មានសេវា NGINX Mesh

យើងរីករាយក្នុងការបង្ហាញកំណែមើលជាមុន បណ្តាញសេវា NGINX (NSM) ដែលជាកញ្ចប់សេវាកម្មទម្ងន់ស្រាលដែលប្រើយន្តហោះទិន្នន័យដែលមានមូលដ្ឋានលើ NGINX Plus ដើម្បីគ្រប់គ្រងចរាចរណ៍កុងតឺន័រនៅក្នុងបរិស្ថាន Kubernetes ។

NSM គឺឥតគិតថ្លៃ ទាញយកនៅទីនេះ។. យើងសង្ឃឹមថាអ្នកនឹងសាកល្បងវាសម្រាប់បរិស្ថាន dev និងសាកល្បង ហើយទន្ទឹងរង់ចាំមតិកែលម្អរបស់អ្នក។ នៅលើ GitHub.

ការអនុវត្តវិធីសាស្រ្តសេវាមីក្រូគឺមានភាពលំបាកដោយសារទំហំនៃការចែកចាយកើនឡើង ក៏ដូចជាភាពស្មុគស្មាញរបស់វា។ ការប្រាស្រ័យទាក់ទងគ្នារវាងសេវាកម្មកាន់តែស្មុគ្រស្មាញ បញ្ហាបំបាត់កំហុសកាន់តែពិបាក ហើយសេវាកម្មកាន់តែច្រើនឡើងៗទាមទារធនធានបន្ថែមទៀតដើម្បីគ្រប់គ្រង។

NSM ដោះស្រាយបញ្ហាទាំងនេះដោយផ្តល់ឱ្យអ្នកនូវ:

• សន្តិសុខដែលឥឡូវនេះមានសារៈសំខាន់ជាងពេលណាទាំងអស់។ ការបំពានទិន្នន័យអាចធ្វើឲ្យក្រុមហ៊ុនខាតបង់ចំណូល និងកេរ្តិ៍ឈ្មោះរាប់លានដុល្លារក្នុងមួយឆ្នាំៗ។ NSM ធានាថារាល់ការតភ្ជាប់ទាំងអស់ត្រូវបានអ៊ិនគ្រីបដោយប្រើ mTLS ដូច្នេះមិនមានទិន្នន័យរសើបដែលអាចលួចបានដោយពួក Hacker លើបណ្តាញនោះទេ។ ការគ្រប់គ្រងការចូលប្រើអនុញ្ញាតឱ្យអ្នកកំណត់គោលការណ៍សម្រាប់របៀបដែលសេវាកម្មទំនាក់ទំនងជាមួយសេវាកម្មផ្សេងទៀត។
• ការគ្រប់គ្រងចរាចរណ៍. នៅពេលដឹកជញ្ជូនកំណែថ្មីនៃកម្មវិធី អ្នកប្រហែលជាចង់ចាប់ផ្តើមដោយការរឹតបន្តឹងចរាចរណ៍ចូលមកកាន់វា ក្នុងករណីមានកំហុស។ ជាមួយនឹងការគ្រប់គ្រងចរាចរណ៍កុងតឺន័រដ៏ឆ្លាតវៃរបស់ NSM អ្នកអាចកំណត់គោលការណ៍រឹតបន្តឹងចរាចរណ៍សម្រាប់សេវាកម្មថ្មីដែលនឹងបង្កើនចរាចរណ៍តាមពេលវេលា។ លក្ខណៈពិសេសផ្សេងទៀត ដូចជាការកំណត់ល្បឿន និងឧបករណ៍បំបែកសៀគ្វី ផ្តល់ឱ្យអ្នកនូវការគ្រប់គ្រងពេញលេញលើលំហូរចរាចរណ៍នៃសេវាកម្មរបស់អ្នកទាំងអស់។
• ការមើលឃើញ. ការគ្រប់គ្រងសេវាកម្មរាប់ពាន់អាចជាការបំបាត់កំហុស និងការមើលឃើញសុបិន្តអាក្រក់។ NSM ជួយដោះស្រាយស្ថានភាពនេះជាមួយនឹងផ្ទាំងគ្រប់គ្រង Grafana ដែលភ្ជាប់មកជាមួយដែលបង្ហាញលក្ខណៈពិសេសទាំងអស់ដែលមាននៅក្នុង NGINX Plus ។ ហើយការតាមដានការបើកចំហដែលបានអនុវត្តផងដែរអនុញ្ញាតឱ្យអ្នកត្រួតពិនិត្យប្រតិបត្តិការលម្អិត។
• ការចែកចាយកូនកាត់ប្រសិនបើក្រុមហ៊ុនរបស់អ្នក ដូចជាក្រុមហ៊ុនផ្សេងទៀតភាគច្រើនមិនប្រើហេដ្ឋារចនាសម្ព័ន្ធដែលដំណើរការទាំងស្រុងលើ Kubernetes ទេ។ NSM ធានាថាកម្មវិធីចាស់ៗមិនត្រូវបានទុកចោលដោយគ្មានការមើលថែទេ។ ដោយមានជំនួយពី NGINX Kubernetes Ingress Controller ដែលបានអនុវត្ត សេវាកម្មកេរដំណែលនឹងអាចប្រាស្រ័យទាក់ទងជាមួយសេវាសំណាញ់ និងច្រាសមកវិញ។

