NGINX סערוויס מעש בנימצא

מיר זענען צופרידן צו פאָרשטעלן אַ פאָרויסיקע ווייַזונג ווערסיע NGINX סערוויס מעש (NSM), אַ באַנדאַלד לייטווייט סערוויס מעש וואָס ניצט אַ NGINX Plus-באזירט דאַטן פלאַך צו פירן קאַנטיינער פאַרקער אין Kubernetes ינווייראַנמאַנץ.

NSM איז פריי download here. מיר האָפן איר וועט פּרובירן עס פֿאַר דעוו און פּרובירן ינווייראַנמאַנץ - און קוק פאָרויס צו דיין באַמערקונגען אויף GitHub.

די ימפּלאַמענטיישאַן פון מיקראָסערוויס מעטאַדאַלאַדזשי איז פראָט מיט שוועריקייטן ווי די וואָג פון עקספּרעס וואקסט, ווי געזונט ווי זייַן קאַמפּלעקסיטי. קאָמוניקאַציע צווישן סערוויסעס ווערט מער קאָמפּליצירט, דיבאַגינג פּראָבלעמס ווערן מער שווער, און מער און מער באַדינונגס דאַרפן מער רעסורסן צו פירן.

NSM סאַלווז די פּראָבלעמס דורך צושטעלן איר מיט:

• זיכערקייַט, וואָס איז איצט מער וויכטיק ווי אלץ. א דאַטן בריטש קען קאָסטן אַ פירמע מיליאַנז פון דאָללאַרס אַניואַלי אין פאַרפאַלן רעוועך און שעם. NSM ינשורז אַז אַלע קאַנעקשאַנז זענען ינקריפּטיד מיט mTLS, אַזוי עס זענען קיין שפּירעוודיק דאַטן וואָס כאַקערז קענען סטאָלען איבער די נעץ. אַקסעס קאָנטראָל אַלאַוז איר צו שטעלן פּאַלאַסיז פֿאַר ווי סערוויסעס יבערגעבן מיט אנדערע באַדינונגס.
• פאַרקער מאַנאַגעמענט. ווען איר שיקן אַ נייַע ווערסיע פון ​​​​אַ אַפּלאַקיישאַן, איר קען וועלן צו אָנהייבן מיט באַגרענעצן ינקאַמינג פאַרקער צו עס אין פאַל פון אַ טעות. מיט NSM ס ינטעליגענט קאַנטיינער פאַרקער פאַרוואַלטונג, איר קענען שטעלן אַ פאַרקער ריסטריקשאַן פּאָליטיק פֿאַר נייַע באַדינונגס וואָס וועט פאַרגרעסערן פאַרקער איבער צייט. אנדערע פֿעיִקייטן, אַזאַ ווי גיכקייַט לימיטינג און קרייַז ברעאַקערס, געבן איר פול קאָנטראָל איבער די פאַרקער לויפן פון אַלע דיין באַדינונגס.
• וויסואַליזאַטיאָן. אָנפירונג טויזנטער פון באַדינונגס קענען זיין אַ נייטמער פֿאַר דיבאַגינג און וויזשוואַלאַזיישאַן. NSM העלפּס צו האַנדלען מיט דעם סיטואַציע מיט אַ געבויט-אין Grafana דאַשבאָרד וואָס דיספּלייז אַלע די פֿעיִקייטן בנימצא אין NGINX Plus. און אויך די ימפּלאַמענאַד עפֿן טרייסינג אַלאַוז איר צו מאָניטאָר טראַנזאַקשאַנז אין דעטאַל.
• היבריד דיליוועריז, אויב דיין פירמע, ווי רובֿ אנדערע, טוט נישט נוצן ינפראַסטראַקטשער פליסנדיק לעגאַמרע אויף Kubernetes. NSM ינשורז אַז לעגאַט אַפּלאַקיישאַנז זענען נישט לינקס אַנאַטענדיד. מיט דער הילף פון די ימפּלאַמענאַד NGINX Kubernetes Ingress Controller, לעגאַט באַדינונגס קענען יבערגעבן מיט מעש באַדינונגס, און וויצע ווערסאַ.

NSM אויך ינשורז אַפּלאַקיישאַן זיכערהייט אין נול צוטרוי ינווייראַנמאַנץ דורך טראַנספּעראַנט אַפּלייינג ענקריפּשאַן און אָטענטאַקיישאַן צו קאַנטיינער פאַרקער. עס אויך גיט טראַנסאַקטיאָן וויזאַביליטי און אַנאַליסיס, העלפּינג איר געשווינד און אַקיעראַטלי קאַטער דיפּלוימאַנץ און טראָובלעשאָאָט פּראָבלעמס. עס אויך פּראָווידעס גראַניאַלער פאַרקער קאָנטראָל, אַלאַוינג DevOps טימז צו צעוויקלען און אַפּטאַמייז פּאַרץ פון אַפּלאַקיישאַנז און געבן דעוועלאָפּערס צו בויען און לייכט פאַרבינדן זייער פונאנדערגעטיילט אַפּלאַקיישאַנז.

