K8S中文社区
作者:互联网
根据CNCF的最新年度调查,很多组织对Service Mesh表现出很高的兴趣,并且有一部分已经在生产环境中使用它们。你可能不知道Linkerd是市场上第一个Service Mesh,但是Istio使Service Mesh更受欢迎。这两个项目都是最前沿的项目,而且竞争非常激烈,因此很难选择一个项目。在本篇文章中,我们将和你一起了解Istio和Linkerd架构,组件,并比较它们的产品以帮助你做出明智的决定。
Service Mesh简介
在过去的几年中,微服务架构已成为软件设计中流行的样式。在这种架构中,我们将应用程序分解为可独立部署的服务。这些服务通常是轻量级的,多语言的,并且通常由各种职能团队进行开发部署。当某些服务数量增加,难以管理且越来越复杂时,微服务架构将一直有效。但这也在管理安全性,网络流量控制和可观察性等各个方面带来了挑战。
Service Mesh可以很好地帮助应对这些挑战。
Service Mesh 用于描述组成应用程序的微服务及其之间的交互。随着服务数量的增加和复杂性的增加,扩展和管理变得越来越困难。Service Mesh可以为微服务架构提供服务发现,负载均衡,故障恢复,指标和监视。
Service Mesh 通常还能够满足更复杂的需求,例如A/B测试,金丝雀发布,速率限制,访问控制和端到端身份验证。
Service Mesh 提供了一种轻松创建服务网络的方式,该网络具有负载均衡,服务到服务的身份验证,监视等功能,而微服务代码更改很少或没有更改。
接下来,让我们对比一下Istio和Linkerd的架构。请注意,两个项目都在快速发展,本文基于Istio版本1.6和Linkerd版本2.7。
Istio
Istio是一个开源平台,提供了作为Service Mesh的完整解决方案,提供了一种统一的方式来保护(secure),连接(connect)和监视(monitor)微服务。它得到了IBM,Google和Lyft等行业领导者的支持。
Istio是最流行,最完整的解决方案之一,其高级产品适用于各种规模的企业。Istio是Kubernetes的一等公民,被设计为独立于平台的模块化系统。有关Istio的快速入门,请参阅我们以前的文章。
架构(Architecture)
组件(Components)
Envoy是Lyft用C ++语言编写的高性能代理,它可以代理Service Mesh中所有服务的所有入站和出站流量。它作为Sidecar代理部署。
Envoy提供以下功能:
动态服务发现
负载均衡
TLS终止
HTTP/2和gRPC代理
断路器
健康检查
按百分比分配流量
故障注入
丰富的指标
在较新的Istio版本中,Sidecar代理也承担了了一部分Mixer的工作。在早期版本的Istio(<1.6)中,需要使用Mixer从服务网格收集数据信息。
Pilot为Sidecar代理,流量管理功能和弹性伸缩提供服务发现。它将控制流量行为的高级路由规则转换为envoy的配置。
Citadel通过内置的身份和凭据管理实现了用户身份验证。
Galley 在Istio中配置验证规则(Pilot、Citadel配置的规则) 。
核心功能
流量管理 -智能流量路由规则,流量控制和服务级别属性(如断路器,超时和重试)的管理。它使我们能够轻松设置A/B测试,金丝雀发布,滚动升级等。
安全性 —在服务之间提供安全的通信通道,并管理身份验证,授权和加密。
可观察性 -强大的跟踪,监视和日志记录功能提供了可见性。它有助于快速有效地检测和解决问题。Istio还可以与Prometheus,Grafana,Jaeger 和Kiali等应用程序集成。
Linkerd
Linkerd是一个开源的轻量级服务网格。由于在2.0版本中完全用Rust语言重写,以使其超轻便且高性能,它能够提供运行时调试,可观察性的能力。
Architecture
Linkerd具有三个组件(Components)-UI,数据平面(Data Plane)和控制平面(Control Plane)。它通过在每个服务实例旁边安装轻量级透明对象来工作。
控制平面(Control Plane)
提供核心功能。它聚合数据,提供面向用户的API。以下是控制平面(Control Plane)的组件(Components)。
控制器( Controller) –它由一个公共API容器组成,该容器提供CLI和仪表板的API。
目标( Destination) –数据平面(Data Plane)中的每个代理都将调用此组件(Components)以查找将请求发送到哪个位置。它可以配置路由指标,重试和超时信息。
