Internetā ķekars raksti о servisa tīkls (servisa tīkls), un šeit ir vēl viens. Urrā! Bet kāpēc? Tad vēlos izteikt savu viedokli, ka būtu bijis labāk, ja servisa tīkli būtu parādījušies pirms 10 gadiem, pirms tādu konteineru platformu kā Docker un Kubernetes parādīšanās. Es nesaku, ka mans viedoklis ir labāks vai sliktāks par citiem, taču, tā kā servisa tīkli ir diezgan sarežģīti dzīvnieki, vairāki viedokļi palīdzēs tos labāk izprast.

Es runāšu par platformu dotCloud, kas tika veidota uz vairāk nekā simts mikropakalpojumiem un atbalstīja tūkstošiem konteinerizētu lietojumprogrammu. Es izskaidrošu problēmas, ar kurām saskārāmies, izstrādājot un ieviešot to, un kā pakalpojumu tīkli varētu (vai nevarēja) palīdzēt.

DotCloud vēsture

Esmu rakstījis par dotCloud vēsturi un šīs platformas arhitektūras izvēlēm, taču neesmu daudz runājis par tīkla slāni. Ja nevēlaties ienirt lasīšanā pēdējais raksts par dotCloud, šeit ir īsumā būtība: tā ir PaaS platforma kā pakalpojums, kas ļauj klientiem palaist plašu lietojumprogrammu klāstu (Java, PHP, Python...) ar atbalstu plašam datu diapazonam. pakalpojumi (MongoDB, MySQL, Redis...) un darbplūsma, piemēram, Heroku: jūs augšupielādējat savu kodu platformā, tā izveido konteinera attēlus un izvieto tos.

Es jums pastāstīšu, kā satiksme tika novirzīta uz platformu dotCloud. Ne tāpēc, ka tas būtu īpaši foršs (lai gan sistēma savam laikam darbojās labi!), bet galvenokārt tāpēc, ka ar moderniem rīkiem šādu dizainu var viegli ieviest īsā laikā pieticīgai komandai, ja viņiem ir nepieciešams veids, kā novirzīt satiksmi starp bariem. no mikropakalpojumiem vai virkni lietojumprogrammu. Tādā veidā jūs varat salīdzināt iespējas: kas notiek, ja visu izstrādājat pats vai izmantojat esošu pakalpojumu tīklu. Standarta izvēle ir izgatavot to pašam vai iegādāties.

Satiksmes maršrutēšana mitinātajām lietojumprogrammām

Lietojumprogrammas vietnē dotCloud var atklāt HTTP un TCP galapunktus.

HTTP galapunkti dinamiski pievienots slodzes balansētāja klastera konfigurācijai Hipache. Tas ir līdzīgi tam, ko resursi dara šodien Iekļūšana in Kubernetes un slodzes balansētājs, piemēram Traefik.

Klienti savienojas ar HTTP galapunktiem, izmantojot atbilstošus domēnus, ja domēna nosaukums norāda uz dotCloud slodzes balansētājiem. Nekas īpašs.

TCP galapunkti saistīts ar porta numuru, kas pēc tam tiek nodots visiem konteineriem šajā kaudzē, izmantojot vides mainīgos.

Klienti var izveidot savienojumu ar TCP galapunktiem, izmantojot atbilstošo resursdatora nosaukumu (piemēram, gateway-X.dotcloud.com) un porta numuru.

Šis resursdatora nosaukums tiek izmantots servera klasterim “nats” (nav saistīts ar Nats), kas novirzīs ienākošos TCP savienojumus uz pareizo konteineru (vai slodzes līdzsvarotu pakalpojumu gadījumā uz pareizajiem konteineriem).

Ja esat pazīstams ar Kubernetes, iespējams, tas jums atgādinās par pakalpojumiem Mezglu ports.

DotCloud platformā nebija līdzvērtīgu pakalpojumu ClusterIP: Vienkāršības labad pakalpojumiem tika piekļūts vienādi gan no platformas iekšpuses, gan ārpus tās.

Viss tika organizēts pavisam vienkārši: sākotnēji HTTP un TCP maršrutēšanas tīklu ieviešana, iespējams, bija tikai daži simti Python rindiņu. Vienkārši (es teiktu naivi) algoritmi, kas tika pilnveidoti, platformai augot un parādījās papildu prasības.

