如何評價 Istio 新推出的 Ambient 模式?
近日 Istio 社群推出了 Ambient Mesh,這是一種新的 Istio 資料平面模式,旨在簡化操作、擴大應用相容性並降低基礎設施成本。使用者可以選擇將 Ambient Mesh 整合到其基礎設施的網格資料平面,放棄 sidecar 代理,同時保持 Istio 的零信任安全、遙測和流量管理等核心功能。該模式目前還是預覽版,Istio 社群準備在未來幾個月內將其推向生產就緒。
Ambient Mesh 推出的訊息對於社群來說可能顯得有些突然,但其實關於 sidecar 模式對於資源的消耗過大,以及簡化服務網格的呼聲在社群裡已經存在很久了,Google 從多年前就在尋求 HBONE(HTTP-Based Overlay Network Environment,基於 HTTP 的重疊網路環境)解決方案,還有社群提出的多種 sidecar 部署模式 [2] 、proxyless 模式 [3] 等都是為了解決這個問題。
關於 Ambient 模式的看法
本文我將談談對 ambient 模式的幾點看法:
1. 關於 Ambient Mesh 的命名:我覺得叫做 Ambient Mode 會更好,有些接觸 Istio 的初學者可能會覺得它是一種全新的不同於 Istio 的 service mesh;另外關於這個模式的中文翻譯,如果直接翻譯成 “環境網格” 似乎讓人很難理解,我還想到了其他詞彙,如 “外圍”、“氛圍”、“周圍”、“環繞”、” 情景” 等,沒有一個漢語詞彙可以準確表達這個 ambient 的含義,因為相對於 sidecar 模式,ambient 模式對應用程式 pod 沒有侵入性,暫且將其稱之為 外圍模式。
2. Ambient Mode 的本質:它的本質是分離 sidecar proxy(Envoy)中的 L4 和 L7 功能,讓一部分僅需要安全功能的使用者可以最小阻力(低資源消耗、運維成本)地使用 Istio service mesh。
3. Ambient Mode 的意義:因為它 sidecar 模式相容,使用者在採納 Ambient Mode 獲得了 mTLS 和有限的可觀察性及 TPC 路由等 L4 功能,之後可以更方便的過度到 sidecar mode 以獲得完全的 L7 功能。這給使用者採納 Istio 提供了更多模式選擇,最佳化了 Istio 採納路徑。
4. Ambient Mode 的壞處:Proxyless、sidecar、ambient 模式,使得 Istio 越來越複雜,使用者理解起來更加費力;控制平面為了支援多種資料平面部署模式,其實現將更加複雜。
5. 與其他 service mesh 的關係:有的 service mesh 從原先的 per-proxy per-node 模式轉變為 sidecar mode,如 Linkerd;還有的從 CNI 做到 service mesh,如 Cilium 使用 per-proxy per-node 模式;如今 Istio 在 sidecar mode 的基礎上增加了 ambient mode,這也是目前唯一同時支援這兩種部署模式的 service mesh,為使用者提供了多樣的選擇。
6. 安全問題 :雖然 Istio 服務網格 ambient 模式安全詳解 [4] 說明了 ambient 模式的設計主旨是為了將應用程式與資料平面分離,讓安全覆蓋層的元件(ztunnel)處於類似於 CNI 的網格底層,考慮到 ztunnel 有限的 L4 攻擊面,該模式的安全風險是可以接受的;但是,ztunnel 作為 DaemonSet 部署在每個節點上,需要處理和分發排程到該節點上的所有 pod 的證書來建立 mTLS 連線,一旦 一個 ztunnel 被攻破,它的爆炸半徑確實是大於一個 sidecar,安全詳解的部落格中說 Envoy 的 CVE 問題會影響所有 sidecar,升級 sidecar 也會帶來很大的運營成本,所以權衡之下選擇 ambient 模式,安全問題再次給使用者造成了困惑,不過最終選擇的權利還是在使用者自己。
Ambient 模式的限制
目前 ambient 模式的程式碼位於 Istio 程式碼庫的 experimental-ambient 分支 [5] , 根據 Matt Klein 和 Louis Ryan 的說法 [6] ,ztunnel 和 Waypoint proxy 是用 Envoy 實現的,其中 ztunnel 是精簡後的 Envoy,只負責 L4 功能且繼續使用 xDS 協議來控制。但是 ambient 模式依然有很多 限制 [7] ,例如:
• 不支援 EnvoyFilter;
• 直接對 Pod IP 而不是 service 的請求在某些情況下將無效;
• Ambient 模式下的服務無法透過 LoadBalancer 和 NodePort 方式訪問,不過你可以部署一個入口閘道器(未啟用 ambient 模式)以從外部訪問服務;
但是目前在 experimental-ambient 分支中還有看到 ztunnel 和 waypoint 代理的程式碼,更多細節我們不得而知。
來自 “ 雲原生社群 ”, 原文作者:Jimmy Song;原文連結:https://mp.weixin.qq.com/s/98wXMdeutx0wHqcJUIFl8A,如有侵權,請聯絡管理員刪除。
相關文章
- Istio資料面新模式:Ambient Mesh技術解析模式
- 谷歌與Solo.io宣佈將Ambient Mesh引入Istio谷歌
- 如何評價Normalize.cssORMCSS
- 如何客觀的評價 Go 語言Go
- 如何評價ionic和reactnative?React
- 如何評價我們分類模型的效能?模型
- 接了ChatGPT的NewBing如何評價CodeGeeXChatGPT
- 在評價中學習評價
- OpenAI新推出的 ChatGPT3.5-Turbo,價格便宜10倍,效果更好OpenAIChatGPT
- 如何看待和評價www架構?架構
- 如何評價抖音前端開源的 Semi Design ?前端
- 【學員評價】老男孩培訓學習分享,聽聽別人如何評價!
- 如何評價刷了屏的996.ICU事件996事件
- 如何評價ERP專案的經濟效益?(轉)
- 2018三款新iPhone配置價格曝光 新iPhone的配置和價格如何?iPhone
- 如何評價 ChatGPT 回答策略的 ensure only ethical usage 特質ChatGPT
- 模糊綜合評價
- 如何評價 SAP Fiori Design Guidelines?GUIIDE
- 如何挖掘網民意見?評價物件抽取綜述物件
- 星級評價的實現
- 王垠對 JS 的評價JS
- 對其他團隊的評價
- Oracle 對RAW 的官方評價Oracle
- Hack – Facebook推出的新語言
- 如何利用不同模式增加遊戲的重玩價值模式遊戲
- 【綜合評價方法】常見綜合評價方法及其實現
- 2017新車車主評價報告:行業篇行業
- 系統效能評價---效能評估
- Istio新架構揭秘:環境化Mesh架構
- “使命召喚”的新“吃雞”模式味道如何?模式
- Istio技術與實踐05:如何用istio實現流量管理
- idou老師教你學Istio:如何用 Istio 實現速率限制
- 無參考影像的清晰度評價方法 (影像清晰度的評價指標)指標
- 驚喜Skr人,Istio的創始人Shriram Rajagopalan手把手教你如何使用IstioGo
- 評價頁筆記筆記
- 評價判斷類
- Profitero:消費者評價的力量
- 純CSS的星級評價效果CSS