Kluster Kubernetes memerlukan gerbang masuk (ingress gateway) untuk mengarahkan lalu lintas eksternal ke layanan backend, tetapi pemilihan gerbang yang salah dapat menyebabkan bottleneck kinerja, beban operasional, atau celah keamanan. Di kluster Container Service for Kubernetes (ACK) yang dikelola, kluster ACK Serverless, dan kluster Container Compute Service (ACS), Anda dapat menggunakan gerbang masuk NGINX Ingress atau gerbang masuk Microservices Engine (MSE) Ingress. Perbandingan ini mencakup arsitektur, kinerja, perutean, keamanan, observabilitas, dan dimensi lainnya untuk membantu Anda memilih gerbang yang tepat.
Panduan keputusan cepat
Pilih NGINX Ingress jika:
Volume lalu lintas Anda rendah dan kebutuhan keamanan, skalabilitas, serta stabilitas Anda juga rendah.
Anda memerlukan gerbang yang sangat dapat dikustomisasi dan dikelola sendiri.
Pilih MSE Ingress jika:
Volume lalu lintas Anda tinggi dan Anda memerlukan jaminan keamanan, skalabilitas, serta stabilitas yang kuat.
Anda menginginkan operasi yang sepenuhnya dikelola tanpa overhead pemeliharaan gerbang.
Anda memerlukan berbagai metode penemuan layanan (Kubernetes, Nacos, Eureka, DNS, alamat IP tetap).
Anda memerlukan perlindungan Web Application Firewall (WAF) terintegrasi dan otentikasi lanjutan (JWT, OIDC, IDaaS, otentikasi kustom).
Anda memerlukan observabilitas end-to-end dengan log akses, pelacakan terdistribusi, metrik, dan alert.
Arsitektur
| Aspek | NGINX Ingress | MSE Ingress |
|---|---|---|
| Engine | NGINX dengan plug-in Lua | Istiod + Envoy |
| Tenancy | Komponen yang dikelola sendiri | Instans spesifikasi khusus per pengguna |
| Resource Management | Konfigurasi jumlah replika dan batas resource secara manual | Sepenuhnya dikelola |
| Penerusan traffic | -- | Terhubung langsung ke alamat IP Pod untuk penerusan permintaan |
Kinerja
| Metrik | NGINX Ingress | MSE Ingress |
|---|---|---|
| Optimalisasi | Memerlukan tuning manual | Dioptimalkan di level OS dengan peningkatan internal |
| Akselerasi HTTPS | Tidak tersedia | Peningkatan kinerja HTTPS ~80% dengan akselerasi perangkat keras |
| Throughput dibanding NGINX open source | Baseline | ~40% lebih tinggi berdasarkan optimalisasi OS dan internal |
| TPS pada utilisasi CPU 30%–40% | Baseline | ~90% lebih tinggi dibanding NGINX Ingress open source |
| Dampak plug-in | Penggunaan skrip Lua yang intensif secara signifikan menurunkan kinerja | -- |
Perutean dan load balancing
| Kemampuan | NGINX Ingress | MSE Ingress |
|---|---|---|
| Perutean berbasis konten | Ya | Ya |
| Penulisan ulang Header HTTP | Ya | Ya |
| Pengalihan dan penulisan ulang URL | Ya | Ya |
| Throttling | Ya | Ya |
| Cross-origin resource sharing (CORS) | -- | Ya |
| Timeout dan retry | -- | Ya |
| Algoritma load balancing | -- | Round-robin, random, least-requests, consistent hashing |
| Pemanasan Trafik (Pra-ambil) | Tidak | Ya. Traffic ke Pod backend baru meningkat secara bertahap dalam rentang waktu yang dapat dikonfigurasi. |
Pembaruan konfigurasi
| Perilaku | NGINX Ingress | MSE Ingress |
|---|---|---|
| Perubahan konfigurasi | Pembaruan rolling melalui plug-in Lua (kecuali sertifikat) | Didukung pembaruan rolling |
| Pembaruan sertifikat | Memerlukan reload, yang mengganggu koneksi persisten | Didukung pembaruan rolling |
| Pembaruan plug-in | Memerlukan reload | Pembaruan rolling untuk plug-in WebAssembly |
| Mekanisme pembaruan | Berdasarkan reload | List-Watch untuk propagasi konfigurasi hampir real-time |
Penemuan layanan dan tata kelola
| Kemampuan | NGINX Ingress | MSE Ingress |
|---|---|---|
| Penemuan layanan | Hanya Kubernetes | Kubernetes, Nacos, Eureka, DNS, alamat IP tetap |
| Rilis canary | Ya | Ya |
| Perutean berbasis tag | Tidak | Ya |
