Pārskats un salīdzinājums par Kubernetes Ingress kontrolieriem

Palaižot Kubernetes klasteru konkrētai lietojumprogrammai, jums ir jāsaprot, ko pati lietojumprogramma, bizness un izstrādātāji rada šim resursam. Izmantojot šo informāciju, jūs varat sākt pieņemt arhitektonisku lēmumu un, jo īpaši, izvēlēties konkrētu Ingress kontrolieri, kuru jau šodien ir liels skaits. Lai gūtu priekšstatu par pieejamajām opcijām, neizpētot daudz rakstu/dokumentāciju utt., esam sagatavojuši šo pārskatu, iekļaujot galvenos (ražošanai gatavus) Ingress kontrollerus.

Ceram, ka tas palīdzēs kolēģiem arhitektoniskā risinājuma izvēlē – vismaz kļūs par atspēriena punktu sīkākas informācijas iegūšanai un praktiskiem eksperimentiem. Iepriekš mēs pētījām citus līdzīgus materiālus tīklā un, dīvainā kārtā, neatradām nevienu vairāk vai mazāk pilnīgu un pats galvenais - strukturētu pārskatu. Tāpēc aizpildīsim šo robu!

kritēriji

Principā, lai veiktu salīdzinājumu un iegūtu kādu noderīgu rezultātu, jums ir jāsaprot ne tikai priekšmeta joma, bet arī jābūt konkrētam kritēriju sarakstam, kas noteiks pētījuma vektoru. Nepretendējot uz visu iespējamo Ingress / Kubernetes lietošanas gadījumu analīzi, mēs centāmies izcelt vispārīgākās prasības kontrolieriem - esiet gatavi, ka jebkurā gadījumā jums būs jāizpēta visa jūsu specifika un detaļas atsevišķi.

Bet es sākšu ar īpašībām, kas ir kļuvušas tik pazīstamas, ka tās tiek ieviestas visos risinājumos un netiek ņemtas vērā:

• dinamiska pakalpojumu atklāšana (pakalpojumu atklāšana);
• SSL pārtraukšana;
• darbs ar tīmekļa ligzdām.

Tagad par salīdzināšanas punktiem:

Atbalstītie protokoli

Viens no galvenajiem atlases kritērijiem. Jūsu programmatūra var nedarboties ar standarta HTTP, vai arī tai var būt nepieciešams darbs ar vairākiem protokoliem vienlaikus. Ja jūsu korpuss ir nestandarta, noteikti ņemiet vērā šo faktoru, lai vēlāk nebūtu jāpārkonfigurē klasteris. Visiem kontrolleriem atbalstīto protokolu saraksts atšķiras.

programmatūras pamatā

Ir vairākas lietojumprogrammu variācijas, uz kurām balstās kontrolieris. Populāri ir nginx, traefik, haproxy, envoy. Vispārīgā gadījumā tam var nebūt lielas ietekmes uz to, kā satiksme tiek uztverta un pārraidīta, taču vienmēr ir noderīgi zināt iespējamās nianses un iezīmes tam, kas atrodas “zem pārsega”.

Satiksmes maršrutēšana

Uz kā pamata var pieņemt lēmumu par satiksmes virzienu uz konkrēto pakalpojumu? Parasti tie ir saimniekdators un ceļš, taču ir arī papildu iespējas.

Nosaukumtelpa klasterī

Namespace (namespace) - iespēja loģiski sadalīt resursus Kubernetes (piemēram, uz skatuves, producēšana utt.). Ir Ingress kontrolleri, kas katrā nosaukumvietā ir jāinstalē atsevišķi (un tad tas var novirzīt trafiku tikai uz šīs telpas pākstīm). Un ir tie (un to nepārprotami lielākā daļa), kas darbojas globāli visā klasterī - tajos trafika tiek novirzīta uz jebkuru klastera apgabalu neatkarīgi no nosaukumvietas.

Paraugi augštecēm

Kā trafiks tiek novirzīts uz veseliem lietojumprogrammu gadījumiem, pakalpojumiem? Ir iespējas ar aktīvām un pasīvām pārbaudēm, atkārtojumiem, automātiskiem slēdžiem (Sīkāku informāciju skatiet, piemēram, raksts par Istio), pielāgotas veselības pārbaudes utt. Ļoti svarīgs parametrs, ja jums ir augstas prasības attiecībā uz pieejamību un neveiksmīgu pakalpojumu savlaicīgu izņemšanu no balansēšanas.

Balansēšanas algoritmi

Ir daudz iespēju: no tradicionālās apaļš laupījums uz eksotiku rdp-sīkdatne, kā arī atsevišķas funkcijas, piemēram, lipīgās sesijas.

