Við erum ánægð með að kynna forskoðunarútgáfu (NSM), búnt létt þjónustunet sem notar NGINX Plus byggt gagnaplan til að stjórna gámaumferð í Kubernetes umhverfi.
NSM er ókeypis . Við vonum að þú prófir það fyrir þróunar- og prófunarumhverfi - og hlökkum til að fá álit þitt .
Innleiðing aðferðafræði örþjónustu er mikil erfiðleikum bundin eftir því sem umfang afhendingar eykst, sem og flókið. Samskipti milli þjónustu verða flóknari, villuleit erfiðari og sífellt fleiri þjónustur þurfa meira fjármagn til að stjórna.
NSM leysir þessi vandamál með því að veita þér:
- öryggi, sem er nú mikilvægara en nokkru sinni fyrr. Gagnabrot getur kostað fyrirtæki milljónir dollara árlega í tapuðum tekjum og orðspori. NSM tryggir að allar tengingar séu dulkóðaðar með mTLS, þannig að það eru engin viðkvæm gögn sem tölvuþrjótar geta stolið yfir netið. Aðgangsstýring gerir þér kleift að setja reglur um hvernig þjónusta hefur samskipti við aðra þjónustu.
- umferðarstjórnun. Þegar þú sendir nýja útgáfu af forriti gætirðu viljað byrja á því að takmarka komandi umferð á það ef villur koma upp. Með snjöllri gámaumferðarstjórnun NSM geturðu stillt umferðartakmarkanastefnu fyrir nýja þjónustu sem mun auka umferð með tímanum. Aðrir eiginleikar, eins og hraðatakmörkun og aflrofar, veita þér fulla stjórn á umferðarflæði allrar þjónustu þinnar.
- Sjónræn. Að stjórna þúsundum þjónustu getur verið kembiforrit og martröð. NSM hjálpar til við að takast á við þessar aðstæður með innbyggðu Grafana mælaborði sem sýnir alla eiginleika sem til eru í NGINX Plus. Og einnig gerir útfærð Open Tracing þér kleift að fylgjast með viðskiptum í smáatriðum.
- Hybrid sendingar, ef fyrirtæki þitt, eins og flest önnur, notar ekki innviði sem keyra algjörlega á Kubernetes. NSM tryggir að eldri forrit séu ekki skilin eftir án eftirlits. Með hjálp innleidda NGINX Kubernetes Ingress Controller mun eldri þjónusta geta átt samskipti við netþjónustur og öfugt.
NSM tryggir einnig öryggi forrita í núlltraustsumhverfi með því að beita gagnsærri dulkóðun og auðkenningu á gámaumferð. Það veitir einnig sýnileika og greiningu viðskipta, sem hjálpar þér fljótt og örugglega að hefja dreifingu og leysa vandamál. Það veitir einnig nákvæma umferðarstýringu, sem gerir DevOps teymum kleift að dreifa og fínstilla hluta forrita á meðan það gerir forriturum kleift að smíða og tengja auðveldlega dreifð forrit sín.
Hvernig virkar NGINX Service Mesh?
NSM samanstendur af sameinuðu gagnaplani fyrir lárétta (þjónustu-til-þjónustu) umferð og innbyggðum NGINX Plus Ingress Controller fyrir lóðrétta umferð, stjórnað af einni stjórnvél.
Stjórnarplanið er sérstaklega hannað og fínstillt fyrir NGINX Plus gagnaplanið og skilgreinir umferðarstýringarreglur sem dreift er um NGINX Plus hliðarvagna.
Í NSM eru umboð fyrir hliðarvagna sett upp fyrir hverja þjónustu í möskva. Þeir tengjast eftirfarandi opnum lausnum:
- Grafana, Prometheus færibreytur sjón, innbyggt NSM spjaldið hjálpar þér við vinnu þína;
- Kubernetes Ingress Controllers, til að stjórna komandi og útleiðandi umferð í möskva;
- SPIRE, CA til að stjórna, dreifa og uppfæra vottorð í möskva;
- NATS, stigstærð kerfi til að senda skilaboð, svo sem leiðaruppfærslur, frá stjórnvélinni til hliðarvagna;
- Opna rekja, dreifða villuleit (Zipkin og Jaeger studd);
- Prometheus, safnar og geymir eiginleika frá NGINX Plus hliðarbílum, svo sem fjölda beiðna, tenginga og SSL handaband.
Aðgerðir og íhlutir
NGINX Plus sem gagnaplan nær til hliðarvagns proxy (lárétt umferð) og Ingress stjórnandi (lóðrétt), stöðva og stjórna gámaumferð á milli þjónustu.
Eiginleikar fela í sér:
- Gagnkvæm TLS (mTLS) auðkenning;
- Álagsjafnvægi;
- Bilanaþol;
- Hraðatakmörk;
- Brot á hringrás;
- Blágrænar og kanarífuglar;
- Aðgangsstýring.
