NGINX सेवा जाळी उपलब्ध

पूर्वावलोकन आवृत्ती सादर करताना आम्हाला आनंद होत आहे NGINX सेवा जाळी (NSM), एक बंडल केलेली हलकी सेवा जाळी जी NGINX प्लस-आधारित डेटा प्लेनचा वापर करते कुबर्नेट्स वातावरणात कंटेनर रहदारी व्यवस्थापित करण्यासाठी.

NSM विनामूल्य आहे येथे डाउनलोड करा. आम्‍हाला आशा आहे की तुम्‍ही विकास आणि चाचणी वातावरणासाठी ते वापरून पहाल - आणि तुमच्‍या अभिप्रायाची अपेक्षा आहे GitHub वर.

मायक्रोसर्व्हिसेस पद्धतीची अंमलबजावणी अडचणींनी भरलेली आहे कारण वितरणाचे प्रमाण वाढत आहे, तसेच त्याची जटिलता आहे. सेवांमधील संप्रेषण अधिक जटिल होते, डीबगिंग समस्या अधिक कठीण होतात आणि अधिकाधिक सेवांना व्यवस्थापित करण्यासाठी अधिक संसाधनांची आवश्यकता असते.

NSM तुम्हाला प्रदान करून या समस्यांचे निराकरण करते:

• सुरक्षा, जे आता पूर्वीपेक्षा अधिक महत्त्वाचे आहे. डेटाच्या उल्लंघनामुळे कंपनीला दरवर्षी लाखो डॉलर्सचा महसूल आणि प्रतिष्ठा गमावू शकते. NSM हे सुनिश्चित करते की सर्व कनेक्शन mTLS वापरून एनक्रिप्ट केलेले आहेत, त्यामुळे नेटवर्कवर हॅकर्सद्वारे चोरीला जाऊ शकणारा कोणताही संवेदनशील डेटा नाही. प्रवेश नियंत्रण तुम्हाला सेवा इतर सेवांशी कसे संवाद साधतात यासाठी धोरणे सेट करण्याची परवानगी देते.
• वाहतूक व्यवस्थापन. ऍप्लिकेशनची नवीन आवृत्ती पाठवताना, एरर आल्यास तुम्ही येणार्‍या ट्रॅफिकला प्रतिबंधित करून सुरुवात करू शकता. NSM च्या बुद्धिमान कंटेनर रहदारी व्यवस्थापनासह, आपण नवीन सेवांसाठी रहदारी प्रतिबंध धोरण सेट करू शकता ज्यामुळे कालांतराने रहदारी वाढेल. स्पीड लिमिटिंग आणि सर्किट ब्रेकर्स यासारखी इतर वैशिष्ट्ये तुम्हाला तुमच्या सर्व सेवांच्या ट्रॅफिक फ्लोवर पूर्ण नियंत्रण देतात.
• व्हिज्युअलायझेशन. हजारो सेवा व्यवस्थापित करणे हे डीबगिंग आणि व्हिज्युअलायझेशन दुःस्वप्न असू शकते. NSM NGINX Plus मध्ये उपलब्ध सर्व वैशिष्ट्ये प्रदर्शित करणाऱ्या अंगभूत Grafana डॅशबोर्डसह या परिस्थितीला सामोरे जाण्यास मदत करते. तसेच लागू केलेले ओपन ट्रेसिंग तुम्हाला व्यवहारांचे तपशीलवार निरीक्षण करण्यास अनुमती देते.
• संकरित वितरण, जर तुमची कंपनी, इतरांप्रमाणेच, पूर्णपणे Kubernetes वर चालणाऱ्या पायाभूत सुविधांचा वापर करत नसेल. NSM हे सुनिश्चित करते की लेगसी ऍप्लिकेशन्सकडे लक्ष दिले जाणार नाही. अंमलात आणलेल्या NGINX Kubernetes Ingress कंट्रोलरच्या मदतीने, लेगसी सेवा मेश सेवांशी संवाद साधू शकतील आणि त्याउलट.

कंटेनर रहदारीसाठी एनक्रिप्शन आणि प्रमाणीकरण पारदर्शकपणे लागू करून शून्य विश्वास वातावरणात देखील NSM अनुप्रयोग सुरक्षा सुनिश्चित करते. हे व्यवहाराची दृश्यमानता आणि विश्लेषण देखील प्रदान करते, तुम्हाला उपयोजन आणि समस्या निवारण जलद आणि अचूकपणे लाँच करण्यात मदत करते. हे ग्रॅन्युलर ट्रॅफिक कंट्रोल देखील प्रदान करते, जे DevOps टीम्सना अॅप्लिकेशन्सचे काही भाग तैनात आणि ऑप्टिमाइझ करण्याची परवानगी देते आणि विकासकांना त्यांचे वितरित अॅप्लिकेशन तयार करण्यास आणि सहजपणे कनेक्ट करण्यास सक्षम करते.

NGINX सेवा जाळी कशी कार्य करते?

