クラウドネイティブゲートウェイは、Microservices Engine (MSE) が提供するフルマネージド型の API ゲートウェイです。トラフィックゲートウェイ (Kubernetes Ingress、NGINX) とマイクロサービスゲートウェイ (Spring Cloud Gateway、Zuul) を単一のゲートウェイに統合し、リソースコストを 50% 削減し、運用を簡素化します。
Envoy プロキシをベースに構築され、Kubernetes Ingress 標準と互換性のあるクラウドネイティブゲートウェイは、個別のゲートウェイレイヤーを管理することなく、マイクロサービスアーキテクチャのトラフィックルーティング、認証、可観測性、高可用性を処理します。
仕組み
クラウドネイティブゲートウェイは、外部クライアントとバックエンドサービスの間に位置し、すべてのインバウンドトラフィックの単一のエントリポイントとして機能します。これにより、個別のトラフィックゲートウェイとマイクロサービスゲートウェイを並行して実行・維持する必要がなくなります。
トラフィックは、次のようにクラウドネイティブゲートウェイを通過します。
クライアントリクエストがゲートウェイに到着します。
ゲートウェイはルーティングルールを評価し、認証ポリシーを適用し、スロットリングやサーキットブレーカーなどのトラフィック制御を実施します。
ゲートウェイは、接続されたサービスレジストリを通じて自動的に検出された適切なバックエンドサービスにリクエストをルーティングします。
レスポンスのメトリック、ログ、トレースが、統合された可観測性システムに出力されます。
クラウドネイティブゲートウェイは、複数のソースからバックエンドサービスを検出します。
Container Service for Kubernetes (ACK) クラスター
Nacos インスタンス
ZooKeeper インスタンス
その他の Kubernetes クラスター
利用シーン
ゲートウェイレイヤーの統合:個別の Kubernetes Ingress ゲートウェイとマイクロサービスゲートウェイを単一のマネージドゲートウェイに置き換えることで、インフラコストと運用オーバーヘッドを削減します。
API アクセス制御の一元化:各サービスで制御を実装する代わりに、すべての外部向け API の認証、権限付与、レート制限を 1 か所で管理します。
安全な変更のロールアウト:カナリアリリースとトラフィックのタグ付けを使用して、トラフィックの一部を新しいバージョンにルーティングし、動作を検証し、安定したらすべてのトラフィックを徐々に移行します。
トラフィックスパイクからのサービスの保護:ゲートウェイレベルでスロットリング、サーキットブレーカー、デグレードポリシーを適用し、予期せぬ負荷がかかった場合でもバックエンドサービスを安定させます。
サービスエンドポイントの保護:TLS を終端させ、IP アドレスのホワイトリストとブラックリストを適用し、DDoS 対策を有効にし、Web Application Firewall (WAF) と連携して、悪意のあるトラフィックがアプリケーションに到達する前にブロックします。
リージョンをまたいだデプロイ:グローバルなサービスデプロイと管理のために、リージョンをまたいでトラフィックをスケジューリングします。
特徴
トラフィックガバナンス
以下の機能でマイクロサービス間のトラフィックをルーティングおよび制御します。
複数のレジストリ (ACK、Nacos、ZooKeeper) からのサービスディスカバリ
柔軟なルールベースのトラフィック分散によるサービスルーティング
ヘッダー、パラメーター、またはその他の属性に基づいてリクエストにラベルを付けて転送するトラフィックのタグ付け
サービスを過負荷から保護するためのスロットリングとサーキットブレーカー
劣化:障害を穏やかに処理し、連鎖的な障害を防ぐ
リクエストのデッドラインを詳細に制御するためのタイムアウト設定
グレースフルシャットダウンを伴う Dubbo 3.0 プロトコルのサポート
セキュリティ
ゲートウェイレイヤーでトラフィックを認証および保護します。
JSON Web トークン (JWT) 認証
シングルサインオン (SSO) ワークフローのための OAuth 2.0 に基づく OpenID Connect (OIDC) 認証
エンタープライズ ID 管理のための Alibaba Cloud IDaaS 認証
統合された証明書管理を備えた HTTPS 証明書
ソース IP によってアクセスを制限するための IP アドレスのホワイトリストとブラックリスト
DDoS 対策とトラフィックスクラビング
アプリケーションレイヤーの脅威保護のための WAF 連携
可観測性
組み込みのダッシュボードと診断機能でゲートウェイとサービスの正常性をモニタリングします。
リアルタイムのトラフィックとエラー率を可視化するグローバルダッシュボード
パフォーマンスとリスクメトリックによるゲートウェイモニタリング
外部ログシステムへのログ取得とログ配布
高トラフィックまたはエラーが発生しやすいサービスを特定するための Top N サービスリスト
サービス間のエンドツーエンドのリクエストトレースのためのトレース分析
異常をオンコールチームに通知するためのアラート管理
高可用性と
クラウドネイティブゲートウェイは、Alibaba Group の規模で実証済みであり、2020 年の「独身の日」には毎秒数十万のリクエストを処理しました。Alipay、DingTalk、Taobao、Tmall、Youku、Fliggy、Koubei などの本番サービスを支えています。
組み込みの信頼性機能には以下が含まれます。
サービス品質が低下する前に過剰なトラフィックを拒否する過負荷保護
デプロイ中に処理中のリクエストをドロップしないためのグレースフルな起動とシャットダウン
ゾーンレベルの障害に対する回復力のためのマルチゾーンディザスタリカバリ
リアルタイムのトラフィックに合わせてゲートウェイの容量を調整するオートスケーリング
コンポーネントの障害から自動的に回復する自己修復
保証されるサービスレベルアグリーメント (SLA) は最大 99.95% です。
制限事項
TLS ハードウェアアクセラレーション
基盤となるハードウェアの制約により、Transport Layer Security (TLS) ハードウェアアクセラレーションは以下のリージョンでのみ利用可能です。
中国 (杭州)
中国 (上海)
中国 (北京)
中国 (深セン)
香港 (中国)
シンガポール
ドイツ (フランクフルト)
WAF 3.0 連携
クラウドネイティブゲートウェイは、従来の CNAME ベースの接続を通じて WAF 2.0 をサポートします。ネイティブな WAF 連携には WAF 3.0 が必要であり、以下のリージョンでのみ利用可能です。
中国 (杭州)
中国 (上海)
中国 (北京)
中国 (張家口)
中国 (ウランチャブ)
中国 (深セン)
香港 (中国)
日本 (東京)
シンガポール
マレーシア (クアラルンプール)
ドイツ (フランクフルト)
米国 (シリコンバレー)
プラグインマーケットプレイス
プラグインマーケットプレイスは、MSE が有効化されているすべてのリージョンで利用可能です。詳細については、「サポートリージョン」をご参照ください。
カスタムプラグインのアップロードの最大サイズは 50 MB です。
クイックスタート
最初のクラウドネイティブゲートウェイをセットアップし、ACK クラスター内のサービスにトラフィックをルーティングするには、「クラウドネイティブゲートウェイを使用して ACK クラスター内のアプリケーションにアクセスする」をご参照ください。