加，我們需要通過可靠的加密服務(wù)來為其保駕護(hù)航。服務(wù)網(wǎng)格能夠協(xié)助實(shí)現(xiàn)密鑰、證書、以及針對持續(xù)加密的TLS配置管理，因此用戶不再需要手動執(zhí)行加密或證書管理。同時，服務(wù)網(wǎng)格提供了基于策略的身份驗(yàn)證，可以在兩個服務(wù)之間建立雙向的TLS配置，以實(shí)現(xiàn)服務(wù)之間(service-to-service)的安全加密通信，和最終用戶的身份驗(yàn)證。

可視性

盡管Kubernetes能夠幫助我們有效地保持Pod的運(yùn)行、以及節(jié)點(diǎn)的CPU和內(nèi)存利用率處于良好狀態(tài)，但它無法告知我們到底是誰部署了何種應(yīng)用程序，以及該應(yīng)用的性能如何。而服務(wù)網(wǎng)格可以通過其提供的服務(wù)級別可見性，跟蹤和監(jiān)控功能，來提高分布式服務(wù)的可視性。它是目前能夠提供應(yīng)用級可用性狀態(tài)信息的最佳方法。此外，服務(wù)網(wǎng)格還能讓開發(fā)運(yùn)維團(tuán)隊了解每個服務(wù)在第三、四層以下的運(yùn)行狀況，以及應(yīng)用的整體表現(xiàn)。

您可以通過這些可見性，來更好地響應(yīng)事件和排除故障。例如：如果應(yīng)用架構(gòu)中的某項(xiàng)服務(wù)出現(xiàn)了性能瓶頸，那么服務(wù)網(wǎng)格就可協(xié)助您輕松地切斷某個故障服務(wù)，禁用那些無法正常運(yùn)行的副本，進(jìn)而保持API的正常響應(yīng)速度。

路由

過去，在沒有服務(wù)網(wǎng)格之前，管理各層的路由和負(fù)載平衡責(zé)任，都是由應(yīng)用程序開發(fā)人員所負(fù)責(zé)的。如今，除了安全性和可視性，企業(yè)還可以通過服務(wù)網(wǎng)格的智能路由來控制流量，進(jìn)而實(shí)現(xiàn)服務(wù)之間的API調(diào)用。此外，它還可以協(xié)助執(zhí)行藍(lán)綠部署，即：在不中斷任何服務(wù)類型的情況下，安全地推送新的應(yīng)用升級。

此外，過去在Kubernetes中，那些由side-car代理所控制的內(nèi)容，如今則由一個中心的團(tuán)隊，來統(tǒng)管安全性、可視性、以及路由規(guī)則等多項(xiàng)服務(wù)。

總結(jié)

作為云原生棧的關(guān)鍵組件，服務(wù)網(wǎng)格可謂微服務(wù)架構(gòu)(MSA，microservices architecture)的儀表板。它使用戶能夠?qū)栴}進(jìn)行故障排除、速率限制、流量策略的管控、以及新代碼的測試。通過監(jiān)督、跟蹤和控制所有服務(wù)之間的交互，服務(wù)網(wǎng)格能夠“一站式”為服務(wù)之間的連接、執(zhí)行方式和安全性提供“加持”。

原標(biāo)題：Service Mesh: The Next Step to Kubernetes in the Era of Microservices 作者： manvi garg

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】