NSM ក៏ធានានូវសុវត្ថិភាពកម្មវិធីនៅក្នុងបរិយាកាសមិនទុកចិត្ត ដោយអនុវត្តការអ៊ិនគ្រីប និងការផ្ទៀងផ្ទាត់ដោយតម្លាភាពចំពោះចរាចរណ៍កុងតឺន័រ។ វាក៏ផ្តល់នូវលទ្ធភាពមើលឃើញប្រតិបត្តិការ និងការវិភាគផងដែរ ដែលជួយអ្នកឱ្យដំណើរការការដាក់ពង្រាយ និងដោះស្រាយបញ្ហាបានយ៉ាងឆាប់រហ័ស និងត្រឹមត្រូវផងដែរ។ វាក៏ផ្តល់នូវការគ្រប់គ្រងចរាចរណ៍ជាលំដាប់ ដែលអនុញ្ញាតឱ្យក្រុម DevOps ដាក់ពង្រាយ និងបង្កើនប្រសិទ្ធភាពផ្នែកនៃកម្មវិធី ខណៈពេលដែលអនុញ្ញាតឱ្យអ្នកអភិវឌ្ឍន៍បង្កើត និងភ្ជាប់កម្មវិធីដែលបានចែកចាយរបស់ពួកគេយ៉ាងងាយស្រួល។

តើ NGINX Service Mesh ដំណើរការយ៉ាងដូចម្តេច?

NSM មានយន្តហោះទិន្នន័យបង្រួបបង្រួមសម្រាប់ចរាចរណ៍ផ្ដេក (សេវាកម្មទៅសេវាកម្ម) និងឧបករណ៍បញ្ជា NGINX Plus Ingress ដែលបានបង្កប់សម្រាប់ចរាចរណ៍បញ្ឈរដែលគ្រប់គ្រងដោយយន្តហោះបញ្ជាតែមួយ។

យន្តហោះបញ្ជាត្រូវបានរចនាឡើងជាពិសេស និងធ្វើឱ្យប្រសើរសម្រាប់យន្តហោះទិន្នន័យ NGINX Plus និងកំណត់ច្បាប់គ្រប់គ្រងចរាចរណ៍ដែលបានចែកចាយនៅទូទាំង NGINX Plus sidecars ។

នៅក្នុង NSM ប្រូកស៊ីរថយន្តចំហៀងត្រូវបានដំឡើងសម្រាប់សេវាកម្មនីមួយៗនៅក្នុងសំណាញ់។ ពួកវាទាក់ទងជាមួយដំណោះស្រាយប្រភពបើកចំហខាងក្រោម៖

• Grafana, ការមើលឃើញប៉ារ៉ាម៉ែត្រ Prometheus, បន្ទះ NSM ដែលភ្ជាប់មកជាមួយជួយអ្នកជាមួយនឹងការងាររបស់អ្នក;
• Kubernetes Ingress Controllers សម្រាប់គ្រប់គ្រងចរាចរណ៍ចូល និងចេញក្នុងសំណាញ់។
• SPIRE, CA សម្រាប់គ្រប់គ្រង ចែកចាយ និងធ្វើបច្ចុប្បន្នភាពវិញ្ញាបនបត្រនៅក្នុងសំណាញ់។
• NATS ដែលជាប្រព័ន្ធដែលអាចធ្វើមាត្រដ្ឋានបានសម្រាប់ការផ្ញើសារ ដូចជាការអាប់ដេតផ្លូវ ពីយន្តហោះបញ្ជាទៅរថយន្តចំហៀង។
• បើកការតាមដាន ការបំបាត់កំហុសដែលបានចែកចាយ (គាំទ្រ Zipkin និង Jaeger);
• Prometheus ប្រមូល និងរក្សាទុកលក្ខណៈពី NGINX Plus sidecars ដូចជាចំនួនសំណើ ការតភ្ជាប់ និងការចាប់ដៃ SSL។

