ხელმისაწვდომია NGINX სერვისის ბადე

მოხარული ვართ წარმოგიდგინოთ გადახედვის ვერსია NGINX სერვისის ბადე (NSM), შეფუთული მსუბუქი სერვისის ქსელი, რომელიც იყენებს NGINX Plus-ზე დაფუძნებულ მონაცემთა სიბრტყეს Kubernetes-ის გარემოში კონტეინერების ტრაფიკის სამართავად.

NSM უფასოა ჩამოტვირთვა აქ. ვიმედოვნებთ, რომ სცადეთ ის დეველოპერებისა და სატესტო გარემოებისთვის - და მოუთმენლად ველი თქვენს გამოხმაურებას GitHub-ზე.

მიკროსერვისების მეთოდოლოგიის დანერგვა სავსეა სირთულეებით, რადგან იზრდება მიწოდების მასშტაბები, ისევე როგორც მისი სირთულე. სერვისებს შორის კომუნიკაცია უფრო რთული ხდება, გამართვის პრობლემები უფრო რთული ხდება და უფრო და უფრო მეტი სერვისი საჭიროებს მეტ რესურსს მართვისთვის.

NSM აგვარებს ამ პრობლემებს მოგაწოდებთ:

• უსაფრთხოების, რომელიც ახლა უფრო მნიშვნელოვანია, ვიდრე ოდესმე. მონაცემთა დარღვევამ შეიძლება კომპანიას ყოველწლიურად მილიონობით დოლარი დაუჯდეს დაკარგული შემოსავალი და რეპუტაცია. NSM უზრუნველყოფს, რომ ყველა კავშირი დაშიფრულია mTLS-ის გამოყენებით, ასე რომ არ არსებობს სენსიტიური მონაცემები, რომლებიც შეიძლება მოიპარონ ჰაკერებმა ქსელში. წვდომის კონტროლი საშუალებას გაძლევთ დააყენოთ წესები სერვისების სხვა სერვისებთან კომუნიკაციისთვის.
• მოძრაობის მართვა. აპლიკაციის ახალი ვერსიის გაგზავნისას, შეიძლება დაგჭირდეთ შეცდომის შემთხვევაში მასზე შემომავალი ტრაფიკის შეზღუდვით. NSM-ის კონტეინერების ტრაფიკის ინტელექტუალური მენეჯმენტით, შეგიძლიათ დააყენოთ ტრაფიკის შეზღუდვის პოლიტიკა ახალი სერვისებისთვის, რაც გაზრდის ტრაფიკს დროთა განმავლობაში. სხვა ფუნქციები, როგორიცაა სიჩქარის შეზღუდვა და ამომრთველები, გაძლევთ სრულ კონტროლს თქვენი ყველა სერვისის მოძრაობის ნაკადზე.
• ვიზუალიზაცია. ათასობით სერვისის მართვა შეიძლება იყოს გამართვისა და ვიზუალიზაციის კოშმარი. NSM ეხმარება გაუმკლავდეს ამ სიტუაციას ჩაშენებული Grafana დაფის საშუალებით, რომელიც აჩვენებს NGINX Plus-ში არსებულ ყველა ფუნქციას. ასევე განხორციელებული Open Tracing საშუალებას გაძლევთ დეტალურად აკონტროლოთ ტრანზაქციები.
• ჰიბრიდული მიწოდება, თუ თქვენი კომპანია, ისევე როგორც სხვა უმეტესობა, არ იყენებს ინფრასტრუქტურას, რომელიც მუშაობს მთლიანად Kubernetes-ზე. NSM უზრუნველყოფს, რომ ძველი აპლიკაციები არ დარჩეს უყურადღებოდ. დანერგილი NGINX Kubernetes Ingress Controller-ის დახმარებით, მოძველებული სერვისები შეძლებენ კომუნიკაციას mesh სერვისებთან და პირიქით.

NSM ასევე უზრუნველყოფს აპლიკაციის უსაფრთხოებას ნულოვანი სანდო გარემოში დაშიფვრისა და ავთენტიფიკაციის გამჭვირვალედ გამოყენებით კონტეინერების ტრაფიკზე. ის ასევე უზრუნველყოფს ტრანზაქციის ხილვადობას და ანალიზს, გეხმარებათ სწრაფად და ზუსტად დაიწყოთ განლაგება და პრობლემების მოგვარება. ის ასევე უზრუნველყოფს ტრაფიკის მარცვლოვან კონტროლს, რაც საშუალებას აძლევს DevOps გუნდებს განათავსონ და ოპტიმიზაცია გაუკეთონ აპლიკაციების ნაწილებს, ხოლო დეველოპერებს საშუალებას აძლევს შექმნან და ადვილად დააკავშირონ თავიანთი განაწილებული აპლიკაციები.

