NGINX 서비스 메시 사용 가능

미리보기 버전을 선보이게 되어 기쁘게 생각합니다. NGINX 서비스 메시 (NSM)은 NGINX Plus 기반 데이터 플레인을 사용하여 Kubernetes 환경에서 컨테이너 트래픽을 관리하는 번들형 경량 서비스 메시입니다.

NSM은 무료입니다 여기에서 다운로드하십시오. 개발 및 테스트 환경에서 사용해 보시고 피드백을 기다리시기 바랍니다. GitHub에서.

마이크로서비스 방법론의 구현은 제공 규모와 복잡성이 증가함에 따라 어려움을 겪습니다. 서비스 간의 통신은 더욱 복잡해지고, 디버깅 문제는 더욱 어려워지며, 관리하는 데 점점 더 많은 리소스가 필요한 서비스가 늘어납니다.

NSM은 다음을 제공하여 이러한 문제를 해결합니다.

• Безопасность, 이는 이제 그 어느 때보다 중요합니다. 데이터 유출로 인해 회사는 매출과 평판 손실로 인해 연간 수백만 달러의 손실을 입을 수 있습니다. NSM은 모든 연결이 mTLS를 사용하여 암호화되도록 보장하므로 네트워크를 통해 해커가 훔칠 수 있는 민감한 데이터가 없습니다. 액세스 제어를 사용하면 서비스가 다른 서비스와 통신하는 방법에 대한 정책을 설정할 수 있습니다.
• 교통 관리. 새 버전의 애플리케이션을 출시할 때 오류가 발생할 경우 수신 트래픽을 제한하는 것부터 시작할 수 있습니다. NSM의 지능형 컨테이너 트래픽 관리를 사용하면 시간이 지남에 따라 트래픽이 증가하는 새로운 서비스에 대한 트래픽 제한 정책을 설정할 수 있습니다. 속도 제한 및 회로 차단기와 같은 기타 기능을 사용하면 모든 서비스의 트래픽 흐름을 완벽하게 제어할 수 있습니다.
• 눈에 보이게 함. 수천 개의 서비스를 관리하는 것은 디버깅 및 시각화의 악몽이 될 수 있습니다. NSM은 NGINX Plus에서 사용할 수 있는 모든 기능을 표시하는 내장 Grafana 대시보드를 통해 이러한 상황을 처리하는 데 도움을 줍니다. 또한 구현된 Open Tracing을 통해 트랜잭션을 자세히 모니터링할 수 있습니다.
• 하이브리드 배송, 귀하의 회사가 대부분의 다른 회사와 마찬가지로 Kubernetes에서 전적으로 실행되는 인프라를 사용하지 않는 경우. NSM은 레거시 애플리케이션이 방치되지 않도록 보장합니다. 구현된 NGINX Kubernetes Ingress Controller의 도움으로 레거시 서비스는 메시 서비스와 통신할 수 있으며 그 반대의 경우도 마찬가지입니다.

NSM은 또한 컨테이너 트래픽에 암호화 및 인증을 투명하게 적용하여 제로 트러스트 환경에서 애플리케이션 보안을 보장합니다. 또한 트랜잭션 가시성과 분석을 제공하여 빠르고 정확하게 배포를 시작하고 문제를 해결하는 데 도움을 줍니다. 또한 세분화된 트래픽 제어 기능을 제공하므로 DevOps 팀은 애플리케이션의 일부를 배포 및 최적화하는 동시에 개발자는 분산 애플리케이션을 구축하고 쉽게 연결할 수 있습니다.

NGINX 서비스 메시는 어떻게 작동하나요?

NSM은 수평(서비스 간) 트래픽을 위한 통합 데이터 플레인과 단일 제어 플레인으로 관리되는 수직 트래픽을 위한 내장형 NGINX Plus Ingress Controller로 구성됩니다.

제어 평면은 NGINX Plus 데이터 평면을 위해 특별히 설계 및 최적화되었으며 NGINX Plus 사이드카에 분산된 트래픽 제어 규칙을 정의합니다.

NSM에서는 메시의 각 서비스에 대해 사이드카 프록시가 설치됩니다. 이들은 다음 오픈 소스 솔루션과 인터페이스합니다.

• Prometheus 매개변수 시각화, 내장 NSM 패널인 Grafana는 작업에 도움이 됩니다.
• 메시에서 들어오고 나가는 트래픽을 관리하기 위한 Kubernetes 수신 컨트롤러
• 메시에서 인증서를 관리, 배포 및 업데이트하는 CA SPIRE;
• 제어 플레인에서 사이드카로 경로 업데이트와 같은 메시지를 전송하기 위한 확장 가능한 시스템인 NATS
• 오픈 트레이싱, 분산 디버깅(Zipkin 및 Jaeger 지원)
• Prometheus는 요청 수, 연결 및 SSL 핸드셰이크와 같은 NGINX Plus 사이드카의 특성을 수집하고 저장합니다.

기능 및 구성 요소

데이터 플레인인 NGINX Plus는 사이드카 프록시(수평 트래픽) 및 Ingress 컨트롤러(수직)를 다루며 서비스 간의 컨테이너 트래픽을 가로채고 관리합니다.

기능은 다음과 같습니다:

• 상호 TLS(mTLS) 인증
• 로드 밸런싱;
• 결함 허용;
• 속도 제한;
• 회로 차단;
• 블루-그린 및 카나리아 배포
• 액세스 제어.

NGINX 서비스 메시 출시

NSM을 실행하려면 다음이 필요합니다.