មុខងារនិងសមាសធាតុ

NGINX Plus ជាយន្តហោះទិន្នន័យគ្របដណ្តប់លើប្រូកស៊ី sidecar (ចរាចរណ៍ផ្ដេក) និងឧបករណ៍បញ្ជា Ingress (បញ្ឈរ) ការស្ទាក់ចាប់ និងគ្រប់គ្រងចរាចរណ៍កុងតឺន័ររវាងសេវាកម្ម។

លក្ខណៈពិសេសរួមមាន:

• ការផ្ទៀងផ្ទាត់ TLS ទៅវិញទៅមក (mTLS)
• ផ្ទុកតុល្យភាព;
• ការអត់ធ្មត់កំហុស;
• ដែនកំណត់ល្បឿន;
• ការបំបែកសៀគ្វី;
• ការដាក់ពង្រាយពណ៌ខៀវបៃតងនិង Canary;
• ការគ្រប់គ្រងការចូលប្រើ។

បើកដំណើរការ NGINX Service Mesh

ដើម្បីដំណើរការ NSM អ្នកត្រូវការ៖

• ការចូលទៅកាន់បរិស្ថាន Kubernetes ។ NGINX Service Mesh ត្រូវបានគាំទ្រនៅលើវេទិកា Kubernetes ជាច្រើន រួមទាំង Amazon Elastic Container Service for Kubernetes (EKS), Azure Kubernetes Service (AKS), Google Kubernetes Engine (GKE), VMware vSphere និងចង្កោម Kubernetes ធម្មតាដែលដាក់ពង្រាយនៅលើម៉ាស៊ីនមេផ្នែករឹង។
• ឧបករណ៍ kubectlដំឡើងនៅលើម៉ាស៊ីនដែល NSM នឹងត្រូវបានដំឡើង;
• ការចូលប្រើកញ្ចប់ការចេញផ្សាយសេវា NGINX Mesh ។ កញ្ចប់មានរូបភាព NSM ដែលត្រូវការសម្រាប់ការបង្ហោះទៅកាន់បញ្ជីឈ្មោះឯកជនសម្រាប់កុងតឺន័រដែលមាននៅក្នុងចង្កោម Kubernetes ។ កញ្ចប់ក៏មានផងដែរ។ nginx-meshctlត្រូវការដើម្បីដាក់ពង្រាយ NSM ។

ដើម្បីដាក់ពង្រាយ NSM ជាមួយនឹងការកំណត់លំនាំដើម សូមដំណើរការពាក្យបញ្ជាខាងក្រោម។ កំឡុងពេលដាក់ពង្រាយ សារត្រូវបានបង្ហាញដែលបង្ហាញពីការដំឡើងគ្រឿងបន្លាស់ដោយជោគជ័យ ហើយចុងក្រោយ សារដែលបង្ហាញថា NSM កំពុងដំណើរការនៅក្នុង namespace ដាច់ដោយឡែកមួយ (ដំបូងអ្នកត្រូវ ទាញយក ហើយដាក់វានៅក្នុងបញ្ជីឈ្មោះ ប្រហែល អ្នកបកប្រែ):

$ DOCKER_REGISTRY=your-Docker-registry ; MESH_VER=0.6.0 ; 
 ./nginx-meshctl deploy  
  --nginx-mesh-api-image "${DOCKER_REGISTRY}/nginx-mesh-api:${MESH_VER}" 
  --nginx-mesh-sidecar-image "${DOCKER_REGISTRY}/nginx-mesh-sidecar:${MESH_VER}" 
  --nginx-mesh-init-image "${DOCKER_REGISTRY}/nginx-mesh-init:${MESH_VER}" 
  --nginx-mesh-metrics-image "${DOCKER_REGISTRY}/nginx-mesh-metrics:${MESH_VER}"
Created namespace "nginx-mesh".
Created SpiffeID CRD.
Waiting for Spire pods to be running...done.
Deployed Spire.
Deployed NATS server.
Created traffic policy CRDs.
Deployed Mesh API.
Deployed Metrics API Server.
Deployed Prometheus Server nginx-mesh/prometheus-server.
Deployed Grafana nginx-mesh/grafana.
Deployed tracing server nginx-mesh/zipkin.
All resources created. Testing the connection to the Service Mesh API Server...

Connected to the NGINX Service Mesh API successfully.
NGINX Service Mesh is running.

