成本直降50%,下一代網關震撼發佈
- 2021 年 10 月 15 日
- 筆記
- Kubernetes, 雲原生, 雲原生網關, 阿里雲
作者|如葑
傳統網關分類及部署模式
行業中通常把網關分為兩個大類:流量網關與業務網關,流量網關主要提供全局性的、與後端業務無關的策略配置,例如阿里內部的的統一接入網關 Tengine 就是典型的流量網關;業務網關顧名思義主要提供獨立業務域級別的、與後端業務緊耦合策略配置,隨着應用架構模式從單體演進到現在的分佈式微服務,業務網關也有了新的叫法 – 微服務網關(圖示說明如下)。在目前容器技術與 K8s 主導的雲原生時代,下一代網關模式依然是這樣嗎?
下一代網關產品畫像
正如上文圖中的提問:在容器技術與 K8s 主導的雲原生時代,下一代的網關模式仍然會是傳統的流量網關與微服務網關兩層架構嗎?帶着這個問題並結合阿里內部沉澱的網關技術與運維經驗,我們嘗試為下一代網關產品做了產品畫像,說明如下:
作為下一代網關產品,我們對其中幾個非常核心的要素展開說明下:
- 雲原生:要支持標準 K8s Ingress、K8s Gateway API 以及 K8s 服務發現,在雲原生時代 K8s 已經成為雲 OS,而 K8s 原生集群內外部的網絡是隔離的,負責外部流量進入 K8s 集群的規範定義就是 K8s Ingress,K8s Gateway API是 K8s Ingress 的進一步演化,基於此作為下一代網關勢必要支持這種特性。
- 擁抱開源:要基於開源生態構建網關,藉助開源並助力開源,相信這點大家應該都不陌生。
- 高擴展:任何一個網關的能力都不可能覆蓋所有的用戶訴求,要具備可擴展能力,例如 K8s 的蓬勃發展與其開放的擴展能力功不可沒。
- 服務治理:隨着應用架構演進到分佈式微服務,網關本身就是為後端業務提供流量調度能力,其支持基本的服務治理能力也就順其自然了。
- 豐富的可觀測性:分佈式微服務架構帶來協同效率提升等益處的同時,對於問題排查及運維帶來了更大的挑戰,作為流量橋頭堡的網關需要具備豐富的可觀測數據,幫助用戶來定位問題。
雲原生網關的誕生
基於上述我們對下一代網關的理解,率先在阿里內部推出了雲原生網關,並成功在多業務上線部署且經歷了雙11大促的考驗,雲原生網關圖示說明如下:
雲原生網關的產品優勢
更經濟:將流量網關與微服務網關合二為一,用戶資源成本直降50%
在虛擬化時期的微服務架構下,業務通常採用流量網關 + 微服務網關的兩層架構,流量網關負責南北向流量調度和安全防護,微服務網關負責東西向流量調度和服務治理,而在容器和 K8s 主導的雲原生時代,Ingress 成為 K8s 生態的網關標準,賦予了網關新的使命,使得流量網關 + 微服務網關合二為一成為可能。
此次阿里雲 MSE 發佈的雲原生網關在能力不打折的情況下,將兩層網關變為一層,不僅可以節省50%的資源成本,還可以降低運維及使用成本。部署結構示意圖如下,左邊為傳統網關模式,右圖為下一代雲原生網關模式。
在微服務的大背景下,豐富的可觀測能力也是用戶的基礎核心訴求,雲原生網關基於此默認集成了阿里雲應用實時監控服務ARMS,提供豐富的可觀測數據,且該功能對用戶免費。
更安全:提供豐富的認證鑒權能力,降低客戶的安全接入成本
認證鑒權是客戶對網關的剛需,MSE 雲原生網關不僅提供常規的 JWT 認證,也提供基於授權開放網絡標準 OAuth 2.0 的 OIDC 認證。同時,MSE 雲原生網關天然支持阿里雲的應用身份服務 IDaaS,幫助客戶實現支付寶、淘寶、天貓等的三方認證登錄,並以插件的方式支持來擴展認證鑒權功能,以降低客戶的安全接入成本。現有認證鑒權功能如下圖:
更統一:網關直連後端服務,打通 Nacos/Eureka/K8s 多種服務來源,並且率先支持 Apache Dubbo3.0 協議
開源已經成為推動軟件發展的源動力之一,面向社區標準、開放的商業產品更有生命力。
Envoy 是最受 K8s 社區歡迎的 Ingress 實現之一,正成為雲原生時代流量入口的標準技術方案。MSE 雲原生網關依託於 Envoy 和 Istio 進行構建,實現了統一的控制面管控,並直連後端服務,支持了 Dubbo3.0、Nacos,打通阿里雲容器服務ACK,自動同步服務註冊信息。MSE 雲原生網關對 Dubbo 3.0 與 Nacos 的支持,已經率先在釘釘業務中上線,下圖是釘釘 Dubbo 3.0 落地的部署簡圖如下:
更穩定:技術積澱已久,歷經 2020 雙 11 考驗,每秒承載數 10 萬筆請求
商用產品並非一朝一夕。
MSE 雲原生網關早已在阿里巴巴內部經歷千錘百鍊。目前已經在支付寶、釘釘、淘寶、天貓、優酷、飛豬、口碑等阿里各業務系統中使用,並經過 2020 雙 11 海量請求的考驗,大促日可輕鬆承載每秒數 10 萬筆請求,日請求量達到百億級別。
雲原生網關適用場景
雲原生網關目前可以涵蓋南北向、東西向全業務場景,即可以支持傳統的註冊中心,例如 Nacos,也可以支持 K8s Service,同時也可以支持傳統 ECS,下面通過圖示說明如下:
寫在最後
目前雲原生網關已正式商業化,旨在為用戶提供更可靠的、成本更低、效率更高的符合 K8s Ingress 標準的企業級網關產品,更多發佈詳情移步直播間觀看:
//yqh.aliyun.com/live/detail/26484
雲原生網關提供後付費和包年包月兩類付費模式,支持杭州、上海、北京、深圳 4 個 region,並會逐步開放其他 region,雲原生網關優惠期全部 9 折優惠,購買鏈接在文末相關鏈接中。
釘釘掃描下方二維碼或搜索群號 34754806 加入用戶群交流、答疑。
點擊文末閱讀原文了解更多產品相關信息。
相關鏈接:
1)IDaaS介紹:
//help.aliyun.com/document_detail/112323.html
2)雲原生網關購買鏈接:
//www.aliyun.com/product/aliware/mse?spm=5176.19720258.J_2937333540.8.652f2c4ag5onyh&scm=20140722.B_8470.P_5034.MO_406-ST_4277-ID_26497-CID_26497-V_1