NSM मध्ये क्षैतिज (सेवा-ते-सेवा) रहदारीसाठी युनिफाइड डेटा प्लेन आणि उभ्या ट्रॅफिकसाठी एम्बेडेड NGINX प्लस इंग्रेस कंट्रोलर, एकल कंट्रोल प्लेनद्वारे व्यवस्थापित केले जाते.

कंट्रोल प्लेन विशेषतः NGINX Plus डेटा प्लेनसाठी डिझाइन केलेले आणि ऑप्टिमाइझ केलेले आहे आणि NGINX Plus साइडकारमध्ये वितरीत केलेले रहदारी नियंत्रण नियम परिभाषित करते.

NSM मध्ये, जाळीतील प्रत्येक सेवेसाठी साइडकार प्रॉक्सी स्थापित केल्या जातात. ते खालील ओपन सोर्स सोल्यूशन्ससह इंटरफेस करतात:

• Grafana, Prometheus पॅरामीटर व्हिज्युअलायझेशन, अंगभूत NSM पॅनेल तुम्हाला तुमच्या कामात मदत करते;
• कुबर्नेट्स इंग्रेस कंट्रोलर्स, जाळीमध्ये येणारे आणि जाणारे ट्रॅफिक व्यवस्थापित करण्यासाठी;
• जाळीमध्ये प्रमाणपत्रांचे व्यवस्थापन, वितरण आणि अद्ययावतीकरण करण्यासाठी SPIRE, CA;
• NATS, नियंत्रण विमानापासून साइडकारपर्यंत मार्ग अद्यतने यांसारखे संदेश पाठवण्यासाठी एक स्केलेबल प्रणाली;
• ओपन ट्रेसिंग, वितरित डीबगिंग (झिपकिन आणि जेगर समर्थित);
• प्रोमिथियस, एनजीआयएनएक्स प्लस साइडकारमधून विनंत्या, कनेक्शन आणि SSL हँडशेक यांसारखी वैशिष्ट्ये गोळा आणि संग्रहित करतो.

कार्ये आणि घटक

डेटा प्लेन म्हणून NGINX Plus मध्ये साइडकार प्रॉक्सी (क्षैतिज रहदारी) आणि इंग्रेस कंट्रोलर (उभ्या), सेवांमधील कंटेनर रहदारी रोखणे आणि व्यवस्थापित करणे समाविष्ट आहे.

वैशिष्ट्यांचा समावेश आहे:

• म्युच्युअल TLS (mTLS) प्रमाणीकरण;
• भार संतुलन;
• चुकीची सहनशीलता;
• गती मर्यादा;
• सर्किट ब्रेकिंग;
• निळा-हिरवा आणि कॅनरी उपयोजन;
• प्रवेश नियंत्रण.

NGINX सेवा जाळी लाँच करत आहे

NSM चालवण्यासाठी तुम्हाला आवश्यक आहे:

• कुबर्नेट्स वातावरणात प्रवेश. NGINX सेवा जाळी अनेक Kubernetes प्लॅटफॉर्मवर समर्थित आहे, ज्यात Kubernetes (EKS), Azure Kubernetes Service (AKS), Google Kubernetes Engine (GKE), VMware vSphere आणि हार्डवेअर सर्व्हरवर तैनात केलेले नियमित Kubernetes क्लस्टर यासह अनेक Kubernetes प्लॅटफॉर्मवर समर्थित आहे;
• उपकरणे kubectl, ज्या मशीनवरून NSM स्थापित केले जाईल त्यावर स्थापित;
• NGINX सर्व्हिस मेश रिलीज पॅकेजेसमध्ये प्रवेश. पॅकेजमध्ये कुबर्नेट्स क्लस्टरमध्ये उपलब्ध असलेल्या कंटेनरसाठी खाजगी रजिस्ट्रीमध्ये अपलोड करण्यासाठी आवश्यक असलेल्या NSM प्रतिमा आहेत. पॅकेजमध्ये देखील समाविष्ट आहे nginx-meshctl, NSM तैनात करणे आवश्यक आहे.

डीफॉल्ट सेटिंग्जसह NSM उपयोजित करण्यासाठी, खालील आदेश चालवा. उपयोजनादरम्यान, घटकांची यशस्वी स्थापना दर्शविणारे संदेश प्रदर्शित केले जातात आणि शेवटी, NSM वेगळ्या नेमस्पेसमध्ये चालत असल्याचे दर्शविणारा संदेश (तुम्हाला प्रथम скачать आणि ते रेजिस्ट्रीमध्ये ठेवा, अंदाजे अनुवादक):