როგორ მუშაობს NGINX სერვისის ბადე?

NSM შედგება მონაცემთა ერთიანი სიბრტყისგან ჰორიზონტალური (მომსახურებიდან სერვისამდე) ტრაფიკისთვის და ჩაშენებული NGINX Plus Ingress კონტროლერისგან ვერტიკალური ტრაფიკისთვის, რომელსაც მართავს ერთი საკონტროლო სიბრტყე.

საკონტროლო სიბრტყე სპეციალურად შექმნილია და ოპტიმიზებულია NGINX Plus მონაცემთა სიბრტყისთვის და განსაზღვრავს მოძრაობის კონტროლის წესებს, რომლებიც ნაწილდება NGINX Plus გვერდითა ბორტებზე.

NSM-ში, sidecars proxies დამონტაჟებულია ქსელში არსებული თითოეული სერვისისთვის. ისინი ურთიერთქმედებენ შემდეგ ღია კოდის გადაწყვეტილებებთან:

• Grafana, პრომეთეს პარამეტრის ვიზუალიზაცია, ჩაშენებული NSM პანელი გეხმარებათ მუშაობაში;
• Kubernetes Ingress Controllers, ქსელში შემომავალი და გამავალი ტრაფიკის მართვისთვის;
• SPIRE, CA სერთიფიკატების ქსელში მართვის, გავრცელებისა და განახლებისთვის;
• NATS, მასშტაბირებადი სისტემა შეტყობინებების გასაგზავნად, როგორიცაა მარშრუტის განახლებები, საკონტროლო თვითმფრინავიდან გვერდითა კარებზე;
• Open Tracing, განაწილებული გამართვა (Zipkin და Jaeger-ის მხარდაჭერა);
• პრომეთე აგროვებს და ინახავს მახასიათებლებს NGINX Plus-ის გვერდითი კარებიდან, როგორიცაა მოთხოვნის რაოდენობა, კავშირები და SSL ხელის ჩამორთმევა.

ფუნქციები და კომპონენტები

NGINX Plus, როგორც მონაცემთა თვითმფრინავი, მოიცავს sidecar proxy-ს (ჰორიზონტალური ტრაფიკი) და Ingress კონტროლერს (ვერტიკალური), რომელიც აკონტროლებს და მართავს კონტეინერების ტრაფიკს სერვისებს შორის.

მახასიათებლები მოიცავს:

• ორმხრივი TLS (mTLS) ავთენტიფიკაცია;
• Დატვირთვის დაბალანსება;
• შეცდომის ტოლერანტობა;
• სიჩქარის ლიმიტი;
• მიკროსქემის გაწყვეტა;
• ლურჯი-მწვანე და კანარის განლაგება;
• წვდომის კონტროლი.

გაშვება NGINX Service Mesh

NSM-ის გასაშვებად გჭირდებათ:

• კუბერნეტის გარემოზე წვდომა. NGINX Service Mesh მხარდაჭერილია Kubernetes-ის ბევრ პლატფორმაზე, მათ შორის Amazon Elastic Container Service for Kubernetes (EKS), Azure Kubernetes Service (AKS), Google Kubernetes Engine (GKE), VMware vSphere და რეგულარული Kubernetes კლასტერები, რომლებიც განლაგებულია აპარატურულ სერვერებზე;
• Tool kubectl, დაყენებული მანქანაზე, საიდანაც დამონტაჟდება NSM;
• წვდომა NGINX Service Mesh გამოშვების პაკეტებზე. პაკეტი შეიცავს NSM სურათებს, რომლებიც საჭიროა Kubernetes კლასტერში ხელმისაწვდომი კონტეინერების პირად რეესტრში ასატვირთად. შეფუთვა ასევე შეიცავს nginx-meshctl, საჭიროა NSM-ის განსათავსებლად.

ნაგულისხმევი პარამეტრებით NSM-ის დასაყენებლად, გაუშვით შემდეგი ბრძანება. განლაგების დროს გამოჩნდება შეტყობინებები, რომლებიც მიუთითებს კომპონენტების წარმატებულ ინსტალაციაზე და, ბოლოს, შეტყობინება, რომელიც მიუთითებს, რომ NSM მუშაობს ცალკე სახელთა სივრცეში (პირველ რიგში საჭიროა ჩამოტვირთვა და განათავსეთ იგი რეესტრში, დაახლ. მთარგმნელი):

