インターネット上 パイル 物品 о サービスメッシュ (サービス メッシュ)、もう 10 つはこれです。 万歳！ しかし、なぜ？ そこで、Docker や Kubernetes などのコンテナ プラットフォームが登場する前の XNUMX 年前のサービス メッシュの方が良かったのではないかという私の意見を述べたいと思います。 私の視点が他の視点より優れているか劣っていると言っているわけではありませんが、サービス メッシュは非常に複雑な動物であるため、複数の視点がサービス メッシュをより深く理解するのに役立ちます。

ここでは、XNUMX を超えるマイクロサービス上に構築され、コンテナ内の数千のアプリケーションをサポートする dotCloud プラットフォームについて説明します。 開発と立ち上げで遭遇した課題と、サービス メッシュがどのように役立つか (または役に立たないか) について説明します。

dotCloudの歴史

dotCloud の歴史とこのプラットフォームのアーキテクチャの選択については書きましたが、ネットワーク層についてはあまり話してきませんでした。 読書に没頭したくない場合は、 前回の記事 dotCloud について、その要点を簡単に説明します。これは、顧客が幅広いアプリケーション (Java、PHP、Python...) を実行できるようにするサービスとしての PaaS プラットフォームであり、幅広いデータをサポートします。サービス (MongoDB、MySQL、Redis...) と Heroku のようなワークフロー: コードをプラットフォームにアップロードすると、コンテナー イメージが構築され、デプロイされます。

トラフィックがどのようにして dotCloud プラットフォームに誘導されたかを説明します。 それは特にクールだったからではありません (システムは当時としてはうまく機能しましたが!)。主に、最新のツールを使えば、束の間でトラフィックをルーティングする方法が必要な場合、このような設計は小規模なチームでも短時間で簡単に実装できるためです。マイクロサービスやアプリケーションの束。 こうすることで、すべてを自分で開発した場合と既存のサービス メッシュを使用した場合に何が起こるかというオプションを比較できます。 標準的な選択は、自分で作るか購入することです。

ホスト型アプリケーションのトラフィック ルーティング

dotCloud 上のアプリケーションは、HTTP および TCP エンドポイントを公開できます。

HTTPエンドポイント ロードバランサクラスタ構成に動的に追加される 腰痛。 これは、リソースが現在行っていることと似ています。 進入 Kubernetes とロードバランサーのような トレフィク.

ドメイン名が dotCloud ロード バランサーを指している場合、クライアントは適切なドメインを介して HTTP エンドポイントに接続します。 特にない。

TCPエンドポイント ポート番号に関連付けられ、環境変数を介してそのスタック内のすべてのコンテナに渡されます。

クライアントは、適切なホスト名 (gateway-X.dotcloud.com など) とポート番号を使用して TCP エンドポイントに接続できます。

このホスト名は「nats」サーバー クラスターに解決されます (サーバー クラスターとは関係ありません)。 NATS)、これにより、受信 TCP 接続が正しいコンテナー (または、負荷分散サービスの場合は、正しいコンテナー) にルーティングされます。

Kubernetes に精通している場合は、おそらくサービスを思い出すでしょう。 ノードポート.

dotCloud プラットフォームには同等のサービスがありませんでした クラスターIP: わかりやすくするために、サービスにはプラットフォームの内側と外側の両方から同じ方法でアクセスしました。

すべてが非常にシンプルに構成されていました。HTTP および TCP ルーティング ネットワークの初期実装は、おそらくそれぞれわずか数百行の Python でした。 プラットフォームが成長し、追加の要件が現れるにつれて洗練された、単純な (単純な) アルゴリズム。

既存のコードの大規模なリファクタリングは必要ありませんでした。 特に、 12要素アプリ 環境変数を通じて取得したアドレスを直接使用できます。

これは最新のサービス メッシュとどう違うのでしょうか?

限定 可視性。 TCP ルーティング メッシュのメトリクスはまったくありませんでした。 HTTP ルーティングに関しては、後のバージョンではエラー コードと応答時間による詳細な HTTP メトリクスが導入されましたが、最新のサービス メッシュはさらに進化し、たとえば Prometheus などのメトリクス収集システムとの統合を提供します。

可視性は、運用上の観点 (問題のトラブルシューティングに役立つ) だけでなく、新機能がリリースされたときにも重要です。 安全について話す ブルーグリーン展開 и カナリアの展開.

