すべてのプロダクト
Search

このプロダクト

    :ACMG モード

    ドキュメントセンター

    :ACMG モード

    最終更新日:Jan 13, 2025

    Alibaba Centralized Mesh Gateway(ACMG)モードは、ネットワークのスケーラビリティ、柔軟性、および管理効率を向上させるために、大規模ネットワークアーキテクチャ向けに設計されたソリューションです。このトピックでは、ACMG モードのアーキテクチャと機能について説明します。

    機能の説明

    Service Mesh (ASM) インスタンス V1.22 以後では、ACMG モードがサポートされています。アンビエントメッシュモードと同様に、ACMG モードはサイドカーあり、またはサイドカーなしのデータプレーンをサポートします。その機能は、以下の側面をカバーしています。

    • トラフィック管理:基本的なトラフィックルーティング、負荷分散、サーキットブレーキング、スロットリング、フォールトトレランス、再試行、タイムアウト、およびトラフィック管理に関連するその他の機能。

    • セキュリティ:レイヤー 4 およびレイヤー 7 での承認ポリシー。

    • 可観測性:メトリック監視、アクセスログ、およびトレース分析。

    アンビエントメッシュモードとは異なり、ACMG モードはセントラルプロキシをサポートして、East-West トラフィックの一元管理を実装します。これにより、O&M がさらに簡素化され、メッシュインフラストラクチャのリソース使用量が削減されます。

    アーキテクチャ設計

    ACMG モードでは、レイヤー 4 プロキシはレイヤー 7 プロキシから分離されています。ACMG モードでの ASM の主な機能は、アンビエントメッシュモードと同じです。コントロールプレーンは、レイヤー 4 およびレイヤー 7 プロキシの設定、設定の配信、および CA サービスの提供を担当します。ACMG モードでは、同じクラスター内の複数の名前空間間でレイヤー 7 プロキシの共有がサポートされているため、ASM インフラストラクチャのコストが削減されることに注意してください。さらに、レイヤー 7 コンポーネントは ASM によって管理され、アプリケーションとは独立して実行されます。これにより、サービスワークロードへの侵入が回避され、O&M が容易になります。次の表は、2 つのコンポーネントについて説明しています。

    コンポーネント

    機能

    zTunnel

    データプレーンノード内のサービスワークロードのレイヤー 4 ID プロキシとして機能するデータプレーンコンポーネント。

    セントラルプロキシ

    一元化されたレイヤー 7 プロキシとして機能するデータプレーンコンポーネント。クラスター全体で 1 つのセントラルプロキシを共有します。ASM は、セントラルプロキシのデプロイと自動スケーリングを担当します。

    image

    ACMG モードの利点

    image

    前の図は、3 つのモードのアーキテクチャを比較しています。次の表は、これらのモードの長所と短所をまとめたものです。

    モード

    長所

    短所

    サイドカーモード

    • サイドカーコンテナーを使用して、各サービスインスタンスを個別に設定できます。

    • サービスコール間のネットワークセキュリティ、信頼性、および可観測性が向上します。

    • 柔軟なトラフィック管理、負荷分散、およびサーキットブレーカーやリクエストルーティングなどの高度な機能がサポートされています。

    サイドカーコンテナーは各ポッドに挿入されます。したがって、アプリケーションのデプロイの複雑さが増し、リソース消費量と O&M および管理の複雑さも増します。

    アンビエントメッシュモード

    • 追加のサイドカーコンテナーなしで、レイヤー 4 およびレイヤー 7 プロキシを独立して実行できます。これにより、既存のアプリケーションを変更または再デプロイする必要がなくなり、デプロイと管理が容易になります。

    • メッシュテクノロジーを段階的に採用できます。たとえば、初期段階ではレイヤー 4 で暗号化通信ネットワークを使用し、徐々に機能を追加してさまざまな移行ポリシーに適応させることができます。

    • 一部のシナリオでは、アンビエントメッシュモードはクライアント固有の設定または宛先ルールをサポートしていません。

    • Waypoint プロキシ設定は、サービスまたは名前空間によって明示的に指定する必要があり、これも一定の O&M コストが発生します。

    アンビエントメッシュモードと同様に、ACMG モードは次の機能をサポートしています。

    • サービスとネットワークの分離:ネットワークの独立したアップグレードと O&M が可能です。

    • 安全なネットワーク伝送:ノードレベルの ztunnel を使用して、ゼロトラストネットワークのアーキテクチャ要件を満たします。

    アンビエントメッシュモードとは異なり、ACMG モードには次の利点があります。

    • ユーザーリソースの節約:複数の名前空間間でのレイヤー 7 プロキシの共有がサポートされているため、リソース消費量が削減されます。

    • O&M ワークロードの削減:プロキシサービスの作成とレイヤー 7 プロキシのスケーリングを気にする必要はありません。自動スケーリングがサポートされています。

    • セントラルプロキシの自動スケーリングのサポート:セントラルプロキシは複数の名前空間で共有され、同じクラスター内のトラフィックを処理します。自動スケーリングにより、レイヤー 7 プロキシの通常の動作が保証されます。

    サイドカーモードとアンビエントメッシュモードと比較して、ACMG モードのレイヤー 7 セントラルプロキシは、より広いカバレッジエリアを持ち、クラスター内のすべてのサービスで共有できます。

    ACMG モードでのルーティング

    ACMG モードでは、ワークロードは次の 2 つのタイプに分類できます。

    • キャプチャされていない:メッシュ機能が有効になっていない標準ポッド。

    • キャプチャされた:トラフィックが ztunnel によってインターセプトされるポッド。 istio.io/dataplane-mode=acmg ラベルを名前空間に追加することで、ポッドのトラフィックをキャプチャできます。さらに、キャプチャされたトラフィックはセントラルプロキシによって処理されます。

    Ztunnel ルーティング

    ACMG モードの Ztunnel ルーティングは、アンビエントメッシュモードと同じです。詳細については、「Ztunnel ルーティング」をご参照ください。

    セントラルプロキシのルーティング

    名前空間ラベルを使用してサーバーが配置されている名前空間に対して ACMG モードが有効になっていない場合、クライアントに対して ACMG モードが有効になっているかどうかに関係なく、トラフィックはセントラルプロキシによってルーティングされません。

    名前空間ラベルを使用してサーバーが配置されている名前空間に対して ACMG モードが有効になっている場合、クライアントが配置されている名前空間に対して ACMG モードが有効になっている場合にのみ、対応する ztunnel はクライアントからのトラフィックをインターセプトします。次に、トラフィックはセントラルプロキシにルーティングされ、セントラルプロキシはルーティングの決定に基づいてトラフィックをサーバーの特定のポッドに送信します。

    要約すると、トラフィックはセントラルプロキシを通過し、作成されたレイヤー 7 トラフィック管理ポリシーは、クライアントとサーバーの両方で ACMG モードが有効になっている場合にのみ有効になります。