$ DOCKER_REGISTRY=your-Docker-registry ; MESH_VER=0.6.0 ; 
 ./nginx-meshctl deploy  
  --nginx-mesh-api-image "${DOCKER_REGISTRY}/nginx-mesh-api:${MESH_VER}" 
  --nginx-mesh-sidecar-image "${DOCKER_REGISTRY}/nginx-mesh-sidecar:${MESH_VER}" 
  --nginx-mesh-init-image "${DOCKER_REGISTRY}/nginx-mesh-init:${MESH_VER}" 
  --nginx-mesh-metrics-image "${DOCKER_REGISTRY}/nginx-mesh-metrics:${MESH_VER}"
Created namespace "nginx-mesh".
Created SpiffeID CRD.
Waiting for Spire pods to be running...done.
Deployed Spire.
Deployed NATS server.
Created traffic policy CRDs.
Deployed Mesh API.
Deployed Metrics API Server.
Deployed Prometheus Server nginx-mesh/prometheus-server.
Deployed Grafana nginx-mesh/grafana.
Deployed tracing server nginx-mesh/zipkin.
All resources created. Testing the connection to the Service Mesh API Server...

Connected to the NGINX Service Mesh API successfully.
NGINX Service Mesh is running.

დამატებითი პარამეტრებისთვის, გაფართოებული პარამეტრების ჩათვლით, გაუშვით ეს ბრძანება:

$ nginx-meshctl deploy –h

შეამოწმეთ, რომ საკონტროლო სიბრტყე სწორად მუშაობს სახელთა სივრცეში nginx-mesh, შეგიძლიათ გააკეთოთ ეს:

$ kubectl get pods –n nginx-mesh
NAME                                 READY   STATUS    RESTARTS   AGE
grafana-6cc6958cd9-dccj6             1/1     Running   0          2d19h
mesh-api-6b95576c46-8npkb            1/1     Running   0          2d19h
nats-server-6d5c57f894-225qn         1/1     Running   0          2d19h
prometheus-server-65c95b788b-zkt95   1/1     Running   0          2d19h
smi-metrics-5986dfb8d5-q6gfj         1/1     Running   0          2d19h
spire-agent-5cf87                    1/1     Running   0          2d19h
spire-agent-rr2tt                    1/1     Running   0          2d19h
spire-agent-vwjbv                    1/1     Running   0          2d19h
spire-server-0                       2/2     Running   0          2d19h
zipkin-6f7cbf5467-ns6wc              1/1     Running   0          2d19h

განლაგების პარამეტრებიდან გამომდინარე, რომლებიც ადგენენ მექანიკური ან ავტომატური ინექციის პოლიტიკას, NGINX sidecars პროქსიები დაემატება აპლიკაციებს ნაგულისხმევად. ავტომატური დამატების გამორთვისთვის წაიკითხეთ აქ

მაგალითად, თუ განვათავსებთ აპლიკაციას ძილის სახელთა სივრცეში პოსტი, და შემდეგ შეამოწმეთ Pod - ჩვენ დავინახავთ ორ გაშვებულ კონტეინერს, აპლიკაციას ძილის და ასოცირებული გვერდითი მანქანა:

$ kubectl apply –f sleep.yaml
$ kubectl get pods –n default
NAME                     READY   STATUS    RESTARTS   AGE
sleep-674f75ff4d-gxjf2   2/2     Running   0          5h23m

ჩვენ ასევე შეგვიძლია აპლიკაციის მონიტორინგი ძილის NGINX Plus პანელში, გაუშვით ეს ბრძანება თქვენი ლოკალური მანქანიდან გვერდითა კარზე წვდომისთვის:

$ kubectl port-forward sleep-674f75ff4d-gxjf2 8080:8886

მერე უბრალოდ შევდივართ აქ ბრაუზერში. თქვენ ასევე შეგიძლიათ დაუკავშირდეთ პრომეთეს აპლიკაციის მონიტორინგისთვის ძილის.

შეგიძლიათ გამოიყენოთ Kubernetes-ის ინდივიდუალური რესურსები ტრაფიკის პოლიტიკის კონფიგურაციისთვის, როგორიცაა წვდომის კონტროლი, სიჩქარის შეზღუდვა და მიკროსქემის გაწყვეტა, ამისთვის იხ. დოკუმენტაცია

დასკვნა

NGINX Service Mesh ხელმისაწვდომია უფასო ჩამოტვირთვისთვის აქ პორტალი F5. სცადეთ ის თქვენს დეველოპერულ და სატესტო გარემოში და მოგვწერეთ შედეგების შესახებ.

NGINX Plus Ingress Controller-ის საცდელად, გააქტიურეთ უფასო საცდელი პერიოდი 30 დღის განმავლობაში, ან Დაგვიკავშირდით თქვენი გამოყენების შემთხვევების განსახილველად.

თარგმანი კომპანიის ინჟინრის პაველ დემკოვიჩის მიერ Southbridge. სისტემის ადმინისტრირება თვეში 15 რუბლი. და როგორც ცალკე განყოფილება - სასწავლო ცენტრი სლუმი, პრაქტიკა და არაფერი პრაქტიკის გარდა.

წყარო: www.habr.com