身份( Identity)–它提供了一个证书颁发机构( Certificate Authority),该证书颁发机构接受来自代理的CSRs请求并返回身份签名的证书。它也提供了mTLS功能。
代理注入器( Proxy Injector) –它是一个准入控制器,用于查找带有(linkerd.io/inject: enabled)注释并更改pod信息添加一个具备代理功能的initContainer容器。
服务配置文件验证器( Service Profile Validator ) –这也是一个准入控制器,用于在保存新的服务配置文件之前对其进行验证。
点击( Tap ) –它从CLI或仪表板接收请求,以实时监视请求和响应,以提供应用程序中的可观察性。
Web –提供Web仪表板。
Grafana – Linkerd通过Grafana提供开箱即用的仪表板。
Prometheus –它通过/metrics在4191端口上抓取代理端点数据来收集和存储所有Linkerd指标。
数据平面(Data Plane):
Linkerd数据平面(Data Plane)由轻量级代理组成,这些轻量级代理作为sidecar容器部署。在Pod的初始化阶段注入代理(请参见上面的代理注入器)。自从2.x完全在Rust中重写以来,该代理非常轻便且性能出色。这些代理拦截每个Pod之间的通信,以提供检测和加密(TLS),而无需更改应用程序代码。
代理功能:
HTTP,HTTP2和任意TCP协议的透明,零配置代理。
自动为HTTP和TCP流量导出Prometheus指标。
透明的零配置的WebSocket代理。
自动,可感知延迟的7层负载均衡。
非HTTP流量的自动4层负载均衡。
比较方式
| 特征 | Istio | Linkerd |
|---|---|---|
| 易于安装 | 各种配置选项和灵活性可能会使团队不知所措 | 开箱即用的配置,安装相对容易 |
| 平台 | Kubernetes,虚拟机 | Kubernetes |
| 支持的协议 | gRPC,HTTP/2,HTTP/1.x,Websocket和所有TCP流量 | gRPC,HTTP/2,HTTP/1.x,Websocket和所有TCP流量 |
| 入口控制器 | Envoy,Istio网关本身 | Linkerd本身不提供入口功能 |
| 多集群和扩展支持 | 通过各种配置选项支持多集群部署,并可以在Kubernetes集群外部扩展网格 | 从2.8版本开始,多群集部署趋于稳定。 |
| Service Mesh接口(SMI)兼容性 | 通过第三方CRD | 本机用于流量拆分和指标,不用于流量访问控制 |
| 监控功能 | 功能丰富 | 功能丰富 |
| 追踪支持 | Jaeger, Zipkin | 支持OpenCensus的所有后端 |
| 路由功能 | 各种负载均衡算法(Round-Robin, Random Least Connection), 支持基于百分比的流量拆分,支持基于报头和路径的流量拆分 | 支持EWMA负载均衡算法,通过SNI支持基于百分比的流量拆分 |
| 弹性 | 断路器,重试和超时,故障注入,延迟注入 | 无断路器,无延迟注入支持 |
| 安全 | mTLS支持所有协议,可以使用外部CA证书/密钥,支持授权规则。 | 除TCP之外,还支持mTLS,可以使用外部CA /密钥,但尚不支持授权规则 |
| 性能 | 在最新的1.6版本中,Istio的资源占用量越来越大,延迟得到了改善。 | Linkerd的设计非常轻巧,根据某些第三方基准测试,它比Istio快3-5倍。 |
| 企业支援 | 不适用于OSS版本。如果您将Google的GKE与Istio结合使用,或者将Red Hat OpenShift与Istio作为Service Mesh使用,则可能会得到各个供应商的支持。 | 开发了Linkerd OSS版本的Buoyant提供了完整的企业级工程,支持和培训 |
结论
Service Mesh正在成为云原生解决方案和微服务架构中的重要组成部分。它使你能够完成所有繁重的工作,例如流量管理,弹性和可观察性,并减轻开发人员对业务逻辑的关注。
Istio和Linkerd都已经成熟,并已被多家企业用于生产环境。对软件项目需求的计划和分析对于选择要使用的Service Mesh至关重要。请在起始阶段花费足够的时间做好技术选型,因为在后期再做调整改变会很复杂。
标签:中文,Linkerd,Service,社区,流量,Istio,Mesh,代理,K8S 来源: https://blog.51cto.com/u_15127571/2713683