Mode ACMG - - 阿里云

Mode Alibaba Centralized Mesh Gateway (ACMG) adalah solusi yang dirancang untuk arsitektur jaringan berskala besar guna meningkatkan skalabilitas, fleksibilitas, dan efisiensi manajemen. Topik ini menjelaskan arsitektur serta fitur dari mode ACMG.

Deskripsi fitur

Service Mesh (ASM) versi 1.22 ke atas mendukung mode ACMG. Mirip dengan mode Ambient Mesh, mode ACMG mendukung bidang data baik dengan atau tanpa sidecar. Fiturnya meliputi aspek-aspek berikut:

Manajemen trafik: routing dasar, load balancing, pemutusan sirkuit, throttling, toleransi kesalahan, retry, timeout, dan fitur lain terkait manajemen trafik.
Keamanan: kebijakan otorisasi pada Lapisan 4 dan Lapisan 7.
Observabilitas: pemantauan metrik, log akses, dan analisis jejak.

Berbeda dengan mode Ambient Mesh, mode ACMG menggunakan proxy terpusat untuk mengimplementasikan manajemen trafik timur-barat secara terpusat. Hal ini menyederhanakan operasi & pemeliharaan (O&M) serta mengurangi penggunaan sumber daya infrastruktur mesh.

Desain arsitektur

Dalam mode ACMG, proxy Lapisan 4 dipisahkan dari proxy Lapisan 7. Fitur utama ASM dalam mode ACMG serupa dengan mode Ambient Mesh. Bidang kontrol bertanggung jawab untuk mengonfigurasi proxy Lapisan 4 dan Lapisan 7, mengirimkan konfigurasi tersebut, serta menyediakan layanan CA. Perlu dicatat bahwa mode ACMG mendukung berbagi proxy Lapisan 7 di antara beberapa namespace dalam kluster yang sama, sehingga mengurangi biaya infrastruktur ASM. Selain itu, komponen Lapisan 7 dikelola oleh ASM dan beroperasi secara independen dari aplikasi. Hal ini menghindari intrusi ke dalam beban kerja layanan dan mempermudah O&M. Tabel berikut menjelaskan dua komponen tersebut.

Komponen	Fitur
zTunnel	Komponen bidang data yang berfungsi sebagai proxy identitas Lapisan 4 untuk beban kerja layanan dalam node bidang data.
Proxy Terpusat	Komponen bidang data yang berfungsi sebagai proxy terpusat Lapisan 7. Seluruh kluster berbagi satu proxy terpusat. ASM bertanggung jawab atas penyebaran dan penskalaan otomatis proxy terpusat.

Manfaat mode ACMG

Gambar di atas membandingkan arsitektur dari ketiga mode. Tabel berikut merangkum kelebihan dan kekurangan masing-masing mode.

Mode	Keuntungan	Kekurangan
Mode Sidecar	Anda dapat menggunakan kontainer sidecar untuk mengonfigurasi setiap instance layanan secara independen. Keamanan jaringan, keandalan, dan observabilitas antara panggilan layanan ditingkatkan. Manajemen trafik yang fleksibel, load balancing, dan fitur canggih seperti pemutus sirkuit dan pengaturan rute permintaan didukung.	Kontainer sidecar disuntikkan ke setiap pod. Oleh karena itu, kompleksitas penyebaran aplikasi meningkat, begitu juga dengan konsumsi sumber daya serta kompleksitas O&M dan manajemen.
Mode Ambient Mesh	Tanpa kontainer sidecar tambahan, proxy Lapisan 4 dan Lapisan 7 dapat berjalan secara independen. Ini menghilangkan kebutuhan untuk memodifikasi atau menerapkan ulang aplikasi yang ada dan membuat penyebaran serta manajemen menjadi lebih mudah. Anda dapat mengadopsi teknologi mesh secara bertahap. Misalnya, Anda dapat menggunakan jaringan komunikasi terenkripsi pada Lapisan 4 pada tahap awal dan secara bertahap menambahkan fitur untuk menyesuaikan dengan kebijakan migrasi yang berbeda.	Dalam beberapa skenario, mode Ambient Mesh tidak mendukung konfigurasi spesifik klien atau aturan tujuan. Konfigurasi proxy waypoint harus ditentukan secara eksplisit berdasarkan layanan atau namespace, yang juga menimbulkan biaya O&M tertentu.

Mirip dengan mode Ambient Mesh, mode ACMG mendukung kemampuan berikut:

Pemisahan layanan dari jaringan: memungkinkan peningkatan dan O&M jaringan secara independen.
Transmisi jaringan yang aman: ztunnel tingkat node digunakan untuk memenuhi persyaratan arsitektur jaringan percaya nol.

Berbeda dengan mode Ambient Mesh, mode ACMG memiliki keunggulan berikut:

Penghematan sumber daya pengguna: berbagi proxy Lapisan 7 di antara beberapa namespace didukung untuk mengurangi konsumsi sumber daya.
Mengurangi beban kerja O&M: Anda tidak perlu khawatir tentang pembuatan layanan proxy dan penskalaan proxy Lapisan 7. Penskalaan otomatis didukung.
Dukungan untuk penskalaan otomatis proxy terpusat: Sebuah proxy terpusat dibagikan di antara beberapa namespace untuk memproses trafik dalam kluster yang sama. Penskalaan otomatis memastikan operasi normal proxy Lapisan 7.

Dibandingkan dengan mode sidecar dan mode Ambient Mesh, proxy terpusat Lapisan 7 dalam mode ACMG memiliki cakupan area yang lebih luas dan dapat digunakan bersama oleh semua layanan dalam kluster.

Routing dalam mode ACMG

Dalam mode ACMG, beban kerja dapat diklasifikasikan menjadi dua jenis berikut:

Tidak tertangkap: sebuah pod standar di mana tidak ada fitur mesh yang diaktifkan.
Tertangkap: sebuah pod di mana trafik diintersepsi oleh ztunnel. Trafik pod dapat ditangkap dengan menambahkan label istio.io/dataplane-mode=acmg ke namespace. Selain itu, trafik yang ditangkap diproses oleh proxy terpusat.

Routing Ztunnel

Routing Ztunnel dalam mode ACMG sama dengan mode Ambient Mesh. Untuk informasi lebih lanjut, lihat Routing Ztunnel.

Routing proxy terpusat

Jika mode ACMG tidak diaktifkan untuk namespace tempat server berada menggunakan label namespace, trafik tidak akan dirutekan oleh proxy terpusat, terlepas dari apakah mode ACMG diaktifkan untuk klien.

Jika mode ACMG diaktifkan untuk namespace tempat server berada menggunakan label namespace, ztunnel yang sesuai hanya akan mengintersepsi trafik dari klien ketika mode ACMG diaktifkan untuk namespace tempat klien berada. Kemudian, trafik dirutekan ke proxy terpusat, yang kemudian mengirimkan trafik ke pod tertentu dari server berdasarkan keputusan routing.

Singkatnya, trafik melewati proxy terpusat dan kebijakan manajemen trafik Lapisan 7 yang dibuat berlaku hanya ketika mode ACMG diaktifkan baik untuk klien maupun server.