Plaša esošā koda pārstrukturēšana nebija nepieciešama. It īpaši, 12 faktoru lietotnes var tieši izmantot adresi, kas iegūta, izmantojot vides mainīgos.

Kā tas atšķiras no mūsdienu pakalpojumu tīkla?

Ierobežots redzamība. Mums vispār nebija TCP maršrutēšanas tīkla metrikas. Runājot par HTTP maršrutēšanu, jaunākās versijās tika ieviesta detalizēta HTTP metrika ar kļūdu kodiem un atbildes laikiem, taču mūsdienu pakalpojumu tīkli sniedzas vēl tālāk, nodrošinot integrāciju ar metrikas vākšanas sistēmām, piemēram, Prometheus.

Redzamība ir svarīga ne tikai no darbības viedokļa (lai palīdzētu novērst problēmas), bet arī izlaižot jaunas funkcijas. Runa ir par drošību zili zaļa izvietošana и kanāriju izvietošana.

Maršrutēšanas efektivitāte ir arī ierobežots. DotCloud maršrutēšanas tīklā visai satiksmei bija jānotiek caur īpašu maršrutēšanas mezglu kopu. Tas nozīmēja iespēju šķērsot vairākas AZ (pieejamības zonas) robežas un ievērojami palielināt latentumu. Es atceros problēmu novēršanas kodu, kas veica vairāk nekā simts SQL vaicājumu katrā lapā un katram vaicājumam atvēra jaunu savienojumu ar SQL serveri. Palaižot lokāli, lapa tiek ielādēta uzreiz, bet programmā dotCloud tās ielāde aizņem dažas sekundes, jo katrs TCP savienojums (un turpmākais SQL vaicājums) aizņem desmitiem milisekundu. Šajā konkrētajā gadījumā problēmu atrisināja pastāvīgi savienojumi.

Mūsdienu servisa tīkli labāk risina šādas problēmas. Pirmkārt, viņi pārbauda, vai savienojumi ir maršrutēti avotā. Loģiskā plūsma ir tāda pati: клиент → меш → сервис, bet tagad tīkls darbojas lokāli, nevis attālos mezglos, tāpēc savienojums клиент → меш ir lokāls un ļoti ātrs (mikrosekundes, nevis milisekundes).

Mūsdienu pakalpojumu tīkli ievieš arī viedākus slodzes līdzsvarošanas algoritmus. Pārraugot aizmugursistēmu stāvokli, tās var nosūtīt vairāk trafika uz ātrākām aizmugursistēmām, tādējādi uzlabojot vispārējo veiktspēju.

Drošība arī labāk. DotCloud maršrutēšanas tīkls pilnībā darbojās uz EC2 Classic un nešifrēja trafiku (pamatojoties uz pieņēmumu, ka, ja kādam izdevās ievietot sniffer EC2 tīkla trafikā, jums jau bija lielas problēmas). Mūsdienu pakalpojumu tīkli pārredzami aizsargā visu mūsu trafiku, piemēram, ar savstarpēju TLS autentifikāciju un sekojošu šifrēšanu.

Trafika maršrutēšana platformas pakalpojumiem

Labi, mēs esam apsprieduši trafiku starp lietojumprogrammām, bet kā ar pašu platformu dotCloud?

Pati platforma sastāvēja no aptuveni simts mikropakalpojumiem, kas atbild par dažādām funkcijām. Daži pieņēma pieprasījumus no citiem, un daži bija fona darbinieki, kuri izveidoja savienojumu ar citiem pakalpojumiem, bet paši nepieņēma savienojumus. Jebkurā gadījumā katram pakalpojumam ir jāzina to adrešu galapunkti, ar kurām tam nepieciešams izveidot savienojumu.

Daudzi augsta līmeņa pakalpojumi var izmantot iepriekš aprakstīto maršrutēšanas tīklu. Faktiski daudzi no dotCloud vairāk nekā simts mikropakalpojumiem ir izvietoti kā parastas lietojumprogrammas pašā dotCloud platformā. Taču nelielam skaitam zema līmeņa pakalpojumu (īpaši tiem, kas ievieš šo maršrutēšanas tīklu) bija nepieciešams kaut kas vienkāršāks ar mazākām atkarībām (jo viņi nevarēja būt atkarīgi no sevis, lai darbotos — vecā labā vistas un olu problēma).

