其他分享
首页 > 其他分享> > K8S中文社区

K8S中文社区

作者:互联网

根据CNCF的最新年度调查,很多组织对Service Mesh表现出很高的兴趣,并且有一部分已经在生产环境中使用它们。你可能不知道Linkerd是市场上第一个Service Mesh,但是Istio使Service Mesh更受欢迎。这两个项目都是最前沿的项目,而且竞争非常激烈,因此很难选择一个项目。在本篇文章中,我们将和你一起了解Istio和Linkerd架构,组件,并比较它们的产品以帮助你做出明智的决定。

图片

Service Mesh简介

在过去的几年中,微服务架构已成为软件设计中流行的样式。在这种架构中,我们将应用程序分解为可独立部署的服务。这些服务通常是轻量级的,多语言的,并且通常由各种职能团队进行开发部署。当某些服务数量增加,难以管理且越来越复杂时,微服务架构将一直有效。但这也在管理安全性,网络流量控制和可观察性等各个方面带来了挑战。

Service Mesh可以很好地帮助应对这些挑战。


接下来,让我们对比一下Istio和Linkerd的架构。请注意,两个项目都在快速发展,本文基于Istio版本1.6和Linkerd版本2.7。

Istio

Istio是一个开源平台,提供了作为Service Mesh的完整解决方案,提供了一种统一的方式来保护(secure),连接(connect)和监视(monitor)微服务。它得到了IBM,Google和Lyft等行业领导者的支持。

Istio是最流行,最完整的解决方案之一,其高级产品适用于各种规模的企业。Istio是Kubernetes的一等公民,被设计为独立于平台的模块化系统。有关Istio的快速入门,请参阅我们以前的文章。

架构(Architecture)

图片

组件(Components)

Envoy是Lyft用C ++语言编写的高性能代理,它可以代理Service Mesh中所有服务的所有入站和出站流量。它作为Sidecar代理部署。

Envoy提供以下功能:


在较新的Istio版本中,Sidecar代理也承担了了一部分Mixer的工作。在早期版本的Istio(<1.6)中,需要使用Mixer从服务网格收集数据信息。

Pilot为Sidecar代理,流量管理功能和弹性伸缩提供服务发现。它将控制流量行为的高级路由规则转换为envoy的配置。

Citadel通过内置的身份和凭据管理实现了用户身份验证。

Galley 在Istio中配置验证规则(Pilot、Citadel配置的规则) 。

核心功能

Linkerd

Linkerd是一个开源的轻量级服务网格。由于在2.0版本中完全用Rust语言重写,以使其超轻便且高性能,它能够提供运行时调试,可观察性的能力。

Architecture

Linkerd具有三个组件(Components)-UI,数据平面(Data Plane)和控制平面(Control Plane)。它通过在每个服务实例旁边安装轻量级透明对象来工作。

控制平面(Control Plane)

提供核心功能。它聚合数据,提供面向用户的API。以下是控制平面(Control Plane)的组件(Components)。

数据平面(Data Plane):

Linkerd数据平面(Data Plane)由轻量级代理组成,这些轻量级代理作为sidecar容器部署。在Pod的初始化阶段注入代理(请参见上面的代理注入器)。自从2.x完全在Rust中重写以来,该代理非常轻便且性能出色。这些代理拦截每个Pod之间的通信,以提供检测和加密(TLS),而无需更改应用程序代码。

代理功能:

比较方式

特征IstioLinkerd
易于安装各种配置选项和灵活性可能会使团队不知所措开箱即用的配置,安装相对容易
平台Kubernetes,虚拟机Kubernetes
支持的协议gRPC,HTTP/2,HTTP/1.x,Websocket和所有TCP流量gRPC,HTTP/2,HTTP/1.x,Websocket和所有TCP流量
入口控制器Envoy,Istio网关本身Linkerd本身不提供入口功能
多集群和扩展支持通过各种配置选项支持多集群部署,并可以在Kubernetes集群外部扩展网格从2.8版本开始,多群集部署趋于稳定。
Service Mesh接口(SMI)兼容性通过第三方CRD本机用于流量拆分和指标,不用于流量访问控制
监控功能功能丰富功能丰富
追踪支持Jaeger, Zipkin支持OpenCensus的所有后端
路由功能各种负载均衡算法(Round-Robin, Random Least Connection), 支持基于百分比的流量拆分,支持基于报头和路径的流量拆分支持EWMA负载均衡算法,通过SNI支持基于百分比的流量拆分
弹性断路器,重试和超时,故障注入,延迟注入无断路器,无延迟注入支持
安全mTLS支持所有协议,可以使用外部CA证书/密钥,支持授权规则。除TCP之外,还支持mTLS,可以使用外部CA /密钥,但尚不支持授权规则
性能在最新的1.6版本中,Istio的资源占用量越来越大,延迟得到了改善。Linkerd的设计非常轻巧,根据某些第三方基准测试,它比Istio快3-5倍。
企业支援不适用于OSS版本。如果您将Google的GKE与Istio结合使用,或者将Red Hat OpenShift与Istio作为Service Mesh使用,则可能会得到各个供应商的支持。开发了Linkerd OSS版本的Buoyant提供了完整的企业级工程,支持和培训

结论

Service Mesh正在成为云原生解决方案和微服务架构中的重要组成部分。它使你能够完成所有繁重的工作,例如流量管理,弹性和可观察性,并减轻开发人员对业务逻辑的关注。

Istio和Linkerd都已经成熟,并已被多家企业用于生产环境。对软件项目需求的计划和分析对于选择要使用的Service Mesh至关重要。请在起始阶段花费足够的时间做好技术选型,因为在后期再做调整改变会很复杂。


标签:中文,Linkerd,Service,社区,流量,Istio,Mesh,代理,K8S
来源: https://blog.51cto.com/u_15127571/2713683