Autentifikācija

Kādas autorizācijas shēmas pārzinis atbalsta? Pamata, īssavilkums, oauth, ārējā autentifikācija — es domāju, ka šīm opcijām vajadzētu būt pazīstamām. Tas ir svarīgs kritērijs, ja ir daudz izstrādātāju (un/vai tikai privātu) cilpu, kurām var piekļūt, izmantojot Ingress.

Satiksmes sadale

Vai kontrolieris atbalsta tādus bieži lietotus satiksmes sadales mehānismus kā kanārijputnu izlaišana (kanārijputniņš), A/B testēšana, satiksmes spoguļošana (spoguļošana/ēnošana)? Šis ir ļoti sāpīgs temats lietojumprogrammām, kurām nepieciešama precīza un precīza trafika pārvaldība produktīvai testēšanai, produktu kļūdu atkļūdošanai bezsaistē (vai ar minimāliem zaudējumiem), trafika analīzei utt.

Maksas abonements

Vai kontrolierim ir maksas opcija ar uzlabotu funkcionalitāti un/vai tehnisko atbalstu?

Grafiskā lietotāja saskarne (tīmekļa lietotāja interfeiss)

Vai ir kāds GUI, lai pārvaldītu kontrollera konfigurāciju? Galvenokārt "ērtībai" un/vai tiem, kam jāveic dažas izmaiņas Ingress'a konfigurācijā, taču darbs ar "neapstrādātām" veidnēm ir neērts. Tas var būt noderīgi, ja izstrādātāji vēlas veikt dažus eksperimentus ar satiksmi lidojuma laikā.

JWT validācija

Iebūvēta JSON tīmekļa pilnvaru validācija lietotāja autorizācijai un validācijai gala lietojumprogrammā.

Konfigurācijas pielāgošanas iespējas

Veidņu paplašināšana tādā nozīmē, ka ir mehānismi, kas ļauj standarta konfigurācijas veidnēm pievienot savas direktīvas, karogus utt.

Pamata DDOS aizsardzības mehānismi

Vienkārši ātruma ierobežojuma algoritmi vai sarežģītākas trafika filtrēšanas iespējas, kuru pamatā ir adreses, baltie saraksti, valstis utt.

Pieprasīt izsekošanu

Iespēja pārraudzīt, izsekot un atkļūdot pieprasījumus no Ingresses uz konkrētiem pakalpojumiem/apd, un ideālā gadījumā arī starp pakalpojumiem/aplikumiem.

WAF

atbalsts lietojumprogrammu ugunsmūris.

Kontrolieri

Kontrolieru saraksts tika izveidots, pamatojoties uz oficiālā Kubernetes dokumentācija и šo tabulu. Dažus no tiem mēs izslēdzām no pārskata specifiskuma vai zemas izplatības dēļ (agrīna attīstības stadija). Pārējie ir apspriesti tālāk. Sāksim ar vispārīgu risinājumu aprakstu un turpināsim ar kopsavilkuma tabulu.

Ieeja no Kubernetes

Mājas lapa: github.com/kubernetes/ingress-nginx
Licence: Apache 2.0

Šis ir oficiālais Kubernetes kontrolieris, un to izstrādā kopiena. Acīmredzot pēc nosaukuma, tas ir balstīts uz nginx, un to papildina cits Lua spraudņu komplekts, ko izmanto papildu funkciju ieviešanai. Sakarā ar paša nginx popularitāti un minimālajām modifikācijām tajā, kad to izmanto kā kontrolieri, šī opcija var būt visvieglāk un visvieglāk konfigurējama vidusmēra inženierim (ar tīmekļa pieredzi).

Ieeja no NGINX Inc.

Mājas lapa: github.com/nginxinc/kubernetes-ingress
Licence: Apache 2.0

Oficiālais nginx izstrādātāju produkts. Ir maksas versija, kuras pamatā ir NGINX Plus. Galvenā ideja ir augsts stabilitātes līmenis, pastāvīga atpakaļejoša savietojamība, svešu moduļu neesamība un deklarētais palielinātais ātrums (salīdzinājumā ar oficiālo kontrolieri), kas panākts Lua noraidīšanas dēļ.

Bezmaksas versija ir ievērojami samazināta, tostarp pat salīdzinot ar oficiālo kontrolieri (tādu pašu Lua moduļu trūkuma dēļ). Tajā pašā laikā maksas ir diezgan plaša papildu funkcionalitāte: reāllaika metrika, JWT validācija, aktīvās veselības pārbaudes un daudz kas cits. Svarīga priekšrocība salīdzinājumā ar NGINX Ingress ir pilnīgs TCP / UDP trafika atbalsts (un arī kopienas versijā!). Mīnuss - trūkums trafika sadales funkcija, kurai tomēr "izstrādātājiem ir visaugstākā prioritāte", taču tā ieviešana prasa laiku.