ルーティング効率 も限られています。 dotCloud ルーティング メッシュでは、すべてのトラフィックが専用ルーティング ノードのクラスターを通過する必要がありました。 これは、複数の AZ (アベイラビリティ ゾーン) 境界を越える可能性があり、レイテンシが大幅に増加することを意味しました。 ページごとに XNUMX を超える SQL クエリを作成し、クエリごとに SQL サーバーへの新しい接続を開くコードのトラブルシューティングを覚えています。 ローカルで実行するとページは即座に読み込まれますが、dotCloud では各 TCP 接続 (および後続の SQL クエリ) に数十ミリ秒かかるため、読み込みに数秒かかります。 この特定のケースでは、永続的な接続によって問題が解決されました。

最新のサービス メッシュは、このような問題への対処に優れています。 まず最初に、接続がルーティングされていることを確認します。 ソースで。 論理的な流れは同じです。 клиент → меш → сервисただし、メッシュはリモート ノードではなくローカルで動作するため、接続は клиент → меш ローカルで非常に高速です (ミリ秒ではなくマイクロ秒)。

最新のサービス メッシュでは、よりスマートな負荷分散アルゴリズムも実装されています。 バックエンドの状態を監視することで、より多くのトラフィックをより高速なバックエンドに送信できるようになり、全体的なパフォーマンスが向上します。

セキュリティ も良いです。 dotCloud ルーティング メッシュは完全に EC2 Classic 上で実行され、トラフィックは暗号化されませんでした (誰かが EC2 ネットワーク トラフィックにスニファーを設置できた場合、すでに大きな問題に陥っているという想定に基づいています)。 最新のサービス メッシュは、相互 TLS 認証とその後の暗号化などにより、すべてのトラフィックを透過的に保護します。

プラットフォームサービスのトラフィックルーティング

さて、アプリケーション間のトラフィックについて説明しましたが、dotCloud プラットフォーム自体についてはどうなのでしょうか?

プラットフォーム自体は、さまざまな機能を担当する約 XNUMX のマイクロサービスで構成されていました。 他のサービスからのリクエストを受け入れているものもあれば、他のサービスに接続するものの接続自体は受け付けないバックグラウンド ワーカーもいます。 いずれの場合も、各サービスは接続する必要があるアドレスのエンドポイントを知っている必要があります。

多くの高レベルのサービスは、上記のルーティング メッシュを使用する場合があります。 実際、XNUMX を超える dotCloud マイクロサービスの多くは、dotCloud プラットフォーム自体に通常のアプリケーションとしてデプロイされています。 しかし、少数の低レベル サービス (特に、このルーティング メッシュを実装するサービス) には、依存関係が少なく、より単純なものが必要でした (なぜなら、サービス自体が機能することに依存できないためです。古き良き鶏が先か卵が先かの問題です)。

これらの低レベルのミッションクリティカルなサービスは、いくつかの主要なノードでコンテナを直接実行することによってデプロイされました。 この場合、標準のプラットフォーム サービス (リンカー、スケジューラー、ランナー) は使用されませんでした。 最新のコンテナ プラットフォームに例えると、次のようにしてコントロール プレーンを実行するようなものです。 docker run タスクを Kubernetes に委任するのではなく、ノード上で直接実行します。 コンセプトとしてはかなり似ています 静的モジュール (ポッド)、それが使用する クビーズ または ブートクベ スタンドアロン クラスターを起動するとき。

これらのサービスは単純かつ粗雑な方法で公開されました。YAML ファイルにはサービスの名前とアドレスがリストされていました。 各クライアントは、展開用にこの YAML ファイルのコピーを取得する必要がありました。

一方で、Zookeeper などの外部キー/値ストアのサポートを必要としないため、非常に信頼性が高くなります (当時は etcd や Consul が存在しなかったことを思い出してください)。 一方で、サービスの移行が難しくなった。 移動が行われるたびに、すべてのクライアントは更新された YAML ファイルを受信します (場合によっては再起動します)。 あまり快適ではありません!