ווי אַרבעט די NGINX סערוויס מעש?

NSM באשטייט פון אַ יונאַפייד דאַטן פלאַך פֿאַר האָריזאָנטאַל (דינסט-צו-דינסט) פאַרקער און אַן עמבעדיד NGINX Plus ינגרעסס קאָנטראָללער פֿאַר ווערטיקאַל פאַרקער, געראטן דורך אַ איין קאָנטראָל פלאַך.

די קאָנטראָל פלאַך איז ספּאַסיפיקלי דיזיינד און אָפּטימיזעד פֿאַר די NGINX Plus דאַטן פלאַך און דיפיינז פאַרקער קאָנטראָל כּללים פונאנדערגעטיילט איבער NGINX Plus סיידקאַרס.

אין NSM, סיידקאַרס פּראַקסיז זענען אינסטאַלירן פֿאַר יעדער סערוויס אין די ייגל. זיי פאַרבינדן מיט די פאלגענדע אָפֿן מקור סאַלושאַנז:

• גראַפאַנאַ, פּראָמעטהעוס פּאַראַמעטער וויזשוואַלאַזיישאַן, אַ געבויט-אין NSM טאַפליע העלפּס איר מיט דיין אַרבעט;
• Kubernetes Ingress Controllers, פֿאַר אָנפירונג ינקאַמינג און אַוטגאָוינג פאַרקער אין די ייגל;
• SPIRE, CA פֿאַר אָנפירונג, דיסטריביוטינג און אַפּדייטינג סערטיפיקאַץ אין די ייגל;
• NATS, אַ סקאַלאַבלע סיסטעם פֿאַר שיקט אַרטיקלען, אַזאַ ווי מאַרשרוט דערהייַנטיקונגען, פֿון די קאָנטראָל פלאַך צו סיידקאַרס;
• עפֿן טרייסינג, פונאנדערגעטיילט דיבאַגינג (זיפּקין און דזשיגער געשטיצט);
• פּראָמעטהעוס, קאַלעקץ און קראָם קעראַקטעריסטיקס פון NGINX Plus סיידקאַרס, אַזאַ ווי די נומער פון ריקוועס, קאַנעקשאַנז און ססל כאַנדשייקס.

פאַנגקשאַנז און קאַמפּאָונאַנץ

NGINX Plus ווי אַ דאַטן פלאַך קאָווערס סיידקאַר פּראַקסי (האָריזאָנטאַל פאַרקער) און ינגרעסס קאָנטראָללער (ווערטיקאַל), ינטערסעפּטינג און אָנפירונג קאַנטיינער פאַרקער צווישן באַדינונגס.

פֿעיִקייטן אַרייַננעמען:

• קעגנצייַטיק TLS (mTLS) אָטענטאַקיישאַן;
• מאַסע באַלאַנסינג;
• שולד טאָלעראַנץ;
• גיכקייַט שיעור;
• קרייז ברייקינג;
• בלו-גרין און קאַנאַרי דיפּלוימאַנץ;
• אַקסעס קאָנטראָל.

לאָנטשינג NGINX סערוויס מעש

צו לויפן NSM איר דאַרפֿן:

• צוטריט צו די Kubernetes סוויווע. NGINX Service Mesh איז געשטיצט אויף פילע Kubernetes פּלאַטפאָרמס, אַרייַנגערעכנט Amazon Elastic Container Service for Kubernetes (EKS), Azure Kubernetes Service (AKS), Google Kubernetes Engine (GKE), VMware vSphere און רעגולער Kubernetes קלאַסטערז דיפּלויד אויף ייַזנוואַרג סערווערס;
• קיילע kubectl, אינסטאַלירן אויף די מאַשין פֿון וואָס NSM וועט זיין אינסטאַלירן;
• אַקסעס צו NGINX Service Mesh מעלדונג פּאַקאַדזשאַז. דער פּעקל כּולל NSM בילדער דארף פֿאַר ופּלאָאַדינג צו אַ פּריוואַט רעגיסטרי פֿאַר קאַנטיינערז בנימצא אין די Kubernetes קנויל. דער פּעקל אויך כּולל nginx-meshctl, דארף צו צעוויקלען NSM.

צו צעוויקלען NSM מיט פעליקייַט סעטטינגס, לויפן די פאלגענדע באַפֿעל. בעשאַס דיפּלוימאַנט, אַרטיקלען זענען געוויזן וואָס ינדיקייץ אַז די קאַמפּאָונאַנץ זענען אינסטאַלירן הצלחה, און לעסאָף אַ אָנזאָג וואָס ינדיקייץ אַז NSM איז פליסנדיק אין אַ באַזונדער נאַמעספּאַסע (איר דאַרפֿן איינער ערשטער). אָפּלאָדירן און שטעלן עס אין די רעגיסטרי, אַפּפּראָקס. איבערזעצער):