| Distribusi traffic berdasarkan persentase | Tidak | Ya (rilis canary, uji A/B, penyebaran biru-hijau) |
| Throttling | Ya | Ya |
| Circuit breaking dan degradasi | Tidak | Ya, terintegrasi dengan Application High Availability Service (AHAS) |
| Service mocking | Tidak | Ya |
Keamanan
| Kemampuan | NGINX Ingress | MSE Ingress |
|---|---|---|
| HTTPS | Ya | Ya, terintegrasi dengan Certificate Management Service |
| Perlindungan WAF | Tidak | Ya, terintegrasi dengan Alibaba Cloud WAF |
| Kontrol akses berbasis IP (daftar hitam dan daftar putih) | Ya | Ya |
Otentikasi
| Metode | NGINX Ingress | MSE Ingress |
|---|---|---|
| BasicAuth | Ya | Ya |
| OAuth | Ya | Ya |
| JWT | Tidak | Ya |
| OIDC | Tidak | Ya |
| IDaaS | Tidak | Ya |
| Otentikasi kustom | Tidak | Ya |
Operasi dan pemeliharaan
| Aspek | NGINX Ingress | MSE Ingress |
|---|---|---|
| Model manajemen | Dikelola sendiri | Sepenuhnya dikelola |
| Scaling | Horizontal Pod Autoscaler (HPA) | HPA (dalam pengembangan) |
| Penyetelan spesifikasi | Memerlukan konfigurasi manual | -- |
Protokol dan konversi
| Kemampuan | NGINX Ingress | MSE Ingress |
|---|---|---|
| HTTP | Ya | Ya |
| HTTPS | Ya | Ya |
| Konversi HTTP ke Dubbo | Tidak | Ya |
| Konversi HTTPS ke Dubbo | Tidak | Ya |
Ingress dan integrasi cloud-native
| Kemampuan | NGINX Ingress | MSE Ingress |
|---|---|---|
| Resource Kubernetes Ingress | Ya | Ya |
| Konversi anotasi NGINX Ingress | N/A | Didukung konversi otomatis. Untuk detailnya, lihat Anotasi yang didukung oleh gerbang masuk MSE Ingress. |
| Jenis kluster yang didukung | Kluster ACK yang dikelola, kluster ACK Serverless, kluster ACS | Kluster ACK yang dikelola, kluster ACK Serverless, kluster ACS |
Ekstensibilitas
| Pendekatan | NGINX Ingress | MSE Ingress |
|---|---|---|
| Bahasa plug-in | Lua | WebAssembly (mendukung berbagai bahasa pemrograman) |
| Plug-in Lua | Ya | Dalam pengembangan |
Observabilitas
| Kemampuan | NGINX Ingress | MSE Ingress |
|---|---|---|
| Log akses | Ya | Ya, terintegrasi dengan Simple Log Service (SLS) dan Application Real-Time Monitoring Service (ARMS) |
| Metrik dan alert | Prometheus | Terintegrasi dengan ARMS dan Managed Service for Prometheus |
| Pelacakan terdistribusi | Tidak | Ya, terintegrasi dengan Managed Service for OpenTelemetry |
Ekosistem
| Integrasi | NGINX Ingress | MSE Ingress |
|---|---|---|
| Service mesh | Nginx Service Mesh | Service mesh Istio (standar de facto) |
Kasus penggunaan khas
Gerbang masuk NGINX Ingress dibangun di atas NGINX open source dan berfungsi sebagai gerbang Ingress Kubernetes default. Gerbang ini paling cocok untuk:
Beban kerja yang memerlukan konfigurasi gerbang yang sangat dikustomisasi.
Lingkungan dengan volume lalu lintas rendah di mana operasi yang dikelola sendiri dapat diterima.
Tim yang memiliki keahlian NGINX yang sudah ada dan menginginkan kendali langsung atas gerbang tersebut.
Aplikasi cloud-native yang menggunakan rilis canary atau penyebaran biru-hijau.
Gerbang masuk MSE Ingress dibangun di atas gateway cloud-native dari MSE dan menggabungkan kemampuan gateway traffic, gateway layanan mikro, dan gateway keamanan ke dalam satu platform terkelola. Gerbang ini paling cocok untuk:
Lingkungan produksi dengan lalu lintas tinggi yang memerlukan keamanan, skalabilitas, dan stabilitas yang kuat.
Arsitektur yang menggunakan berbagai metode penemuan layanan atau memerlukan konversi protokol (HTTP/HTTPS ke Dubbo).
Skenario lalu lintas north-south dengan penemuan layanan backend melalui Nacos, Kubernetes, DNS, atau alamat IP tetap.
Skenario lalu lintas east-west yang memerlukan interoperabilitas cloud hibrida, multi-pusat data, atau multi-domain layanan dengan integrasi service mesh yang mulus.