本文介紹服務網格所涉及的基本概念,以便于您更好地理解和使用ASM。
基本概念總覽
分類 | 名稱 | |
通用概念 | Istio、托管服務網格(Managed Service Mesh)、控制平面(Control Plane)、數據平面(Data Plane)、命名空間(Namespace) | |
計費相關 | ||
網格相關 | 集群與工作負載 | |
數據面組件管理 | ||
ASM網關 | ||
流量 | 虛擬服務(Virtual Service)、目標規則(Destination Rule)、限流、熔斷、灰度發布、藍綠發布 | |
可觀測 | ||
安全 | ||
Istio
Istio是一個開源的服務網格,提供連接、保護、控制以及觀測功能,通過提供完整的非侵入式的微服務治理解決方案,可以解決云原生服務的管理、網絡連接以及安全管理等服務網絡治理問題。
托管服務網格(Managed Service Mesh)
由服務網格ASM創建并托管Istio的控制平面,具備簡單、低成本、高可用、無需運維管理Istio控制平面的特點。更多信息,請參見什么是服務網格ASM?。
控制平面(Control Plane)
從架構設計上看,服務網格ASM邏輯上分為控制平面和數據平面兩部分。控制平面負責管理和配置代理,從而實現路由流量。更多信息,請參見什么是服務網格ASM?。
數據平面(Data Plane)
數據平面由一組以Sidecar方式部署的智能代理(Envoy)組成,負責調節和控制微服務以及控制平面之間所有的網絡通信。更多信息,請參見什么是服務網格ASM?。
命名空間(Namespace)
命名空間為Kubernetes集群提供虛擬的隔離作用。Kubernetes集群初始有3個命名空間,分別是默認命名空間default、系統命名空間kube-system和kube-public。管理員可以按需創建新的命名空間。
通過服務網格ASM控制臺或者使用ASM KubeConfig定義的命名空間隸屬于ASM實例本身,與該ASM管理的數據平面集群是獨立的,因此ASM托管的控制平面的命名空間可以與數據平面集群的命名空間存在不同的情況。即在服務網格ASM控制臺新增或者刪除命名空間,并不會影響數據平面Kubernetes集群的命名空間。更多信息,請參見管理全局命名空間。
按量付費(pay-as-you-go)
按量付費是一種先使用后付費的計費方式。您只需為實際使用的資源付費,不需要提前購買資源。更多信息,請參見計費說明。
資源包(Resource Plan)
資源包是一種預付費的計費方式,與按量付費相比,您可以使用更優惠的價格享受等量資源,從而減少成本。更多信息,請參見計費說明。
服務條目(Service Entry)
作為ASM自定義資源之一,服務條目用于將一個服務添加到ASM抽象模型或服務注冊表中。這些注冊的服務是由ASM內部維護。添加服務條目后,Envoy代理可以將流量發送到該服務,如同這個添加的服務條目是網格中的其他服務一樣。更多信息,請參見管理集群外服務。
Sidecar代理
默認情況下,ASM支持每個Envoy代理都可以訪問來自和它關聯的工作負載的所有端口的請求,然后將請求轉發到對應的工作負載。Sidecar代理可以修改Envoy代理支持的端口和協議集、限制Envoy代理可以訪問的服務集合。
ASM默認提供一個Webhook控制器(即Sidecar注入器),可以在集群中的Pod創建時,將Sidecar代理自動添加到可用的Pod中。您可以對Sidecar注入器使用的Sidecar注入策略以及Sidecar注入器本身的資源、副本數等屬性進行配置。更多信息,請參見Sidecar管理。
入口網關(Ingress Gateway)
