🥇CPU patēriņa etalons Istio un Linkerd

Ievads

Mes esam ieksa Shopify sāka izvietot Istio kā pakalpojumu tīklu. Principā viss ir kārtībā, izņemot vienu: tas ir dārgs.

В publicētajiem etaloniem par Istio teikts:

Izmantojot Istio 1.1, starpniekserveris patērē aptuveni 0,6 vCPU (virtuālos kodolus) uz 1000 pieprasījumiem sekundē.

Pirmajā pakalpojumu tīkla reģionā (2 starpniekserveri katrā savienojuma pusē) mums būs 1200 kodoli tikai starpniekserveram ar ātrumu viens miljons pieprasījumu sekundē. Saskaņā ar Google izmaksu kalkulatoru konfigurācijai tas ir aptuveni 40 ASV dolāri mēnesī. n1-standard-64, tas ir, šis reģions vien mums izmaksās vairāk nekā 50 tūkstošus dolāru mēnesī par 1 miljonu pieprasījumu sekundē.

Ivans Sim (Ivans Sim) vizuāli salīdzināt servisa tīkla aizkavēšanās pagājušajā gadā un solīja to pašu atmiņai un procesoram, taču tas neizdevās:

Acīmredzot vērtības-istio-test.yaml nopietni palielinās CPU pieprasījumus. Ja esmu pareizi aprēķinājis, jums ir nepieciešami aptuveni 24 CPU kodoli vadības panelim un 0,5 CPU katram starpniekserveram. Man nav tik daudz. Pārbaudes atkārtošu, kad man tiks piešķirti vairāk līdzekļu.

Es gribēju pats pārliecināties, cik Istio veiktspēja ir līdzīga citam atvērtā pirmkoda pakalpojumu tīklam: Linkerd.

Servisa tīkla uzstādīšana

Pirmkārt, es to instalēju klasterī SuperGloo:

$ supergloo init
installing supergloo version 0.3.12
using chart uri https://storage.googleapis.com/supergloo-helm/charts/supergloo-0.3.12.tgz
configmap/sidecar-injection-resources created
serviceaccount/supergloo created
serviceaccount/discovery created
serviceaccount/mesh-discovery created
clusterrole.rbac.authorization.k8s.io/discovery created
clusterrole.rbac.authorization.k8s.io/mesh-discovery created
clusterrolebinding.rbac.authorization.k8s.io/supergloo-role-binding created
clusterrolebinding.rbac.authorization.k8s.io/discovery-role-binding created
clusterrolebinding.rbac.authorization.k8s.io/mesh-discovery-role-binding created
deployment.extensions/supergloo created
deployment.extensions/discovery created
deployment.extensions/mesh-discovery created
install successful!

Es izmantoju SuperGloo, jo tas ievērojami atvieglo pakalpojuma tīkla sāknēšanu. Man nebija daudz jādara. SuperGloo ražošanā neizmantojam, taču tas ir ideāli piemērots šādam uzdevumam. Man bija burtiski jāizmanto pāris komandas katram pakalpojuma tīklam. Izolācijai izmantoju divus klasterus - pa vienam Istio un Linkerd.

Eksperiments tika veikts Google Kubernetes Engine. Es izmantoju Kubernetes 1.12.7-gke.7 un mezglu kopums n1-standard-4 ar automātisku mezglu mērogošanu (minimums 4, maksimums 16).

Pēc tam es instalēju abus pakalpojumu tīklus no komandrindas.

Pirmā saite:

$ supergloo install linkerd --name linkerd
+---------+--------------+---------+---------------------------+
| INSTALL |     TYPE     | STATUS  |          DETAILS          |
+---------+--------------+---------+---------------------------+
| linkerd | Linkerd Mesh | Pending | enabled: true             |
|         |              |         | version: stable-2.3.0     |
|         |              |         | namespace: linkerd        |
|         |              |         | mtls enabled: true        |
|         |              |         | auto inject enabled: true |
+---------+--------------+---------+---------------------------+

Tad Istio:

$ supergloo install istio --name istio --installation-namespace istio-system --mtls=true --auto-inject=true
+---------+------------+---------+---------------------------+
| INSTALL |    TYPE    | STATUS  |          DETAILS          |
+---------+------------+---------+---------------------------+
| istio   | Istio Mesh | Pending | enabled: true             |
|         |            |         | version: 1.0.6            |
|         |            |         | namespace: istio-system   |
|         |            |         | mtls enabled: true        |
|         |            |         | auto inject enabled: true |
|         |            |         | grafana enabled: true     |
|         |            |         | prometheus enabled: true  |
|         |            |         | jaeger enabled: true      |
+---------+------------+---------+---------------------------+

Avārijas cilpa ilga dažas minūtes, un tad vadības paneļi stabilizējās.