$ DOCKER_REGISTRY=your-Docker-registry ; MESH_VER=0.6.0 ; 
 ./nginx-meshctl deploy  
  --nginx-mesh-api-image "${DOCKER_REGISTRY}/nginx-mesh-api:${MESH_VER}" 
  --nginx-mesh-sidecar-image "${DOCKER_REGISTRY}/nginx-mesh-sidecar:${MESH_VER}" 
  --nginx-mesh-init-image "${DOCKER_REGISTRY}/nginx-mesh-init:${MESH_VER}" 
  --nginx-mesh-metrics-image "${DOCKER_REGISTRY}/nginx-mesh-metrics:${MESH_VER}"
Created namespace "nginx-mesh".
Created SpiffeID CRD.
Waiting for Spire pods to be running...done.
Deployed Spire.
Deployed NATS server.
Created traffic policy CRDs.
Deployed Mesh API.
Deployed Metrics API Server.
Deployed Prometheus Server nginx-mesh/prometheus-server.
Deployed Grafana nginx-mesh/grafana.
Deployed tracing server nginx-mesh/zipkin.
All resources created. Testing the connection to the Service Mesh API Server...

Connected to the NGINX Service Mesh API successfully.
NGINX Service Mesh is running.

प्रगत सेटिंग्जसह अधिक पर्यायांसाठी, ही आज्ञा चालवा:

$ nginx-meshctl deploy –h

नेमस्पेसमध्ये कंट्रोल प्लेन योग्यरितीने काम करत असल्याचे तपासा nginx-जाळी, आपण हे करू शकता:

$ kubectl get pods –n nginx-mesh
NAME                                 READY   STATUS    RESTARTS   AGE
grafana-6cc6958cd9-dccj6             1/1     Running   0          2d19h
mesh-api-6b95576c46-8npkb            1/1     Running   0          2d19h
nats-server-6d5c57f894-225qn         1/1     Running   0          2d19h
prometheus-server-65c95b788b-zkt95   1/1     Running   0          2d19h
smi-metrics-5986dfb8d5-q6gfj         1/1     Running   0          2d19h
spire-agent-5cf87                    1/1     Running   0          2d19h
spire-agent-rr2tt                    1/1     Running   0          2d19h
spire-agent-vwjbv                    1/1     Running   0          2d19h
spire-server-0                       2/2     Running   0          2d19h
zipkin-6f7cbf5467-ns6wc              1/1     Running   0          2d19h

मॅन्युअल किंवा स्वयंचलित इंजेक्शन धोरणे सेट करणार्‍या उपयोजन सेटिंग्जच्या आधारावर, NGINX साइडकार प्रॉक्सी डीफॉल्टनुसार अनुप्रयोगांमध्ये जोडल्या जातील. स्वयंचलित जोडणे अक्षम करण्यासाठी, वाचा येथे

उदाहरणार्थ, आम्ही अनुप्रयोग उपयोजित केल्यास झोप नेमस्पेस मध्ये डीफॉल्ट, आणि नंतर पॉड तपासा - आम्ही दोन चालू कंटेनर पाहू, अनुप्रयोग झोप आणि संबंधित साइडकार:

$ kubectl apply –f sleep.yaml
$ kubectl get pods –n default
NAME                     READY   STATUS    RESTARTS   AGE
sleep-674f75ff4d-gxjf2   2/2     Running   0          5h23m

आम्ही अनुप्रयोगाचे निरीक्षण देखील करू शकतो झोप NGINX Plus पॅनेलमध्ये, तुमच्या स्थानिक मशीनवरून साइडकारमध्ये प्रवेश करण्यासाठी हा आदेश चालवा:

$ kubectl port-forward sleep-674f75ff4d-gxjf2 8080:8886

मग आपण फक्त आत जातो येथे ब्राउझर मध्ये. अनुप्रयोगाचे परीक्षण करण्यासाठी आपण प्रोमिथियसशी देखील कनेक्ट करू शकता झोप.

प्रवेश नियंत्रण, दर मर्यादा आणि सर्किट ब्रेकिंग यासारख्या रहदारी धोरणे कॉन्फिगर करण्यासाठी तुम्ही वैयक्तिक कुबर्नेट्स संसाधने वापरू शकता, यासाठी पहा दस्तऐवजीकरण

निष्कर्ष

NGINX सेवा जाळी येथे विनामूल्य डाउनलोड करण्यासाठी उपलब्ध आहे पोर्टल F5. तुमच्या डेव्ह आणि चाचणी वातावरणात वापरून पहा आणि परिणामांबद्दल आम्हाला लिहा.

NGINX Plus Ingress कंट्रोलर वापरून पाहण्यासाठी, सक्रिय करा विनामूल्य चाचणी कालावधी 30 दिवसांसाठी, किंवा आमच्याशी संपर्क साधा तुमच्या वापराच्या प्रकरणांवर चर्चा करण्यासाठी.

पावेल डेमकोविच, कंपनी अभियंता यांचे भाषांतर साउथब्रिज. प्रति महिना रुब 15 साठी सिस्टम प्रशासन. आणि स्वतंत्र विभाग म्हणून - एक प्रशिक्षण केंद्र स्लर्म, सराव आणि सराव शिवाय काहीही नाही.

स्त्रोत: www.habr.com