入口網關并不是指ASM自定義資源,而是指Kubernetes服務。它是真實的入口網關服務的抽象,由對應的容器來提供支持。通過ASM創建一個入口網關時,會部署一個Kubernetes服務和Deployment資源到用戶集群中。更多信息,請參見入口網關。
出口網關(Egress Gateway)
出口網關為網格內應用提供統一的流量出口。更多信息,請參見出口網關。
網關規則(Gateway)
作為ASM自定義資源之一,網關規則定義了在網格出入口操作的負載均衡器,用于接收傳入或傳出的HTTP/TCP連接。它描述了需要公開的一組端口、要使用的協議類型、負載均衡器的SNI配置等信息。更多信息,請參見管理網關規則。
虛擬服務(Virtual Service)
作為ASM自定義資源之一,虛擬服務定義了一系列針對指定服務的流量路由規則。每個路由規則都針對特定協議定義流量匹配規則。如果流量符合這些特征,就會根據規則發送到服務注冊表中的目標服務(或者目標服務的子集或版本)。更多信息,請參見管理虛擬服務。
目標規則(Destination Rule)
作為ASM自定義資源之一,目標規則定義了在路由發生后應用于服務的流量策略。這些規則指定負載均衡的配置、來自Sidecar代理的連接池大小以及異常檢測設置,從而實現從負載均衡池中檢測和驅逐不健康的主機。更多信息,請參見管理目標規則。
限流
限流可以保護目標服務,避免對服務的過載訪問。ASM提供了本地限流功能,支持對網關和服務進行流量限制。更多信息,請參見使用ASM本地限流功能。
熔斷
熔斷可以使應用程序具備應對來自故障、潛在峰值和其他未知網絡因素影響的能力,避免網絡和服務調用故障級聯發生,系統整體性能下降或者崩潰。ASM支持在流量策略中配置熔斷功能,在網絡訪問超出熔斷配置時能夠拒絕請求。更多信息,請參見使用ASM路由級熔斷功能。
灰度發布
灰度發布又名金絲雀發布,指在原有部署版本可用的情況下,同時部署新版本應用作為金絲雀,測試新版本的性能。在保證整體系統穩定的情況下,幫助您盡早發現問題和修復問題。更多信息,請參見基于ASM完成藍綠和灰度發布、通過TrafficLabel實現全鏈路灰度發布和在Knative on ASM中基于流量灰度發布服務。
藍綠發布
藍綠發布提供了一種零宕機的部署方式。在老版本運行的基礎上,部署新版本進行測試。確認新版本運行正常后,將流量切到新版本,然后同時將老版本升級到新版本。始終有兩個版本同時在線,有問題可以快速切換,可以減少發布過程中服務停止的時間。更多信息,請參見基于ASM完成藍綠和灰度發布和集成云效實現藍綠發布。
網格拓撲
網格拓撲是一個服務網格可觀測性工具,提供了查看服務行為的可視化界面。更多信息,請參見網格拓撲。
SLO
SLO(Service Level Objectives)是指服務等級的目標值或范圍值,由一個或多個服務等級指標SLI組成。SLO提供了一種形式化的方式來描述、衡量和監控微服務應用程序的性能、質量和可靠性。SLO為應用開發和平臺團隊、運維團隊提供了一個共享的質量基準,可作為衡量服務水平質量以及持續改進的參考。使用SLI組合定義的SLO能夠幫助團隊以更精確的方式描述服務健康狀況。更多信息,請參見SLO管理。
OIDC
OIDC(OpenID Connect)是一種身份認證與授權的協議,通常用于實現單點登錄(SSO)。更多信息,請參見在ASM網關中配置OIDC單點登錄和在ASM安全策略中配置OIDC單點登錄。
JWT
JWT(JSON Web Token)是為了在網絡應用環境間傳遞聲明而執行的一種基于JSON的開放標準RFC7519。JWT一般可以用作獨立的身份驗證令牌,可以包含用戶標識、用戶角色和權限等信息,以便于從資源服務器獲取資源,也可以增加一些額外的其它業務邏輯所必須的聲明信息,特別適用于分布式站點的登錄場景。更多信息,請參見RFC7519、在ASM中對服務進行JWT請求鑒權和在ASM中對入口網關進行JWT請求鑒權。