$ DOCKER_REGISTRY=your-Docker-registry ; MESH_VER=0.6.0 ; 
 ./nginx-meshctl deploy  
  --nginx-mesh-api-image "${DOCKER_REGISTRY}/nginx-mesh-api:${MESH_VER}" 
  --nginx-mesh-sidecar-image "${DOCKER_REGISTRY}/nginx-mesh-sidecar:${MESH_VER}" 
  --nginx-mesh-init-image "${DOCKER_REGISTRY}/nginx-mesh-init:${MESH_VER}" 
  --nginx-mesh-metrics-image "${DOCKER_REGISTRY}/nginx-mesh-metrics:${MESH_VER}"
Created namespace "nginx-mesh".
Created SpiffeID CRD.
Waiting for Spire pods to be running...done.
Deployed Spire.
Deployed NATS server.
Created traffic policy CRDs.
Deployed Mesh API.
Deployed Metrics API Server.
Deployed Prometheus Server nginx-mesh/prometheus-server.
Deployed Grafana nginx-mesh/grafana.
Deployed tracing server nginx-mesh/zipkin.
All resources created. Testing the connection to the Service Mesh API Server...

Connected to the NGINX Service Mesh API successfully.
NGINX Service Mesh is running.

פֿאַר מער אָפּציעס, אַרייַנגערעכנט אַוואַנסירטע סעטטינגס, לויפן דעם באַפֿעל:

$ nginx-meshctl deploy –h

קאָנטראָלירן אַז די קאָנטראָל פלאַך אַרבעט ריכטיק אין די נאָמען nginx-mesh, איר קענען טאָן דאָס:

$ kubectl get pods –n nginx-mesh
NAME                                 READY   STATUS    RESTARTS   AGE
grafana-6cc6958cd9-dccj6             1/1     Running   0          2d19h
mesh-api-6b95576c46-8npkb            1/1     Running   0          2d19h
nats-server-6d5c57f894-225qn         1/1     Running   0          2d19h
prometheus-server-65c95b788b-zkt95   1/1     Running   0          2d19h
smi-metrics-5986dfb8d5-q6gfj         1/1     Running   0          2d19h
spire-agent-5cf87                    1/1     Running   0          2d19h
spire-agent-rr2tt                    1/1     Running   0          2d19h
spire-agent-vwjbv                    1/1     Running   0          2d19h
spire-server-0                       2/2     Running   0          2d19h
zipkin-6f7cbf5467-ns6wc              1/1     Running   0          2d19h

דעפּענדינג אויף די דיפּלוימאַנט סעטטינגס וואָס שטעלן מאַנואַל אָדער אָטאַמאַטיק ינדזשעקשאַן פּאַלאַסיז, ​​NGINX סיידקאַרס פּראַקסיז וועט זיין מוסיף צו אַפּלאַקיישאַנז דורך פעליקייַט. צו דיסייבאַל אָטאַמאַטיק אַדינג, לייענען דאָ

פֿאַר בייַשפּיל, אויב מיר צעוויקלען די אַפּלאַקיישאַן שלאָף אין נאָמען פּלאַץ ניט ויסצאָלן, און דאַן טשעק די פּאָד - מיר וועלן זען צוויי פליסנדיק קאַנטיינערז, די אַפּלאַקיישאַן שלאָף און די פֿאַרבונדן סיידקאַר:

$ kubectl apply –f sleep.yaml
$ kubectl get pods –n default
NAME                     READY   STATUS    RESTARTS   AGE
sleep-674f75ff4d-gxjf2   2/2     Running   0          5h23m

מיר קענען אויך מאָניטאָר די אַפּלאַקיישאַן שלאָף אין די NGINX Plus טאַפליע, לויפן דעם באַפֿעל צו אַקסעס סיידקאַר פֿון דיין היגע מאַשין:

$ kubectl port-forward sleep-674f75ff4d-gxjf2 8080:8886

דעמאָלט מיר נאָר גיין אין דאָ אין דעם בלעטערער. איר קענט אויך פאַרבינדן צו Prometheus צו מאָניטאָר די אַפּלאַקיישאַן שלאָף.

איר קענט נוצן יחיד Kubernetes רעסורסן צו קאַנפיגיער פאַרקער פּאַלאַסיז, ​​אַזאַ ווי אַקסעס קאָנטראָל, קורס לימיטינג און קרייַז ברייקינג. דאַקיומענטיישאַן

סאָף

NGINX Service Mesh איז בארעכטיגט פֿאַר פריי אראפקאפיע ביי טויער פ5. פּרוּווט עס אין דיין דעוו און פּרובירן ינווייראַנמאַנץ און שרייב צו אונדז וועגן די רעזולטאַטן.

צו פּרובירן NGINX Plus Ingress Controller, אַקטאַווייט פריי פּראָצעס צייַט פֿאַר 30 טעג, אָדער свяжитесь с нами צו דיסקוטירן דיין נוצן קאַסעס.

איבערזעצונג דורך Pavel Demkovich, פירמע ינזשעניר Southbridge. סיסטעם אַדמיניסטראַציע פֿאַר RUB 15 פּער חודש. און ווי אַ באַזונדער אָפּטייל - אַ טריינינג צענטער סלורם, פיר און גאָרנישט אָבער פיר.

מקור: www.habr.com