(Piezīme: SuperGloo pagaidām atbalsta tikai Istio 1.0.x. Es atkārtoju eksperimentu ar Istio 1.1.3, bet nepamanīju nekādu ievērojamu atšķirību.)

Istio automātiskās izvietošanas iestatīšana

Lai Istio uzstādītu blakusvāģa Envoy, mēs izmantojam blakusvāģa inžektoru − MutatingAdmissionWebhook. Šajā rakstā mēs par to nerunāsim. Ļaujiet man tikai teikt, ka šis ir kontrolieris, kas uzrauga piekļuvi visiem jaunajiem podiem un dinamiski pievieno blakusvāģi un initContainer, kas ir atbildīgs par uzdevumiem. iptables.

Mēs, Shopify, uzrakstījām paši savu piekļuves kontrolieri, lai ieviestu blakusvāģus, taču šim etalonam es izmantoju kontrolieri, kas tiek piegādāts kopā ar Istio. Kontrolieris pēc noklusējuma ievada blakusvāģus, ja nosaukumu telpā ir saīsne istio-injection: enabled:

$ kubectl label namespace irs-client-dev istio-injection=enabled
namespace/irs-client-dev labeled

$ kubectl label namespace irs-server-dev istio-injection=enabled
namespace/irs-server-dev labeled

Automātiskās Linkerd izvietošanas iestatīšana

Lai iestatītu Linkerd blakusvāģa iegulšanu, mēs izmantojam anotācijas (es pievienoju tās manuāli, izmantojot kubectl edit):

metadata:
  annotations:
    linkerd.io/inject: enabled

$ k edit ns irs-server-dev 
namespace/irs-server-dev edited

$ k get ns irs-server-dev -o yaml
apiVersion: v1
kind: Namespace
metadata:
  annotations:
    linkerd.io/inject: enabled
  name: irs-server-dev
spec:
  finalizers:
  - kubernetes
status:
  phase: Active

Istio kļūdu tolerances simulators

Mēs izveidojām kļūdu tolerances simulatoru Istio, lai eksperimentētu ar Shopify unikālo trafiku. Mums bija nepieciešams rīks, lai izveidotu pielāgotu topoloģiju, kas attēlotu noteiktu mūsu pakalpojumu diagrammas daļu, kas dinamiski konfigurēta, lai modelētu noteiktas darba slodzes.

Flash pārdošanas laikā Shopify infrastruktūra ir pakļauta lielai slodzei. Tajā pašā laikā Shopify iesaka pārdevējiem šādas izpārdošanas rīkot biežāk. Lielie klienti dažkārt brīdina par plānoto zibatmiņu. Citi mums tos negaidīti novada jebkurā dienas vai nakts laikā.

Mēs vēlējāmies, lai mūsu noturības simulators modelētu darbplūsmas, kas atbilst topoloģijām un darba slodzēm, kas iepriekš ir pārslogojušas Shopify infrastruktūru. Servisa tīkla izmantošanas galvenais mērķis ir tas, ka mums ir nepieciešama uzticamība un kļūdu tolerance tīkla līmenī, un mums ir svarīgi, lai servisa tīkls efektīvi tiktu galā ar slodzēm, kas iepriekš traucēja pakalpojumu darbību.

Kļūdu pielaides simulatora centrā ir darbinieka mezgls, kas darbojas kā pakalpojuma tīkla mezgls. Darbinieka mezglu var konfigurēt statiski startēšanas laikā vai dinamiski, izmantojot REST API. Mēs izmantojam darbinieku mezglu dinamisko konfigurāciju, lai izveidotu darbplūsmas regresijas testu veidā.