Šie zemā līmeņa, misijai kritiskie pakalpojumi tika izvietoti, palaižot konteinerus tieši dažos galvenajos mezglos. Šajā gadījumā standarta platformas pakalpojumi netika izmantoti: saistītājs, plānotājs un skrējējs. Ja vēlaties salīdzināt ar mūsdienu konteineru platformām, tas ir tāpat kā ar vadības plaknes vadīšanu docker run tieši mezglos, nevis deleģēt uzdevumu Kubernetes. Tas ir diezgan līdzīgs koncepcijā statiskie moduļi (podi), ko tā izmanto kubeadm vai bootkube sāknējot atsevišķu klasteru.

Šie pakalpojumi tika atklāti vienkāršā un neapstrādātā veidā: YAML failā bija norādīti to vārdi un adreses; un katram klientam bija jāpaņem šī YAML faila kopija izvietošanai.

No vienas puses, tas ir ārkārtīgi uzticams, jo tam nav nepieciešams atbalsts no ārēja atslēgu/vērtību krātuves, piemēram, Zookeeper (atcerieties, etcd vai Consul tajā laikā neeksistēja). No otras puses, tas apgrūtināja pakalpojumu pārvietošanu. Katru reizi, kad tika veikta pārvietošana, visi klienti saņems atjauninātu YAML failu (un, iespējams, tiks restartēts). Nav ļoti ērti!

Pēc tam mēs sākām ieviest jaunu shēmu, kurā katrs klients pieslēdzās lokālajam starpniekserveri. Adreses un porta vietā tam ir jāzina tikai pakalpojuma porta numurs un jāizveido savienojums, izmantojot localhost. Vietējais starpniekserveris apstrādā šo savienojumu un pārsūta to faktiskajam serverim. Tagad, pārvietojot aizmugursistēmu uz citu mašīnu vai mērogojot, tā vietā, lai atjauninātu visus klientus, ir jāatjaunina tikai visi šie lokālie starpniekserveri; un atsāknēšana vairs nav nepieciešama.

(Tāpat bija plānots iekapsulēt trafiku TLS savienojumos un ievietot citu starpniekserveri saņēmēja pusē, kā arī pārbaudīt TLS sertifikātus bez saņēmēja pakalpojuma līdzdalības, kas ir konfigurēts, lai pieņemtu savienojumus tikai localhost. Vairāk par to vēlāk).

Tas ir ļoti līdzīgs SmartStack no Airbnb, taču būtiskā atšķirība ir tā, ka SmartStack ir ieviests un izvietots ražošanā, savukārt dotCloud iekšējā maršrutēšanas sistēma tika apturēta, kad dotCloud kļuva par Docker.

Es personīgi uzskatu, ka SmartStack ir viens no tādu sistēmu priekštečiem kā Istio, Linkerd un Consul Connect, jo tās visas ievēro vienu un to pašu modeli:

Palaidiet starpniekserveri katrā mezglā.
Klienti izveido savienojumu ar starpniekserveri.
Vadības plakne atjaunina starpniekservera konfigurāciju, kad mainās aizmugursistēmas.
... Peļņa!

Mūsdienīga servisa tīkla ieviešana

Ja mums šodien būtu nepieciešams ieviest līdzīgu tīklu, mēs varētu izmantot līdzīgus principus. Piemēram, konfigurējiet iekšējo DNS zonu, kartējot pakalpojumu nosaukumus ar adresēm šajā telpā 127.0.0.0/8. Pēc tam palaidiet HAProxy katrā klastera mezglā, pieņemot savienojumus katrā pakalpojuma adresē (šajā apakštīklā 127.0.0.0/8) un slodzes novirzīšanu/līdzsvarošanu uz atbilstošajām aizmugursistēmām. HAProxy konfigurāciju var kontrolēt confd, ļaujot saglabāt aizmugursistēmas informāciju programmā etcd vai Consul un automātiski nosūtīt atjaunināto konfigurāciju HAProxy, kad nepieciešams.

