今年的KubeCon China是首次在香港举办的盛会,持续了三天。作为会议的参与者及一个论坛的主持人,我在这篇文章中将分享会议的精彩内容和对服务网格及网关技术的深入讨论。
本次 KubeCon 新增了 AI 与开发者主题,以下是部分重点内容:
云原生技术在行业中的实际应用:特别是电动汽车和网络安全领域,如 Huawei 和 NIO 的共同探讨云原生技术如何加速电动汽车创新。
Kubernetes 社区的力量:详细讨论了中国 Kubernetes 社区的影响力及其在推动区域云原生活动中的角色。
开源技术与人工智能的融合:探讨了中国及香港在开源与 AI 技术领域的先进地位及对区域技术创新的推动。
服务网格与 API 网关的最新进展:包括服务网格的最新技术更新及其与 Kubernetes 调度器的协同工作提高系统吞吐量的策略。
供应链安全的新策略:关注保障供应链安全的最新动态,特别是 SLSA 合规性的实践指南。
多集群管理与边缘计算:探讨了在不同架构下进行有效管理与创新的策略。
AI 大模型的推理性能优化:讨论了无服务器架构下的 AI 大模型推理性能优化及相关技术进展。
我与来自 Tetrate、阿里云和 Kong Inc.的行业领袖共同参与的圆桌讨论,深入探讨了 Istio 和 API 网关的最新进展及其融合带来的革新。
Istio 的革新:介绍了 Istio 1.123 版本中的 Ambient 模式优化,此模式作为新的架构选择,减少资源消耗同时提升性能。
Ambient 模式与 Sidecar 模式的实用对比:
Ambient 模式的发展挑战:尽管有诸多优势,Ambient 模式在复杂流量管理与多租户环境中仍面临挑战。
服务网格优化策略:讨论了服务网格的优化方法,如何提升云应用的性能与效率。
服务网格与 API 网关的整合:展示了这两大技术如何共同作用,支持更复杂的部署与运维模式。
在徐中虎和何建鹏的分享中,我们了解到了 Istio 未来的可能发展方向:
双模驱动:Istio 将同时支持 Ambient 模式和传统的 Sidecar 模式。Ambient 模式适合追求性能和资源成本优化的用户,而 Sidecar 模式将为需要更全面功能的用户长期支持。
Gateway API 的支持:Istio 对 Gateway API 的支持,为用户提供了更灵活的路由与策略配置选项。
Waypoints 的策略应用:Waypoints 不必局限于 Istio 或 Envoy。通过使用 Gateway API 和 GAMMA,任何符合标准的实现都可以作为 Waypoint,这为服务网格提供了更大的灵活性和扩展性。
他们着重介绍了 Sandwich Waypoint,这是一种在 Istio 内管理和引导流量的复杂方法,特别是在环境模式下。这种 Waypoint 代理模式旨在通过充当处理、转换和转发客户端和服务器之间流量的中介层来简化和提高流量路由的效率。它利用了双 zTunnel 设置,其中位于通信通道两端的每个 zTunnel 协作封装和解码流量。Waypoint 本身负责执行额外的功能,如流量整形、安全检查和协议转换,从而在没有传统边车开销的情况下丰富服务网格功能。这种方法允许 Istio 保持强大的流量管理和安全功能,同时优化资源利用率并减少延迟。
Sandwich Waypoint 支持:
istio.io/use-waypoint: {namespace}/{gateway-name}
注解,将目标服务、Pod 或命名空间内的流量重定向到同一个 Waypoint。这是一种 Istio Ambient 模式中捕获七层流量模式,如下图所示。
Istio Sandwich Waypoint 捕获七层流量的步骤如下:
赵化冰在 KubeCon 上介绍了 Envoy Gateway 如何通过扩展 Kubernetes Gateway API 来增强功能与灵活性的演讲,涵盖了多种匹配与路由能力的扩展、新的资源和策略模型以及安全策略的细节。
ClientTrafficPolicy
和 BackendTrafficPolicy
为用户提供了更细粒度的流量管理控制,适用于上游和下游连接,包括如限速、重试、负载均衡、断路器等功能。SecurityPolicy
支持 CORS、HTTP 基础认证、OIDC、JWT 认证,并能与各种身份提供商集成。它还提供了详细的访问控制,允许根据请求者的原始 IP、JWT 声明等进行授权。通过本次会议我们了解了 Istio 的 Ambient 模式和 Envoy Gateway 的进展。这些技术的讨论不仅展望了未来趋势,也提供了实用的洞察,助力技术实施与创新。
最后更新于 2024/11/07