その後、各クライアントがローカル プロキシ サーバーに接続する新しいスキームの実装を開始しました。 アドレスとポートの代わりに、サービスのポート番号を知る必要があるだけで、次の方法で接続できます。 localhost。 ローカル プロキシはこの接続を処理し、実際のサーバーに転送します。 バックエンドを別のマシンに移動したりスケーリングしたりする場合、すべてのクライアントを更新するのではなく、これらすべてのローカル プロキシのみを更新する必要があります。 再起動は必要なくなりました。

(TLS 接続のトラフィックをカプセル化し、受信側に別のプロキシ サーバーを配置し、受信側サービスの参加なしで TLS 証明書を検証することも計画されていました。受信側サービスは、接続のみを受け入れるように構成されています) localhost。 これについては後で詳しく説明します）。

これは非常によく似ています スマートスタック Airbnb からのものですが、大きな違いは、SmartStack が実装され、運用環境にデプロイされているのに対し、dotCloud の内部ルーティング システムは、dotCloud が Docker になったときに棚上げされたことです。

私は個人的に、SmartStack は Istio、Linkerd、Consul Connect などのシステムの前身であると考えています。これらはすべて同じパターンに従っているためです。

• 各ノードでプロキシを実行します。
• クライアントはプロキシに接続します。
• バックエンドが変更されると、コントロール プレーンはプロキシ構成を更新します。
• … 利益！

サービス メッシュの最新の実装

今日、同様のグリッドを実装する必要がある場合、同様の原則を使用できます。 たとえば、サービス名を空間内のアドレスにマッピングして内部 DNS ゾーンを設定します。 127.0.0.0/8。 次に、クラスター内の各ノードで HAProxy を実行し、各サービス アドレス (そのサブネット内) での接続を受け入れます。 127.0.0.0/8) および負荷を適切なバックエンドにリダイレクト/バランスします。 HAProxy構成を制御可能 信頼を使用すると、バックエンド情報を etcd または Consul に保存し、必要に応じて更新された設定を HAProxy に自動的にプッシュできます。

これが Istio の仕組みとほとんど同じです。 ただし、いくつかの違いがあります:

• 用途 特使代理人 HAProxy の代わりに。
• etcd や Consul ではなく、Kubernetes API 経由でバックエンド構成を保存します。
• サービスには、127.0.0.0/8 ではなく、内部サブネット上のアドレス (Kubernetes ClusterIP アドレス) が割り当てられます。
• クライアントとサーバー間の相互 TLS 認証を追加する追加コンポーネント (Citadel) があります。
• サーキット ブレーク、分散トレース、カナリア デプロイメントなどの新機能をサポートします。

いくつかの違いを簡単に見てみましょう。

特使代理人

Envoy Proxy は Lyft (タクシー市場における Uber の競合企業 - 約 XNUMX 万円) によって作成されました。 あたり。]。 これは他のプロキシ (HAProxy、Nginx、Traefik など) と多くの点で似ていますが、Lyft が独自に作成したのは、他のプロキシにはない機能が必要であり、拡張するよりも新しいプロキシを作成する方が賢明であると思われたためです。既存のもの。

Envoy は単独でも使用できます。 他のサービスに接続する必要がある特定のサービスがある場合は、そのサービスを Envoy に接続するように構成し、他のサービスの場所を使用して Envoy を動的に構成および再構成すると同時に、可視性などの多くの優れた追加機能を利用できます。 カスタム クライアント ライブラリを使用したり、コードに呼び出しトレースを挿入したりする代わりに、Envoy にトラフィックを送信し、Envoy がメトリクスを収集します。

ただし、Envoy は次のように動作することもできます。 データプレーン サービス メッシュの (データ プレーン)。 これは、Envoy がこのサービス メッシュ用に構成されたことを意味します コントロールプレーン (コントロールプレーン)。

コントロールプレーン

コントロール プレーンの場合、Istio は Kubernetes API に依存します。 これは confd を使用するのとあまり変わりません、etcd または Consul に依存して、データ ストア内のキーのセットを検索します。 Istio は、Kubernetes API を通じて Kubernetes リソースのセットを調べます。

これとその間：個人的にこれは便利だと思いました Kubernetes API の説明それは次のようになります:

Kubernetes API サーバーは、API リソースのストレージ、バージョン管理、検証、更新、セマンティクスを提供する「ダム サーバー」です。

Istio は Kubernetes と連携するように設計されています。 Kubernetes の外部で使用する場合は、Kubernetes API サーバー (および etcd ヘルパー サービス) のインスタンスを実行する必要があります。

サービスアドレス

Istio は Kubernetes が割り当てる ClusterIP アドレスに依存しているため、Istio サービスは内部アドレス (範囲外) を受け取ります。 127.0.0.0/8).