Tas ir gandrīz tas, kā Istio darbojas! Bet ar dažām atšķirībām:

Lietojumi Sūtņa pilnvarnieks HAProxy vietā.
Saglabā aizmugursistēmas konfigurāciju, izmantojot Kubernetes API, nevis etcd vai Consul.
Pakalpojumiem tiek piešķirtas adreses iekšējā apakštīklā (Kubernetes ClusterIP adreses), nevis 127.0.0.0/8.
Ir papildu komponents (Citadele), lai pievienotu savstarpēju TLS autentifikāciju starp klientu un serveriem.
Atbalsta jaunas funkcijas, piemēram, ķēdes pārtraukumu, izplatītu izsekošanu, kanāriju izvietošanu utt.

Īsi apskatīsim dažas atšķirības.

Sūtņa pilnvarnieks

Envoy Proxy uzrakstīja Lyft [Uber konkurents taksometru tirgū - apm. josla]. Tas daudzējādā ziņā ir līdzīgs citiem starpniekserveriem (piemēram, HAProxy, Nginx, Traefik...), taču Lyft rakstīja savējo, jo viņiem bija vajadzīgas funkcijas, kuru trūka citiem starpniekserveriem, un šķita gudrāk izveidot jaunu, nevis paplašināt esošo.

Sūtni var izmantot atsevišķi. Ja man ir konkrēts pakalpojums, kuram nepieciešams izveidot savienojumu ar citiem pakalpojumiem, es varu to konfigurēt, lai izveidotu savienojumu ar Envoy, un pēc tam dinamiski konfigurēt un pārkonfigurēt Envoy ar citu pakalpojumu atrašanās vietu, vienlaikus iegūstot daudz lielisku papildu funkcionalitāti, piemēram, redzamību. Tā vietā, lai izveidotu pielāgotu klienta bibliotēku vai kodā ievadītu zvanu pēdas, mēs nosūtām trafiku uz Envoy, un tas apkopo metriku mūsu vietā.

Bet Sūtnis ir spējīgs strādāt arī kā datu plakne (datu plakne) servisa tīklam. Tas nozīmē, ka Envoy tagad ir konfigurēts šim pakalpojuma tīklam vadības plakne (vadības plakne).

Vadības plakne

Vadības plaknei Istio paļaujas uz Kubernetes API. Tas īpaši neatšķiras no confd lietošanas, kas paļaujas uz etcd vai Consul, lai skatītu atslēgu kopu datu krātuvē. Istio izmanto Kubernetes API, lai skatītu Kubernetes resursu kopu.

Starp šo un pēc tam: Man personīgi tas šķita noderīgi Kubernetes API aprakstskas skan:

Kubernetes API serveris ir “mēms serveris”, kas piedāvā API resursu glabāšanu, versiju izveidi, validāciju, atjaunināšanu un semantiku.

Istio ir paredzēts darbam ar Kubernetes; un, ja vēlaties to izmantot ārpus Kubernetes, jums ir jāpalaiž Kubernetes API servera gadījums (un etcd palīga pakalpojums).

Servisa adreses

Istio paļaujas uz ClusterIP adresēm, kuras piešķir Kubernetes, tāpēc Istio pakalpojumi saņem iekšējo adresi (nav diapazonā 127.0.0.0/8).

Datplūsmu uz ClusterIP adresi noteiktam pakalpojumam Kubernetes klasterī bez Istio pārtver kube starpniekserveris un nosūta uz šī starpniekservera aizmugursistēmu. Ja jūs interesē tehniskā informācija, kube-proxy iestata iptables kārtulas (vai IPVS slodzes balansētājus atkarībā no tā, kā tas ir konfigurēts), lai pārrakstītu to savienojumu galamērķa IP adreses, kas ved uz ClusterIP adresi.

Kad Istio ir instalēts Kubernetes klasterī, nekas nemainās, kamēr tas nav skaidri iespējots konkrētam patērētājam vai pat visai nosaukumvietai, ieviešot konteineru. sidecar pielāgotās pākstīs. Šis konteiners izveidos sūtņa gadījumu un iestatīs iptables noteikumu kopu, lai pārtvertu datplūsmu uz citiem pakalpojumiem un novirzītu šo trafiku uz Envoy.

Integrējot ar Kubernetes DNS, tas nozīmē, ka mūsu kods var izveidot savienojumu ar pakalpojuma nosaukumu un viss “tikai darbojas”. Citiem vārdiem sakot, mūsu kods izdod tādus vaicājumus kā http://api/v1/users/4242tad api atrisināt pieprasījumu 10.97.105.48, iptables kārtulas pārtvers savienojumus no 10.97.105.48 un pārsūtīs tos vietējam sūtņa starpniekserveri, un šis vietējais starpniekserveris pārsūtīs pieprasījumu faktiskajam aizmugursistēmas API. Fu!

