流量網關和微服務網關必須分開建構嗎?
在容器技術和 K8s 主導的雲原生時代,這個命題正浮現出新的答案。
更經濟:将流量網關與微服務網關合二為一,使用者資源成本直降50%
流量網關(如 Nginx )是指提供全局性的、與後端業務應用無關的政策,如 HTTPS 證書解除安裝、Web 防火牆、全局流量監控等;微服務網關(如 Spring Cloud Gateway )是指與業務緊耦合的、提供單個業務域級别的政策,如服務治理、身份認證等。
在虛拟化時期的微服務架構下,業務通常采用流量網關 + 微服務網關的兩層架構,流量網關負責南北向流量排程和安全防護,微服務網關負責東西向流量排程和服務治理,而在容器和 K8s 主導的雲原生時代,Ingress 成為 K8s 生态的網關标準,賦予了網關新的使命,使得流量網關 + 微服務網關合二為一成為可能。
此次阿裡雲 MSE 釋出的雲原生網關在能力不打折的情況下,将兩層網關變為一層,不僅可以節省50%的資源成本,還可以降低運維及使用成本。部署結構示意圖如下,左邊為傳統網關模式,右圖為下一代雲原生網關模式。
雲原生網關部署示意圖
更安全:提供豐富的認證鑒權能力,降低客戶的安全接入成本
認證鑒權是客戶對網關的剛需,MSE 雲原生網關不僅提供正常的 JWT 認證,也提供基于授權開放網絡标準 OAuth 2.0 的 OIDC 認證。同時,MSE 雲原生網關天然支援阿裡雲的應用身份服務
IDaaS,幫助客戶實作支付寶、淘寶、天貓等的三方認證登陸,并以插件的方式支援來擴充認證鑒權功能,以降低客戶的安全接入成本。現有認證鑒權功能如下圖:
認證鑒權功能圖
更統一:網關直連後端服務,打通 Nacos/Eureka/K8s 多種服務來源,并且率先支援 Apache Dubbo3.0 協定
開源已經成為推動軟體發展的源動力之一,面向社群标準、開放的商業産品更有生命力。
Envoy 是最受 K8s 社群歡迎的 Ingress 實作之一,正成為雲原生時代流量入口的标準技術方案。MSE 雲原生網關依托于 Envoy 和 Istio 進行建構,實作了統一的控制面管控,并直連後端服務,支援了 Dubbo3.0、Nacos,打通阿裡雲容器服務ACK,自動同步服務注冊資訊。MSE 雲原生網關對 Dubbo 3.0 與 Nacos 的支援,已經率先在釘釘業務中上線,下圖是釘釘 Dubbo 3.0 落地的部署簡圖如下:
釘釘業務落地簡圖
更穩定:技術積澱已久,曆經2020雙11考驗,每秒承載數10萬筆請求
商用産品并非一朝一夕。
MSE 雲原生網關早已在阿裡巴巴内部經曆千錘百煉。目前已經在支付寶、釘釘、淘寶、天貓、優酷、飛豬、口碑等阿裡各業務系統中使用,并經過2020雙11海量請求的考驗,大促日可輕松承載每秒承10萬筆請求,日請求量達到百億級别。
阿裡巴巴内部雲原生網關業務落地簡圖
商業化後,MSE 雲原生網關提供後付費和包年包月兩類付費模式,支援杭州、上海、北京、深圳4個 region,并會逐漸開放其他 region,新使用者首購立享限時折扣,可釘釘搜尋群号 34754806 可加入使用者群交流。
移步詳情頁了解更多:
https://www.aliyun.com/product/aliware/mse