• Kubernetes 환경에 액세스합니다. NGINX Service Mesh는 Amazon Elastic Container Service for Kubernetes(EKS), Azure Kubernetes Service(AKS), Google Kubernetes Engine(GKE), VMware vSphere 및 하드웨어 서버에 배포된 일반 Kubernetes 클러스터를 포함한 많은 Kubernetes 플랫폼에서 지원됩니다.
• 수단 kubectl, NSM이 설치될 머신에 설치됩니다.
• NGINX Service Mesh 릴리스 패키지에 액세스합니다. 패키지에는 Kubernetes 클러스터에서 사용 가능한 컨테이너의 개인 레지스트리에 업로드하는 데 필요한 NSM 이미지가 포함되어 있습니다. 패키지에는 다음이 포함되어 있습니다. nginx-meshctl, NSM을 배포하는 데 필요합니다.

기본 설정으로 NSM을 배포하려면 다음 명령을 실행합니다. 배포 중에 구성 요소가 성공적으로 설치되었음을 나타내는 메시지가 표시되고 마지막으로 NSM이 별도의 네임스페이스에서 실행 중임을 나타내는 메시지가 표시됩니다(먼저 다운로드 그리고 레지스트리에 넣으면 약. 역자):

$ DOCKER_REGISTRY=your-Docker-registry ; MESH_VER=0.6.0 ; 
 ./nginx-meshctl deploy  
  --nginx-mesh-api-image "${DOCKER_REGISTRY}/nginx-mesh-api:${MESH_VER}" 
  --nginx-mesh-sidecar-image "${DOCKER_REGISTRY}/nginx-mesh-sidecar:${MESH_VER}" 
  --nginx-mesh-init-image "${DOCKER_REGISTRY}/nginx-mesh-init:${MESH_VER}" 
  --nginx-mesh-metrics-image "${DOCKER_REGISTRY}/nginx-mesh-metrics:${MESH_VER}"
Created namespace "nginx-mesh".
Created SpiffeID CRD.
Waiting for Spire pods to be running...done.
Deployed Spire.
Deployed NATS server.
Created traffic policy CRDs.
Deployed Mesh API.
Deployed Metrics API Server.
Deployed Prometheus Server nginx-mesh/prometheus-server.
Deployed Grafana nginx-mesh/grafana.
Deployed tracing server nginx-mesh/zipkin.
All resources created. Testing the connection to the Service Mesh API Server...

Connected to the NGINX Service Mesh API successfully.
NGINX Service Mesh is running.

고급 설정을 포함한 추가 옵션을 보려면 다음 명령을 실행하세요.

$ nginx-meshctl deploy –h

컨트롤 플레인이 네임스페이스에서 올바르게 작동하는지 확인하세요. nginx-메시, 다음과 같이 할 수 있습니다.

$ kubectl get pods –n nginx-mesh
NAME                                 READY   STATUS    RESTARTS   AGE
grafana-6cc6958cd9-dccj6             1/1     Running   0          2d19h
mesh-api-6b95576c46-8npkb            1/1     Running   0          2d19h
nats-server-6d5c57f894-225qn         1/1     Running   0          2d19h
prometheus-server-65c95b788b-zkt95   1/1     Running   0          2d19h
smi-metrics-5986dfb8d5-q6gfj         1/1     Running   0          2d19h
spire-agent-5cf87                    1/1     Running   0          2d19h
spire-agent-rr2tt                    1/1     Running   0          2d19h
spire-agent-vwjbv                    1/1     Running   0          2d19h
spire-server-0                       2/2     Running   0          2d19h
zipkin-6f7cbf5467-ns6wc              1/1     Running   0          2d19h

수동 또는 자동 주입 정책을 설정하는 배포 설정에 따라 NGINX 사이드카 프록시가 기본적으로 애플리케이션에 추가됩니다. 자동 추가를 비활성화하려면 다음을 읽으십시오. 여기에

예를 들어 애플리케이션을 배포하면 잠 네임스페이스에서 디폴트 값를 클릭한 다음 Pod를 확인하면 두 개의 실행 중인 컨테이너, 즉 애플리케이션이 표시됩니다. 잠 관련 사이드카:

$ kubectl apply –f sleep.yaml
$ kubectl get pods –n default
NAME                     READY   STATUS    RESTARTS   AGE
sleep-674f75ff4d-gxjf2   2/2     Running   0          5h23m

애플리케이션을 모니터링할 수도 있습니다. 잠 NGINX Plus 패널에서 다음 명령을 실행하여 로컬 머신에서 사이드카에 액세스합니다.

$ kubectl port-forward sleep-674f75ff4d-gxjf2 8080:8886

그럼 그냥 들어가자 여기에 브라우저에서. Prometheus에 연결하여 애플리케이션을 모니터링할 수도 있습니다. 잠.

개별 Kubernetes 리소스를 사용하여 액세스 제어, 속도 제한, 회로 차단과 같은 트래픽 정책을 구성할 수 있습니다. 문서

결론

NGINX 서비스 메시는 다음에서 무료로 다운로드할 수 있습니다. 포털 F5. 개발 및 테스트 환경에서 사용해 보세요. 결과에 대해 우리에게 편지를 보내주세요.

NGINX Plus Ingress Controller를 사용해 보려면 활성화하세요. 무료 평가판 기간 30일 동안 또는 문의하기 사용 사례를 논의합니다.

번역: 회사 엔지니어 Pavel Demkovich 사우스 브리지. 월 RUB 15의 시스템 관리. 그리고 별도의 부서로 - 교육 센터 슬럼, 연습하고 연습만 하면 됩니다.

출처 : habr.com