Ræsir NGINX Service Mesh
Til að keyra NSM þarftu:
- aðgang að Kubernetes umhverfinu. NGINX Service Mesh er stutt á mörgum Kubernetes kerfum, þar á meðal Amazon Elastic Container Service fyrir Kubernetes (EKS), Azure Kubernetes Service (AKS), Google Kubernetes Engine (GKE), VMware vSphere og venjulegum Kubernetes klösum sem eru settir á vélbúnaðarþjóna;
- Tól
kubectl, uppsett á vélinni sem NSM verður sett upp úr; - Aðgangur að útgáfupökkum NGINX Service Mesh. Pakkinn inniheldur NSM myndir sem þarf til að hlaða upp í einkaskrá fyrir gáma sem eru tiltækar í Kubernetes klasanum. Pakkinn inniheldur einnig
nginx-meshctl, þarf til að dreifa NSM.
Til að dreifa NSM með sjálfgefnum stillingum skaltu keyra eftirfarandi skipun. Meðan á uppsetningu stendur birtast skilaboð sem gefa til kynna vel heppnaða uppsetningu á íhlutum og að lokum skilaboð sem gefa til kynna að NSM sé í gangi í sérstöku nafnrými (þú þarft fyrst að og settu það í skrána, ca. þýðandi):
$ DOCKER_REGISTRY=your-Docker-registry ; MESH_VER=0.6.0 ;
./nginx-meshctl deploy
--nginx-mesh-api-image "${DOCKER_REGISTRY}/nginx-mesh-api:${MESH_VER}"
--nginx-mesh-sidecar-image "${DOCKER_REGISTRY}/nginx-mesh-sidecar:${MESH_VER}"
--nginx-mesh-init-image "${DOCKER_REGISTRY}/nginx-mesh-init:${MESH_VER}"
--nginx-mesh-metrics-image "${DOCKER_REGISTRY}/nginx-mesh-metrics:${MESH_VER}"
Created namespace "nginx-mesh".
Created SpiffeID CRD.
Waiting for Spire pods to be running...done.
Deployed Spire.
Deployed NATS server.
Created traffic policy CRDs.
Deployed Mesh API.
Deployed Metrics API Server.
Deployed Prometheus Server nginx-mesh/prometheus-server.
Deployed Grafana nginx-mesh/grafana.
Deployed tracing server nginx-mesh/zipkin.
All resources created. Testing the connection to the Service Mesh API Server...
Connected to the NGINX Service Mesh API successfully.
NGINX Service Mesh is running.Fyrir fleiri valkosti, þar á meðal háþróaðar stillingar, keyrðu þessa skipun:
$ nginx-meshctl deploy –hAthugaðu hvort stjórnplanið virki rétt í nafnarýminu nginx-möskva, þú getur líkað þetta:
$ kubectl get pods –n nginx-mesh
NAME READY STATUS RESTARTS AGE
grafana-6cc6958cd9-dccj6 1/1 Running 0 2d19h
mesh-api-6b95576c46-8npkb 1/1 Running 0 2d19h
nats-server-6d5c57f894-225qn 1/1 Running 0 2d19h
prometheus-server-65c95b788b-zkt95 1/1 Running 0 2d19h
smi-metrics-5986dfb8d5-q6gfj 1/1 Running 0 2d19h
spire-agent-5cf87 1/1 Running 0 2d19h
spire-agent-rr2tt 1/1 Running 0 2d19h
spire-agent-vwjbv 1/1 Running 0 2d19h
spire-server-0 2/2 Running 0 2d19h
zipkin-6f7cbf5467-ns6wc 1/1 Running 0 2d19hÞað fer eftir dreifingarstillingunum sem setja handvirka eða sjálfvirka innspýtingarstefnu, NGINX hliðarvagna umboðsmönnum verður sjálfgefið bætt við forrit. Til að slökkva á sjálfvirkri viðbót skaltu lesa
Til dæmis, ef við sendum forritið sofa í nafnrými sjálfgefið, og athugaðu síðan Pod - við munum sjá tvo hlaupandi gáma, forritið sofa og tilheyrandi hliðarvagn:
$ kubectl apply –f sleep.yaml
$ kubectl get pods –n default
NAME READY STATUS RESTARTS AGE
sleep-674f75ff4d-gxjf2 2/2 Running 0 5h23mVið getum líka fylgst með umsókninni sofa í NGINX Plus spjaldinu, keyrðu þessa skipun til að fá aðgang að hliðarvagni frá staðbundinni vél:
$ kubectl port-forward sleep-674f75ff4d-gxjf2 8080:8886Svo förum við bara inn í vafranum. Þú getur líka tengst Prometheus til að fylgjast með forritinu sofa.
Þú getur notað einstök Kubernetes tilföng til að stilla umferðarstefnur, svo sem aðgangsstýringu, takmörkun á hraða og rafrásarrof, fyrir þetta sjá
Ályktun
NGINX Service Mesh er fáanlegt fyrir ókeypis niðurhal á . Prófaðu það í þróunar- og prófunarumhverfi þínu og .
Til að prófa NGINX Plus Ingress Controller, virkjaðu í 30 daga, eða til að ræða notkunartilvik þín.
Þýðing af Pavel Demkovich, verkfræðingi fyrirtækisins . Kerfisstjórnun fyrir RUB 15 á mánuði. Og sem sér deild - þjálfunarmiðstöð , æfa og ekkert nema æfa.
Heimild: www.habr.com