Istio を使用しない Kubernetes クラスター内の特定のサービスの ClusterIP アドレスへのトラフィックは、kube-proxy によってインターセプトされ、プロキシのバックエンドに送信されます。 技術的な詳細に興味がある場合は、kube-proxy が iptables ルール (または、構成方法に応じて IPVS ロード バランサー) をセットアップして、ClusterIP アドレスに向かう接続の宛先 IP アドレスを書き換えます。

Istio が Kubernetes クラスターにインストールされると、コンテナーを導入して特定のコンシューマー、さらには名前空間全体に対して明示的に有効にするまで、何も変わりません。 sidecar カスタムポッドに。 このコンテナは Envoy インスタンスを起動し、他のサービスに向かうトラフィックをインターセプトし、そのトラフィックを Envoy にリダイレクトする一連の iptables ルールを設定します。

Kubernetes DNS と統合すると、コードがサービス名で接続できるようになり、すべてが「正常に動作」することになります。 つまり、コードは次のようなクエリを発行します。 http://api/v1/users/4242それから api ～のリクエストを解決する 10.97.105.48の場合、iptables ルールは 10.97.105.48 からの接続をインターセプトし、ローカルの Envoy プロキシにリダイレクトし、リクエストを実際の API バックエンドに転送します。 ふう！

追加のフリル

Istio は、mTLS (相互 TLS) を介したエンドツーエンドの暗号化と認証も提供します。 と呼ばれるコンポーネント 要塞.

コンポーネントもあります ミキサーEnvoy がリクエストできるもの それぞれの リクエストは、ヘッダーやバックエンドの負荷などのさまざまな要因に応じて、そのリクエストについて特別な決定を下す必要があります... (心配しないでください。Mixer を実行し続ける方法はたくさんあり、たとえクラッシュしても Envoy は動作し続けます)代理として問題ありません）。

そしてもちろん、可視性についても触れました。Envoy は分散トレースを提供しながら、膨大な量のメトリクスを収集します。 マイクロサービス アーキテクチャでは、単一の API リクエストがマイクロサービス A、B、C、D を経由する必要がある場合、ログイン時に分散トレースによって一意の識別子がリクエストに追加され、この識別子がこれらすべてのマイクロサービスへのサブリクエストを通じて保存されます。関連するすべての通話やその遅延などをキャプチャできます。

開発するか購入するか

Istio は複雑であるという評判があります。 対照的に、この投稿の冒頭で説明したルーティング メッシュの構築は、既存のツールを使用することで比較的簡単です。 では、代わりに独自のサービス メッシュを作成することは意味があるのでしょうか?

ある程度のニーズがある場合 (可視性、サーキット ブレーカー、その他の微妙な機能は必要ありません)、独自のツールを開発することを考えます。 しかし、Kubernetes を使用する場合、Kubernetes はすでにサービス検出と負荷分散のための基本的なツールを提供しているため、Kubernetes は必要ない可能性もあります。

しかし、高度な要件がある場合は、サービス メッシュを「購入」する方がはるかに良い選択肢のように思えます。 (Istio はオープンソースであるため、これは必ずしも「購入」というわけではありませんが、Istio を理解し、展開し、管理するためにエンジニアリング時間を投資する必要があります。)

Istio、Linkerd、または Consul Connect を選択する必要がありますか?

ここまでは Istio についてのみ説明しましたが、サービス メッシュはこれだけではありません。 人気のある代替品 - リンカード、さらにあります 領事コネクト.

何を選択するには？

正直に言うと、分かりません。 現時点では、私にはこの質問に答えるのに十分な能力があるとは考えていません。 いくつかあります おもしろい 物品 これらのツールを比較したり、 ベンチマーク.

有望なアプローチの XNUMX つは、次のようなツールを使用することです。 スーパーグルー。 サービス メッシュによって公開される API を簡素化し、統合するための抽象化レイヤーを実装します。 さまざまなサービス メッシュの特定の (そして私の意見では、比較的複雑な) API を学習する代わりに、SuperGloo のより単純な構造を使用することができ、あたかも HTTP インターフェイスとバックエンド機能を記述した中間構成フォーマットがあるかのように、ある構造から別の構造に簡単に切り替えることができます。 Nginx、HAProxy、Traefik、Apache の実際の構成の生成

Istio と SuperGloo を少し試してみました。次の記事では、SuperGloo を使用して既存のクラスターに Istio または Linkerd を追加する方法と、後者がどのように機能するかを示したいと思います。構成を書き換えることなく、あるサービス メッシュを別のサービス メッシュに移行できます。

出所： habr.com