សម្រាប់ជម្រើសបន្ថែម រួមទាំងការកំណត់កម្រិតខ្ពស់ សូមដំណើរការពាក្យបញ្ជានេះ៖

$ nginx-meshctl deploy –h

ពិនិត្យមើលថាយន្តហោះបញ្ជាដំណើរការបានត្រឹមត្រូវក្នុងចន្លោះឈ្មោះ nginx-mesh, អ្នក​អាច​ធ្វើ​ដូច​នេះ​បាន:

$ kubectl get pods –n nginx-mesh
NAME                                 READY   STATUS    RESTARTS   AGE
grafana-6cc6958cd9-dccj6             1/1     Running   0          2d19h
mesh-api-6b95576c46-8npkb            1/1     Running   0          2d19h
nats-server-6d5c57f894-225qn         1/1     Running   0          2d19h
prometheus-server-65c95b788b-zkt95   1/1     Running   0          2d19h
smi-metrics-5986dfb8d5-q6gfj         1/1     Running   0          2d19h
spire-agent-5cf87                    1/1     Running   0          2d19h
spire-agent-rr2tt                    1/1     Running   0          2d19h
spire-agent-vwjbv                    1/1     Running   0          2d19h
spire-server-0                       2/2     Running   0          2d19h
zipkin-6f7cbf5467-ns6wc              1/1     Running   0          2d19h

អាស្រ័យលើការកំណត់នៃការដាក់ពង្រាយដែលកំណត់គោលការណ៍ចាក់ដោយដៃ ឬដោយស្វ័យប្រវត្តិ ប្រូកស៊ីរបស់រថយន្ត NGINX នឹងត្រូវបានបន្ថែមទៅកម្មវិធីតាមលំនាំដើម។ ដើម្បីបិទការបន្ថែមដោយស្វ័យប្រវត្តិ សូមអាន នៅទីនេះ

ឧទាហរណ៍ប្រសិនបើយើងដាក់ពង្រាយកម្មវិធី ការដេក នៅក្នុង namespace លំនាំដើមហើយបន្ទាប់មកពិនិត្យមើល Pod - យើងនឹងឃើញធុងដែលកំពុងដំណើរការពីរដែលជាកម្មវិធី ការដេក និងរថយន្តដែលពាក់ព័ន្ធ៖

$ kubectl apply –f sleep.yaml
$ kubectl get pods –n default
NAME                     READY   STATUS    RESTARTS   AGE
sleep-674f75ff4d-gxjf2   2/2     Running   0          5h23m

យើងក៏អាចតាមដានកម្មវិធីផងដែរ។ ការដេក នៅក្នុងបន្ទះ NGINX Plus ដំណើរការពាក្យបញ្ជានេះដើម្បីចូលប្រើ sidecar ពីម៉ាស៊ីនក្នុងតំបន់របស់អ្នក៖

$ kubectl port-forward sleep-674f75ff4d-gxjf2 8080:8886

បន្ទាប់មកយើងគ្រាន់តែចូលទៅ នៅទីនេះ នៅក្នុងកម្មវិធីរុករក។ អ្នកក៏អាចភ្ជាប់ទៅ Prometheus ដើម្បីត្រួតពិនិត្យកម្មវិធី ការដេក.

អ្នក​អាច​ប្រើ​ធនធាន Kubernetes នីមួយៗ​ដើម្បី​កំណត់​រចនាសម្ព័ន្ធ​គោលការណ៍​ចរាចរណ៍ ដូចជា​ការ​គ្រប់គ្រង​ការ​ចូល​ដំណើរ​ការ ការ​កំណត់​អត្រា​និង​ការ​បំបែក​សៀគ្វី​សម្រាប់​ការ​នេះ​មើល ឯកសារ

សេចក្តីសន្និដ្ឋាន

NGINX Service Mesh អាចទាញយកដោយឥតគិតថ្លៃនៅ ផតថល F5. សាកល្បងវានៅក្នុងបរិស្ថាន dev និងសាកល្បងរបស់អ្នក និង សរសេរមកយើងអំពីលទ្ធផល.

ដើម្បីសាកល្បង NGINX Plus Ingress Controller សូមបើកដំណើរការ រយៈពេលសាកល្បងឥតគិតថ្លៃ សម្រាប់រយៈពេល 30 ថ្ងៃឬ ទាក់ទង​មក​ពួក​យើង ដើម្បីពិភាក្សាករណីប្រើប្រាស់របស់អ្នក។

ការបកប្រែដោយ Pavel Demkovich វិស្វករក្រុមហ៊ុន សៅប្រ៊ីត. ការគ្រប់គ្រងប្រព័ន្ធសម្រាប់ RUB 15 ក្នុងមួយខែ។ ហើយជាផ្នែកដាច់ដោយឡែក - មជ្ឈមណ្ឌលបណ្តុះបណ្តាល អោបអនុវត្ត និងគ្មានអ្វីក្រៅពីការអនុវត្ត។

ប្រភព: www.habr.com