傳統網關分類及部署模式
行業中通常把網關分為兩個大類:流量網關與業務網關,流量網關主要提供全局性的、與後端業務無關的政策配置,例如阿裡内部的的統一接入網關 Tengine 就是典型的流量網關;業務網關顧名思義主要提供獨立業務域級别的、與後端業務緊耦合政策配置,随着應用架構模式從單體演進到現在的分布式微服務,業務網關也有了新的叫法 - 微服務網關(圖示說明如下)。在目前容器技術與 K8s 主導的雲原生時代,下一代網關模式依然是這樣嗎?
下一代網關産品畫像
正如上文圖中的提問:在容器技術與 K8s 主導的雲原生時代,下一代的網關模式仍然會是傳統的流量網關與微服務網關兩層架構嗎?帶着這個問題并結合阿裡内部沉澱的網關技術與運維經驗,我們嘗試為下一代網關産品做了産品畫像,說明如下:
作為下一代網關産品,我們對其中幾個非常核心的要素展開說明下:
- 雲原生:要支援标準 K8s Ingress、K8s Gateway API 以及 K8s 服務發現,在雲原生時代 K8s 已經成為雲 OS,而 K8s 原生叢集内外部的網絡是隔離的,負責外部流量進入 K8s 叢集的規範定義就是 K8s Ingress,K8s Gateway API是 K8s Ingress 的進一步演化,基于此作為下一代網關勢必要支援這種特性。
- 擁抱開源:要基于開源生态建構網關,借助開源并助力開源,相信這點大家應該都不陌生。
- 高擴充:任何一個網關的能力都不可能覆寫所有的使用者訴求,要具備可擴充能力,例如 K8s 的蓬勃發展與其開放的擴充能力功不可沒。
- 服務治理:随着應用架構演進到分布式微服務,網關本身就是為後端業務提供流量排程能力,其支援基本的服務治理能力也就順其自然了。
- 豐富的可觀測性:分布式微服務架構帶來協同效率提升等益處的同時,對于問題排查及運維帶來了更大的挑戰,作為流量橋頭堡的網關需要具備豐富的可觀測資料,幫助使用者來定位問題。
雲原生網關的誕生
基于上述我們對下一代網關的了解,率先在阿裡内部推出了雲原生網關,并成功在多業務上線部署且經曆了雙11大促的考驗,雲原生網關圖示說明如下:
雲原生網關的産品優勢
更經濟:将流量網關與微服務網關合二為一,使用者資源成本直降50%
在虛拟化時期的微服務架構下,業務通常采用流量網關 + 微服務網關的兩層架構,流量網關負責南北向流量排程和安全防護,微服務網關負責東西向流量排程和服務治理,而在容器和 K8s 主導的雲原生時代,Ingress 成為 K8s 生态的網關标準,賦予了網關新的使命,使得流量網關 + 微服務網關合二為一成為可能。
此次阿裡雲 MSE 釋出的雲原生網關在能力不打折的情況下,将兩層網關變為一層,不僅可以節省50%的資源成本,還可以降低運維及使用成本。部署結構示意圖如下,左邊為傳統網關模式,右圖為下一代雲原生網關模式。
在微服務的大背景下,豐富的可觀測能力也是使用者的基礎核心訴求,雲原生網關基于此預設內建了阿裡雲應用實時監控服務ARMS,提供豐富的可觀測資料,且該功能對使用者免費。
更安全:提供豐富的認證鑒權能力,降低客戶的安全接入成本
認證鑒權是客戶對網關的剛需,MSE 雲原生網關不僅提供正常的 JWT 認證,也提供基于授權開放網絡标準 OAuth 2.0 的 OIDC 認證。同時,MSE 雲原生網關天然支援阿裡雲的應用身份服務 IDaaS,幫助客戶實作支付寶、淘寶、天貓等的三方認證登入,并以插件的方式支援來擴充認證鑒權功能,以降低客戶的安全接入成本。現有認證鑒權功能如下圖:
更統一:網關直連後端服務,打通 Nacos/Eureka/K8s 多種服務來源,并且率先支援 Apache Dubbo3.0 協定
開源已經成為推動軟體發展的源動力之一,面向社群标準、開放的商業産品更有生命力。
Envoy 是最受 K8s 社群歡迎的 Ingress 實作之一,正成為雲原生時代流量入口的标準技術方案。MSE 雲原生網關依托于 Envoy 和 Istio 進行建構,實作了統一的控制面管控,并直連後端服務,支援了 Dubbo3.0、Nacos,打通阿裡雲容器服務ACK,自動同步服務注冊資訊。MSE 雲原生網關對 Dubbo 3.0 與 Nacos 的支援,已經率先在釘釘業務中上線,下圖是釘釘 Dubbo 3.0 落地的部署簡圖如下:
更穩定:技術積澱已久,曆經 2020 雙 11 考驗,每秒承載數 10 萬筆請求
商用産品并非一朝一夕。
MSE 雲原生網關早已在阿裡巴巴内部經曆千錘百煉。目前已經在支付寶、釘釘、淘寶、天貓、優酷、飛豬、口碑等阿裡各業務系統中使用,并經過 2020 雙 11 海量請求的考驗,大促日可輕松承載每秒數 10 萬筆請求,日請求量達到百億級别。
雲原生網關适用場景
雲原生網關目前可以涵蓋南北向、東西向全業務場景,即可以支援傳統的注冊中心,例如 Nacos,也可以支援 K8s Service,同時也可以支援傳統 ECS,下面通過圖示說明如下:
寫在最後
目前雲原生網關已正式商業化,旨在為使用者提供更可靠的、成本更低、效率更高的符合 K8s Ingress 标準的企業級網關産品,更多釋出詳情移步直播間觀看:
https://yqh.aliyun.com/live/detail/26484雲原生網關提供後付費和包年包月兩類付費模式,支援杭州、上海、北京、深圳 4 個 region,并會逐漸開放其他 region,雲原生網關優惠期全部 9 折優惠,購買連結在文末相關連結中。
釘釘掃描下方二維碼或搜尋群号 34754806 加入使用者群交流、答疑。
點選下方連結了解更多産品相關資訊:
https://www.aliyun.com/product/aliware/mse相關連結:
1)IDaaS介紹:
https://help.aliyun.com/document_detail/112323.html2)雲原生網關購買連結:
https://www.aliyun.com/product/aliware/mse?spm=5176.19720258.J_2937333540.8.652f2c4ag5onyh&scm=20140722.B_8470.P_5034.MO_406-ST_4277-ID_26497-CID_26497-V_1