作者/如葑
流量閘道器和微服務閘道器必須分開構建嗎?
在容器技術和 K8s 主導的雲原生時代,這個命題正浮現出新的答案。
更經濟:將流量閘道器與微服務閘道器合二為一,使用者資源成本直降 50%
流量閘道器(如 Nignx )是指提供全域性性的、與後端業務應用無關的策略,如 HTTPS 證書解除安裝、Web 防火牆、全域性流量監控等;微服務閘道器(如 Spring Cloud Gateway )是指與業務緊耦合的、提供單個業務域級別的策略,如服務治理、身份認證等。
在虛擬化時期的微服務架構下,業務通常採用流量閘道器 + 微服務閘道器的兩層架構,流量閘道器負責南北向流量排程和安全防護,微服務閘道器負責東西向流量排程和服務治理,而在容器和 K8s 主導的雲原生時代,Ingress 成為 K8s 生態的閘道器標準,賦予了閘道器新的使命,使得流量閘道器 + 微服務閘道器合二為一成為可能。
此次阿里雲 MSE 釋出的雲原生閘道器在能力不打折的情況下,將兩層閘道器變為一層,不僅可以節省50%的資源成本,還可以降低運維及使用成本。部署結構示意圖如下,左邊為傳統閘道器模式,右圖為下一代雲原生閘道器模式。
雲原生閘道器部署示意圖
更安全:提供豐富的認證鑑權能力,降低客戶的安全接入成本
認證鑑權是客戶對閘道器的剛需,MSE 雲原生閘道器不僅提供常規的 JWT 認證,也提供基於授權開放網路標準 OAuth 2.0 的 OIDC 認證。同時,MSE 雲原生閘道器天然支援阿里雲的應用身份服務 IDaaS,幫助客戶實現支付寶、淘寶、天貓等的三方認證登陸,並以外掛的方式支援來擴充套件認證鑑權功能,以降低客戶的安全接入成本。現有認證鑑權功能如下圖:
認證鑑權功能圖
更統一:閘道器直連後端服務,打通 Nacos/Eureka/K8s 多種服務來源,並且率先支援 Apache Dubbo3.0 協議
開源已經成為推動軟體發展的源動力之一,面向社群標準、開放的商業產品更有生命力。
Envoy 是最受 K8s 社群歡迎的 Ingress 實現之一,正成為雲原生時代流量入口的標準技術方案。MSE 雲原生閘道器依託於 Envoy 和 Istio 進行構建,實現了統一的控制面管控,並直連後端服務,支援了 Dubbo3.0、Nacos,打通阿里雲容器服務ACK,自動同步服務註冊資訊。MSE 雲原生閘道器對 Dubbo 3.0 與 Nacos 的支援,已經率先在釘釘業務中上線,下圖是釘釘 Dubbo 3.0 落地的部署簡圖如下:
釘釘業務落地簡圖
更穩定:技術積澱已久,歷經 2020 雙 11 考驗,每秒承載數 10 萬筆請求
商用產品並非一朝一夕。
MSE 雲原生閘道器早已在阿里巴巴內部經歷千錘百煉。目前已經在支付寶、釘釘、淘寶、天貓、優酷、飛豬、口碑等阿里各業務系統中使用,並經過2020雙11海量請求的考驗,大促日可輕鬆承載每秒10萬筆請求,日請求量達到百億級別。
阿里巴巴內部雲原生閘道器業務落地簡圖
商業化後,MSE 雲原生閘道器提供後付費和包年包月兩類付費模式,支援杭州、上海、北京、深圳4個 region,並會逐步開放其他 region,新使用者首購立享限時折扣,可釘釘搜尋群號 34754806 或釘釘掃描下方二維碼可加入使用者群交流。
相關介紹網址:
IDaaS:https://help.aliyun.com/document_detail/112323.html
點選連結(https://www.aliyun.com/product/aliware/mse )閱讀原文了解更多詳情~