Kong Ingress

Mājas lapa: github.com/Kong/kubernetes-ingress-controller
Licence: Apache 2.0

Produkts, ko izstrādājis Kong Inc. divās versijās: komerciālā un bezmaksas. Balstīts uz nginx, kas ir paplašināts ar lielu skaitu Lua moduļu.

Sākotnēji tas bija vērsts uz API pieprasījumu apstrādi un maršrutēšanu, t.i. kā API Gateway, bet šobrīd tas ir kļuvis par pilnvērtīgu Ingress kontrolieri. Galvenās priekšrocības: daudzi papildu moduļi (ieskaitot trešo pušu izstrādātājus), kurus ir viegli uzstādīt un konfigurēt un ar kuru palīdzību tiek ieviests plašs papildu funkciju klāsts. Tomēr iebūvētās funkcijas jau piedāvā daudzas iespējas. Darba konfigurēšana tiek veikta, izmantojot CRD resursus.

Svarīga produkta īpašība - darbs vienā kontūrā (nevis starpnosaukumos) ir strīdīgs temats: dažiem tas šķitīs trūkums (katrai kontūrai ir jāizveido entītijas), bet kādam tā ir funkcija ( bоLielāks izolācijas līmenis, kā ja ir bojāts viens kontrolieris, problēma attiecas tikai uz ķēdi).

Traefik

Mājas lapa: github.com/containous/traefik
Licence: MIT

Starpniekserveris, kas sākotnēji tika izveidots, lai strādātu ar pieprasījumu maršrutēšanu mikropakalpojumiem un to dinamiskajai videi. Līdz ar to daudzas noderīgas funkcijas: konfigurācijas atjaunināšana bez pārstartēšanas, atbalsts lielam skaitam balansēšanas metožu, tīmekļa saskarne, metrikas pārsūtīšana, atbalsts dažādiem protokoliem, REST API, kanārijputnu izlaidumi un daudz kas cits. Vēl viena jauka funkcija ir atbalsts Let's Encrypt sertifikātiem. Trūkums ir tāds, ka, lai organizētu augstu pieejamību (HA), kontrolierim būs jāinstalē un jāpievieno sava KV krātuve.

HAProxy

Mājas lapa: github.com/jcmoraisjr/haproxy-ingress
Licence: Apache 2.0

HAProxy jau sen ir pazīstams kā starpniekserveris un satiksmes līdzsvarotājs. Kā daļa no Kubernetes klastera tas piedāvā “mīksto” konfigurācijas atjauninājumu (bez trafika zuduma), pakalpojumu atklāšanu, pamatojoties uz DNS, dinamisku konfigurāciju, izmantojot API. Var būt pievilcīgi pilnībā pielāgot konfigurācijas veidni, aizstājot CM, kā arī iespēju tajā izmantot Sprig bibliotēkas funkcijas. Kopumā risinājuma galvenais uzsvars ir uz lielu ātrumu, tā optimizāciju un efektivitāti patērētajos resursos. Kontroliera priekšrocība ir rekordliela dažādu balansēšanas metožu atbalsts.

Ceļotājs

Mājas lapa: github.com/appscode/voyager
Licence: Apache 2.0

Balstīts uz HAproxy kontrolleri, kas ir pozicionēts kā universāls risinājums, kas atbalsta plašu funkciju klāstu daudziem pakalpojumu sniedzējiem. Tiek piedāvāta iespēja balansēt trafiku uz L7 un L4, un TCP L4 trafika balansēšanu kopumā var saukt par vienu no galvenajām risinājuma iezīmēm.

Kontūra

Mājas lapa: github.com/heptio/contour
Licence: Apache 2.0

Šis risinājums nav balstīts tikai uz Envoy: to izstrādāja kopīgi ar šī populārā starpniekservera autoriem. Svarīga iezīme ir iespēja nodalīt Ingress resursu kontroli, izmantojot IngressRoute CRD resursus. Organizācijām ar daudzām izstrādes komandām, kuras izmanto vienu un to pašu kopu, tas palīdz maksimāli palielināt drošību darbā ar trafiku blakus esošajās cilpās un aizsargāt tās no kļūdām, mainot ieejas resursus.

Tas piedāvā arī paplašinātu balansēšanas metožu kopu (ir pieprasījuma spoguļošana, automātiskais atkārtojums, pieprasījuma ātruma ierobežošana un daudz kas cits), detalizētu satiksmes plūsmas un kļūmju uzraudzību. Varbūt kādam tas būs būtisks trūkums atbalsta trūkums lipīgām sesijām (lai gan darbs jau notiek).