Šeit ir šāda procesa piemērs:

Mēs palaižam 10 serverus kā bar pakalpojumu, kas atgriež atbildi 200/OK pēc 100 ms.
Mēs palaižam 10 klientus — katrs nosūta 100 pieprasījumus sekundē bar.
Ik pēc 10 sekundēm mēs noņemam 1 serveri un pārraugām kļūdas 5xx uz klientu.

Darbplūsmas beigās mēs pārbaudām žurnālus un metriku un pārbaudām, vai pārbaude ir izturēta. Tādā veidā mēs uzzinām par mūsu pakalpojumu tīkla veiktspēju un veicam regresijas testu, lai pārbaudītu mūsu pieņēmumus par kļūdu toleranci.

(Piezīme: mēs domājam par Istio defektu tolerances simulatora atklāto avotu iegūšanu, taču vēl neesam gatavi to darīt.)

Istio defektu tolerances simulators servisa tīkla etalonam

Mēs uzstādījām vairākus simulatora darba mezglus:

irs-client-loadgen: 3 kopijas, kas nosūta 100 pieprasījumu sekundē irs-client.
irs-client: 3 kopijas, kas saņem pieprasījumu, uzgaidiet 100 ms un pārsūtiet pieprasījumu uz irs-server.
irs-server: 3 replikas, kas atgriežas 200/OK pēc 100 ms.

Izmantojot šo konfigurāciju, mēs varam izmērīt stabilu satiksmes plūsmu starp 9 galapunktiem. Blakusvāģi iekšā irs-client-loadgen и irs-server saņemt 100 pieprasījumus sekundē, un irs-client — 200 (ienākošie un izejošie).

Mēs izsekojam resursu izmantošanu DataDogjo mums nav Prometeja kopas.

rezultātus

Vadības paneļi

Pirmkārt, mēs pārbaudījām CPU patēriņu.

Linkerd vadības panelis ~22 milicore

Istio vadības panelis: ~750 milicore

Istio vadības panelis izmanto aptuveni 35 reizes vairāk CPU resursunekā Linkerds. Protams, viss ir instalēts pēc noklusējuma, un istio-telemetrija šeit patērē daudz procesora resursu (to var atspējot, atspējojot dažas funkcijas). Ja mēs noņemam šo komponentu, mēs joprojām iegūstam vairāk nekā 100 milicores, tas ir 4 reizes vairāknekā Linkerds.

Blakusvāģa starpniekserveris

Pēc tam mēs pārbaudījām starpniekservera izmantošanu. Jābūt lineārai saistībai ar pieprasījumu skaitu, taču katrai blakusvāģim ir dažas pieskaitāmās izmaksas, kas ietekmē līkni.

Linkerd: ~ 100 milicores irs-client, ~ 50 milicores irs-client-loadgen

Rezultāti izskatās loģiski, jo klienta starpniekserveris saņem divreiz vairāk trafika nekā loadgen starpniekserveris: katram izejošajam pieprasījumam no loadgen klientam ir viens ienākošais un viens izejošais.

Istio/Envoy: ~155 milicores irs-client, ~75 milicores irs-client-loadgen

Līdzīgus rezultātus redzam arī Istio blakusvāģiem.

Bet vispār Istio/Envoy proxy patērē par aptuveni 50% vairāk CPU resursunekā Linkerds.

Mēs redzam to pašu shēmu servera pusē:

Linkerd: ~50 milicore irs-serverim

Istio/Envoy: ~80 milicore irs-serverim

Servera pusē patērē blakusvāģis Istio/Envoy par aptuveni 60% vairāk CPU resursunekā Linkerds.

Secinājums

Istio Envoy starpniekserveris patērē par 50+% vairāk CPU nekā Linkerd mūsu simulētajā darba slodzē. Linkerd vadības panelis patērē daudz mazāk resursu nekā Istio, īpaši attiecībā uz galvenajiem komponentiem.

Joprojām domājam, kā šīs izmaksas samazināt. Ja ir idejas, lūdzu padalieties!

Avots: www.habr.com

CPU patēriņa etalons Istio un Linkerd