Ambient Mesh

Istio数据面新模式

设计理念

将数据平面分层:4层用于基础处理,特点是低资源、高效率;7层用于高级流量处理,特点是功能丰富,但需要更多的资源。您可以根据所需功能的范围,以渐进增量的方式使用服务网格技术。
层级
主要功能
4层
• 流量管理:TCP路由 • 安全:面向4层的简单授权策略、双向TLS • 可观测:TCP监控指标及日志
7层
• 流量管理:HTTP路由、负载均衡、熔断、限流、故障容错、重试、超时等 • 安全:面向7层的精细化授权策略 • 可观测:HTTP监控指标、访问日志、链路追踪
数据面L4与L7代理的解耦模式下,一方面,将L4 Proxy能力下移到CNI组件中,L4 Proxy组件以DaemonSet的形式运行,分别运行在每个节点上。这意味着它是为一个节点上运行的所有Pod提供服务的共享基础组件。
另一方面,L7代理不再以Sidecar模式存在,而是解耦出来,称为Waypoint Proxy,它是为每一个Service Account创建的7层代理Pod。
notion image
4层和7层代理的配置仍然保持通过Service Mesh控制面组件来进行下发管理。通过这种解耦模式,实现了Service Mesh数据平面与应用程序之间的进一步解耦分离。
在Istio的具体实现中,可以分为以下3个部分:
  • Waypoint代理:
    • L7组件完全独立于应用程序运行,安全性更高。
    • 可以灵活选择为指定服务、工作负载指定不同的L7代理(Waypoint代理)。
    • 通过K8s Gateway CRD定义触发启用。
  • zTunnel:将L4处理下沉到CNI级别,来自工作负载的流量被重定向到zTunnel,然后zTunnel识别工作负载并选择正确的证书进行处理。
  • 与Sidecar模式兼容:Sidecar模式仍然是网格的一等公民,Waypoint代理可以与部署了Sidecar的工作负载进行本地通信。
notion image
不影响应用程序是使Ambient Mesh比传统的Sidecar模式具备更少侵入性的原因之一。与采用Sidecar模式时必须将Sidecar代理注入到每个应用程序部署中相比,Ambient模式下无需以任何方式重新部署或修改现有应用程序。通过不重新部署和直接修改应用程序,可以有效地降低落地风险并简化采用Mesh的落地曲线。
Ambient Mesh的设计是非侵入式的,并且仅对存在特定标记的命名空间并使现有应用程序成为Ambient Mesh的一部分,可以逐步采用。一旦应用程序成为Ambient Mesh的一部分,它立即获得mTLS和L4可观察性功能。

Ambient模式下的路由

在Ambient模式下,工作负载可以分为以下3类:
  • 未拦截:这是一个没有启用任何Mesh特性的标准Pod。
  • 已拦截:这是一个通过zTunnel拦截流量的Pod。您可以通过在命名空间上设置istio.io/dataplane-mode=ambient标签来捕获Pod。
  • Waypoint启用:这是一个已拦截且部署了Waypoint代理的Pod。默认情况下,Waypoint代理将应用于同一命名空间中的所有Pod。还可以通过在Gateway上设置istio.io/for-service-account注释,将其设置为仅适用于特定的服务账户。如果同时存在命名空间Waypoint代理和服务账户Waypoint代理,则服务账户Waypoint代理的优先级更高。

zTunnel路由

  • 出站
    • 当一个被拦截的Pod发起出站请求时,它将被透明地重定向到zTunnel,zTunnel将确定请求的转发位置和方式。一般情况下,流量路由的行为与Kubernetes默认的流量路由相同。对一个Service的请求将被发送到该Service内的一个端点,而直接对Pod IP的请求将直接发送到该IP。根据目标的能力,会发生不同的行为。如果目标也被拦截,或者具有Istio代理能力(例如注入了Sidecar代理或网关),请求将升级为加密的HBONE隧道。如果目标有一个Waypoint代理,除了升级为HBONE外,请求将被转发到该Waypoint代理。
      需要注意的是,在请求一个Service时,会选择一个特定的端点来确定是否有Waypoint代理。但是,如果有Waypoint代理,请求将被发送到Service的目标目的地,而不是选定的端点。这样可以使Waypoint代理将面向服务的策略应用于流量。在Service同时具有启用Waypoint和未启用Waypoint的端点的罕见情况下,一些请求将被发送到Waypoint,而对同一服务的其他请求则不会。
  • 入站
    • 当一个被拦截的Pod接收到入站请求时,它将被透明地重定向到zTunnel。当zTunnel接收到请求时,它将应用授权策略,并只有在请求符合策略时才转发请求。一个Pod可以接收HBONE流量或明文流量。默认情况下,zTunnel将接受这两种流量。因为在评估授权策略时,明文请求没有对等身份,您可以设置一个策略要求一个身份(任意身份或特定身份),以阻止所有明文流量。
      当目标启用了Waypoint代理时,所有请求必须经过Waypoint代理来执行策略。zTunnel将确保这一点,但存在一个特殊情况:良好行为的HBONE客户端(例如另一个zTunnel或Istio Sidecar代理)会知道将请求发送到waypoint,但其他客户端(例如网格之外的工作负载)可能对waypoint代理一无所知,直接发送请求。当发送这些直接调用时,zTunnel会将请求绕圈(hairpin)到它的waypoint,以确保策略得到正确执行。

Waypoint路由

Waypoint代理只接收HBONE请求。在接收到请求后,Waypoint代理将确保请求的目标是其管理的Pod或包含其管理的Pod的Service。
对于任何类型的请求,在转发之前,Waypoint代理将执行策略(例如授权策略、WASM插件、遥测等)。
对于直接请求到Pod的情况,策略应用后,请求将直接转发。
对于针对Service的请求,Waypoint代理还将应用路由和负载均衡。默认情况下,Service将简单地路由到自身,并在其端点间进行负载均衡。您可以通过为该Service设置路由来覆盖默认行为。

与Sidecar模式的差异点

  • 4层与7层处理的解耦,引入基于Rust的zTunnel作为基础的4层处理模块,适合做高性能、低利用率的网络代理能力。
  • Waypoint代理面向目标服务进行定义,仅需包含非常有限的动态集群、端点和路由相关的详细信息,而无需将所有潜在连接到其运行的Kubernetes集群中的任何服务的详细信息都包含内。这有效地消除了对Waypoint代理支持Sidecar资源的需求,也避免您手动配置Sidecar资源。

Ambient Sidecarless模式的优势

  • 网格代理与应用程序解耦,独立运行,当代理更新或重启时,不需要对应用程序进行重启。
  • 扩大了对应用程序的支持,包括支持Kubernetes Jobs等。
  • 消除了Sidecar模式下对应用程序的要求,包括服务器发送优先协议等。
  • 更好地逐步采用网格技术的接入,例如从安全覆盖层开始,使用加密身份的mTLS、简单的第4层授权策略和可观测功能。
  • 在没有任何L7处理的情况下,安全覆盖层显著地减少了CVE和其他补丁的攻击面和更新数据平面的频率。
  • 独立于工作负载扩展服务网格数据平面,从而降低基础设施的成本。
Loading...
目录
文章列表
王小扬博客
产品
Think
Git
软件开发
计算机网络
CI
DB
设计
缓存
Docker
Node
操作系统
Java
大前端
Nestjs
其他
PHP