Istio Ingress

Mājas lapa: istio.io/docs/tasks/traffic-management/ingress
Licence: Apache 2.0

Visaptverošs pakalpojumu tīkla risinājums, kas ir ne tikai Ingress kontrolieris, kas pārvalda ienākošo trafiku no ārpuses, bet arī kontrolē visu trafiku klasterī. Zem pārsega Envoy tiek izmantots kā blakusvāģa starpniekserveris katram pakalpojumam. Būtībā šis ir liels kombains, kas “var visu”, un tā galvenā ideja ir maksimāla vadāmība, paplašināmība, drošība un caurspīdīgums. Ar to jūs varat precizēt trafika maršrutēšanu, piekļuves autorizāciju starp pakalpojumiem, balansēšanu, uzraudzību, kanāriju izlaidumus un daudz ko citu. Vairāk par Istio lasiet rakstu sērijā "Atgriezties uz mikropakalpojumiem ar Istio'.

Vēstnieks

Mājas lapa: github.com/datawire/ambassador
Licence: Apache 2.0

Cits risinājums, kura pamatā ir Envoy. Tam ir bezmaksas un komerciālas versijas. Tas ir pozicionēts kā "pilnībā Kubernetes dzimtene", kas sniedz atbilstošās priekšrocības (cieša integrācija ar K8s klastera metodēm un entītijām).

salīdzinājuma tabula

Tātad, raksta kulminācija ir šī milzīgā tabula:

Tas ir noklikšķināms, lai skatītu tuvāk, un tas ir pieejams arī formātā Google izklājlapas.

Apkopojot

Šī raksta mērķis ir sniegt pilnīgāku izpratni (tomēr tas nekādā gadījumā nav izsmeļošs!) par to, kādu izvēli izdarīt konkrētajā gadījumā. Kā parasti, katram kontrolierim ir savas priekšrocības un trūkumi…

Klasiskais Kubernetes Ingress ir labs ar savu pieejamību un pierādītību, pietiekami bagātīgām funkcijām - kopumā tam vajadzētu būt “acīm pietiekami”. Tomēr, ja ir paaugstinātas prasības attiecībā uz stabilitāti, funkciju līmeni un attīstību, jums vajadzētu pievērst uzmanību Ingress ar NGINX Plus un maksas abonementu. Kongam ir visbagātākais spraudņu komplekts (un attiecīgi arī to sniegtās iespējas), un maksas versijā to ir vēl vairāk. Tam ir plašas iespējas strādāt kā API vārteja, dinamiska konfigurācija, kuras pamatā ir CRD resursi, kā arī pamata Kubernetes pakalpojumi.

Ņemot vērā paaugstinātās prasības balansēšanas un autorizācijas metodēm, apskatiet Traefik un HAProxy. Tie ir atvērtā koda projekti, kas ir pārbaudīti gadu gaitā, ļoti stabili un aktīvi attīstās. Contour ir iznācis jau pāris gadus, taču tas joprojām izskatās pārāk jauns, un tam ir pievienotas tikai pamata funkcijas, kas pievienotas Envoy. Ja ir prasības attiecībā uz WAF klātbūtni / iegulšanu lietojumprogrammas priekšā, jums jāpievērš uzmanība tam pašam Kubernetes vai HAProxy Ingress.

Un visbagātākie funkciju ziņā ir produkti, kas uzbūvēti uz Envoy, īpaši Istio. Šķiet, ka tas ir visaptverošs risinājums, kas "var darīt jebko", kas tomēr nozīmē arī ievērojami augstāku ievades slieksni konfigurēšanai / palaišanai / administrēšanai nekā citi risinājumi.

Kā standarta kontrolieri esam izvēlējušies un joprojām izmantojam Ingress no Kubernetes, kas sedz 80-90% vajadzību. Tas ir diezgan uzticams, viegli konfigurējams un paplašināms. Kopumā, ja nav īpašu prasību, tai vajadzētu būt piemērotai lielākajai daļai klasteru/lietojumprogrammu. No tiem pašiem universālajiem un salīdzinoši vienkāršiem produktiem var ieteikt Traefik un HAProxy.

PS

Lasi arī mūsu emuārā:

• "Atpakaļ uz mikropakalpojumiem ar Istio": 1. daļa (ievads galvenajās iezīmēs), 2. daļa (maršrutēšana, satiksmes kontrole), 3. daļa (autentifikācija un autorizācija);
• «Kubernetes padomi un triki: pielāgotas kļūdu lapas pakalpojumā NGINX Ingress";
• «Kubernetes padomi un triki: piekļuve izstrādes vietnēm'.

Avots: www.habr.com