Papildu volāni

Istio nodrošina arī pilnīgu šifrēšanu un autentifikāciju, izmantojot mTLS (savstarpēju TLS). Komponents ar nosaukumu Citadele.

Ir arī sastāvdaļa Mikseris, ko sūtnis var pieprasīt no katra pieprasījums pieņemt īpašu lēmumu par šo pieprasījumu atkarībā no dažādiem faktoriem, piemēram, galvenēm, aizmugursistēmas slodzes utt... (neuztraucieties: ir daudzi veidi, kā turpināt Mixer darbību, un pat ja tas avarē, Envoy turpinās strādāt labi kā starpniekserveris) .

Un, protams, mēs pieminējām redzamību: Envoy apkopo milzīgu daudzumu metrikas, vienlaikus nodrošinot izplatītu izsekošanu. Ja mikropakalpojumu arhitektūrā vienam API pieprasījumam ir jānokļūst caur mikropakalpojumiem A, B, C un D, tad pēc pieteikšanās izplatītā izsekošana pievienos pieprasījumam unikālu identifikatoru un saglabās šo identifikatoru, izmantojot apakšpieprasījumus visiem šiem mikropakalpojumiem, ļaujot visi saistītie zvani, kas jāuztver.aizkavēšanās utt.

Izstrādāt vai iegādāties

Istio ir pazīstams kā sarežģīts. Turpretim maršrutēšanas tīkla izveide, ko es aprakstīju šīs ziņas sākumā, ir salīdzinoši vienkārša, izmantojot esošos rīkus. Tātad, vai ir jēga tā vietā izveidot savu pakalpojumu tīklu?

Ja mums ir pieticīgas vajadzības (nav vajadzīga redzamība, automātiskais slēdzis un citi smalkumi), tad rodas domas par sava instrumenta izstrādi. Bet, ja mēs izmantojam Kubernetes, tas var pat nebūt vajadzīgs, jo Kubernetes jau nodrošina pamata rīkus pakalpojumu atklāšanai un slodzes līdzsvarošanai.

Bet, ja mums ir paaugstinātas prasības, servisa tīkla “iegādāšanās” šķiet daudz labāks risinājums. (Tas ne vienmēr ir pirkums, jo Istio ir atvērtā koda avots, taču mums joprojām ir jāiegulda inženierijas laiks, lai to saprastu, izvietotu un pārvaldītu.)

Vai man izvēlēties Istio, Linkerd vai Consul Connect?

Līdz šim esam runājuši tikai par Istio, taču tas nav vienīgais servisa tīkls. Populāra alternatīva - Linkerd, un ir vēl vairāk Consul Connect.

Ko izvēlēties?

Godīgi sakot, es nezinu. Šobrīd neuzskatu, ka esmu pietiekami kompetents, lai atbildētu uz šo jautājumu. Ir daži interesanti raksti ar šo rīku salīdzinājumu un pat etaloniem.

Viena daudzsološa pieeja ir izmantot līdzīgu rīku SuperGloo. Tas ievieš abstrakcijas slāni, lai vienkāršotu un apvienotu API, ko atklāj pakalpojumu tīkli. Tā vietā, lai apgūtu dažādu pakalpojumu tīklu specifiskās (un, manuprāt, salīdzinoši sarežģītās) API, mēs varam izmantot SuperGloo vienkāršākas konstrukcijas un viegli pārslēgties no vienas uz otru, it kā mums būtu starpposma konfigurācijas formāts, kas apraksta HTTP saskarnes un aizmugursistēmas. faktiskās konfigurācijas ģenerēšana Nginx, HAProxy, Traefik, Apache...

Esmu nedaudz parunājis ar Istio un SuperGloo, un nākamajā rakstā vēlos parādīt, kā pievienot Istio vai Linkerd esošam klasterim, izmantojot SuperGloo, un kā pēdējais paveic darbu, tas ir, ļauj pārslēgties no no viena pakalpojuma tīkla uz otru, nepārrakstot konfigurācijas.

Avots: www.habr.com

Konteineri, mikropakalpojumi un servisa tīkli