作者:如葑

云原生网关将流量网关、微服务网关、安全网关三合一,被誉为下一代网关,完全兼容 Kubernetes Ingress 规范 API,解决了三层网关架构独立规划、独立运维导致的资源耗费大、性能损耗大、稳定性难控、安全防护复杂等难题,比较传统网关,云原生网关在资源本钱、性能、安全性和易用性上更有优势。

搬迁是上线前的必备工作,怎么降低搬迁过程中带来的危险,是搬迁工作的重中之重。本文将基于 MSE 云原生网关,介绍两类场景下的云原生网关搬迁实践,第一类,是自建 Nginx Ingress 搬迁到 MSE,咱们供给了不更改原有 SLB,便可完成不停机搬迁的能力,操控搬迁危险,将对此将展开具体介绍;第二类是传统的微服务网关搬迁到 MSE,咱们经过供给具体的操作文档来阐明。

自建 Nginx Ingress 搬迁到 MSE 云原生网关

为何要搬迁

MSE 云原生网关已经兼容了 Nginx Ingress 注解 80%+的运用场景,用户无需修正已有 Ingress 装备,即可无缝搬迁到 MSE 云原生网关,且比较 Nginx Ingress 原生注解,供给了功用更丰厚的扩展注解,总结如下:

两类常见场景下的云原生网关迁移实践

尤其在安全范畴本年 K8s Ingress Nginx 项目接连发表了三个高危安全漏洞(CVE-2021-25745,CVE-2021-25746,CVE-2021-25748),该项目也在近期宣告将中止接纳新功用 PR,专心修正并提高稳定性。Ingress 网关作为处于 Internet 网络鸿沟的根底软件,又被大规模运用,势必会成为一些攻击者的抱负方针。一旦防线攻破,其代价是惨痛的,能够参阅同样是网络鸿沟的根底组件,OpenSSL 的 Heartbleed 汗水漏洞殷鉴不远。更多关于Nginx Ingress 架构安全缺陷请参阅《Ingress Nginx 接连发表高危安全漏洞,是否有更好的挑选?》。

关于 MSE 云原生网关增强的扩展注解请参阅《MSE Ingress高级用法》:help.aliyun.com/document_de…

怎么低危险搬迁?

从 Nginx Ingress 搬迁到 MSE 云原生网关的过程中,为协助用户了解各搬迁阶段,咱们梳理了各个阶段的简要阐明,且考虑到在用户搬迁后能依然能够复用已有的 SLB,降低搬迁本钱,MSE 云原生网关也供给了“SLB 搬迁”功用,让用户能够便利的将流量分进程搬迁到 MSE 云原生网关。

接下来,咱们以图示方法,简略阐明搬迁的各个阶段。

  • 搬迁阶段总览

两类常见场景下的云原生网关迁移实践

从上图中能够看到,尽管搬迁分成了 5 个阶段,但真正在“搬迁”阶段,用户只需求履行一步操作即可完成 Nginx Ingress 装备到 MSE 云原生网关的搬迁,非常简洁方便。

在介绍完全体的搬迁阶段,接下来咱们会进一步具体介绍具体的搬迁操作。

  • 搬迁分化

从 Nginx Ingress 搬迁到 MSE 云原生网关的具体流程图如下:

两类常见场景下的云原生网关迁移实践

下面临各个过程展开进一步的阐明。

  • 搬迁预备

首先,在容器服务 ACK 的运用市场中安装 mse-ingress-controller 到 Nginx Ingress 地点集群,如下:

两类常见场景下的云原生网关迁移实践

两类常见场景下的云原生网关迁移实践

其次,调用 mse-ingress-controller 的 HTTP 接口 check-nginx-ingress 做搬迁前的注解兼容性校验,具体的调用指令如下:

kubectl run -i --rm --restart=Never checker --image=curlimages/curl -- -s "ack-mse-ingress-controller.mse-ingress-controller.svc:8081/check-nginx-ingress?ingress-class=mse&namespace=mse-ingress-controller"

参数阐明:ack-mse-ingress-controller.mse-ingress-controller.svc 格局为svcName.{svcName}.{svcNamespace}.svc。svcNamespace 为 Mse Ingress Controller 所处的命名空间

ingress-class,指定所有相关该 IngressClass 的 Ingress 资源

    1. 值为空,或许未指定该参数,则包括集群中所有的Ingress资源
    2. 值为nginx,则包括集群中相关IngressClass为nginx或未指定IngressClass的Ingress资源
    3. 值为自定义值,则包括集群中相关IngressClass为指定值的Ingress资源

namespace,指定哪些命名空间下的 Ingress 资源

    1. 值为空,或许未指定该参数,则包括集群中所有命名空间下的Ingress资源
    2. 值为自定义值,则包括集群中指定命名空间下的Ingress资源,仅支撑指定单个命名空间

返回成果参数阐明:

  1. isAllSupported:所指的 Ingress 资源是否全部兼容

  2. totalNumber:所指的 Ingress 资源的总数量

  3. supportedSet:完全兼容的 Ingress 调集,其子字段 namespacedName 格局为namespace/{namespace}/{name}

  4. unSupportedSet:不完全兼容的 Ingress 调集,其子字段 reason 指出不兼容的原因。

返回成果样例:

{
 "isAllSupported": false,
 "totalNumber": 3,
 "supportedSet": [
  {
   "namespacedName": "mse-ingress-controller/ingress"
  },
  }
 ],
 "unSupportedSet": [
  {
   "namespacedName": "default/test-3",
   "reason": "default backend is not supported, "
  },
  {
   "namespacedName": "mse-ingress-controller/test-3",
   "reason": "annotation nginx.ingress.kubernetes.io/auth-tls-pass-certificate-to-upstream is not supported, tls missing secret, "
  }
 ]
}
  • 搬迁

MseIngressConfig 资源是 MSE 云原生网关供给的用于管理网关实例生命周期的 K8s CRD,创立 MseIngressConfig 资源后,mse-ingress-controller 会监听该资源,并调用 MSE OpenAPI 创立网关实例,网关实例的全局装备来自于 MseIngressConfig 资源中的描述定义;在网关实例创立成功后会监听方针 K8s 集群的 Ingress 资源,自动完成 Nginx Ingress Annotation 的转化。下面以最小装备创立网关为例进行阐明。

经过 MseIngressConfig 来创立网关的过程:

  1. 复制并保存以下装备文件到 mse-ingress-test.yaml,以下装备比如是所需的最小装备,仅需供给一个交换机 ID。

更多的装备项阐明参阅《经过 MSE Ingress 拜访容器服务》:help.aliyun.com/document_de…

注意:交换机所属的 VPC 必须与方针集群运用的 VPC 保持一致

阐明:装备 ingressclass 时会自动创立 IngressClass 资源并与网关实例进行相关,用户也可手艺创立IngressClass

apiVersion: mse.alibabacloud.com/v1alpha1
kind: MseIngressConfig
metadata:
  name: test
spec:
  ingress:
    local:
      ingressclass: mse
  common:
    network:
      vSwitches:
        - "vsw-xxxx"
  1. 履行以下指令,创立 MseIngressConfig
kubectl apply -f mse-ingress-test.yaml
  1. 查询 MseIngressConfig 的状况,并等候状况为 Listenning,表明云原生网关创立成功且处于监听集群中 Ingress 资源的运转状况。
kubectl get MseIngressConfig test
输出成果
NAME   STATUS      AGE
test   Listening   3m15s

状况阐明:

  • Pending:表明云原生网关正在创立中,需等候 3 min 左右

  • Running:表明云原生网关创立成功,并处于运转状况

  • Listening:表明云原生处于运转状况,并监听集群中 Ingress 资源

  • Failed:表明云原生网关处于非法状况,能够检查 Status 字段中 Message 来进一步明确原因

  • 测验

路由测验或许每个用户的方法不尽相同,这里引荐运用本地绑 host 到 MSE 云原生网关 SLB 的方法测验路由正确性。例如当前有如下 Ingress 装备:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: ingress
spec:
  ingressClassName: mse
  rules:
  - host: "foo.bar.com"
    http:
      paths:
      - backend:
          service:
            name: go-httpbin
            port:
              number: 80
        path: /version
        pathType: Prefix

绑定 host 测验如下:

curl http://foo.bar.com/version --resolve foo.bar.com:80:114.55.243.37
输出成果
version:v1
  • 切流

首先,需求在 SLB 操控台将需求搬迁的 SLB 的调度算法改为“加权轮询”(对于从未设置过权重值的用户修正调度算法对流量没有任何影响,如您已经运用了“加权轮询”算法请忽略该操作),如下:

两类常见场景下的云原生网关迁移实践

其次,在 MSE 云原生网关操控台中运用“SLB搬迁”功用,将网关节点添加到用户 SLB 的虚拟服务器组中,并设置新节点总的权重值,具体操作是在 MSE 云原生网关操控台中单击根本概览,在页面的网关进口区域,单击 SLB 搬迁,设置流量搬迁权重值,首次编辑建议权重值设置为小于 5,行将 5% 以内的流量搬迁到 MSE 云原生网关,如下:

两类常见场景下的云原生网关迁移实践

关于“SLB 搬迁”的更具体操作过程,请参阅运用文档《SLB 搬迁》。

help.aliyun.com/document_de…

终究,在 MSE 云原生网关操控台中逐步增大权重值直至 100 即可完成终究的切流。具体操作是在 MSE 云原生网关操控台中单击根本概览,在页面的网关进口区域,挑选需求编辑的 SLB 搬迁装备,单击方针装备操作列下方的编辑按钮,在弹出页面中设置权重值即可。

微服务网关搬迁到MSE 云原生网关

在 K8s 重塑运维系统的云年代,Spring Cloud Gateway 和 Zuul 欠缺发现容器服务的能力,性能上不如 Nginx Ingress,可观测、安全等方面都需求二次开发再集成,在上云、混合云等场景中或许呈现 Ingress 和 Spring Cloud Gateway 和 Zuul 的两层网络架构,这不只多了层网络和资源耗费,也徒增了运维本钱。以下将介绍怎么将 Spring Cloud Gateway 和 Zuul 搬迁到云原生网关。

  • 搬迁 Spring Cloud Gateway:help.aliyun.com/document_de…
  • 搬迁 Zuul:help.aliyun.com/document_de…

以上便是两类常见场景下的云原生网关搬迁实践,也欢迎了解更多关于 MSE 云原生网关的特性与介绍。

MSE 云原生网关、注册装备中心首购 8 折优惠,首购 1 年及以上 7 折优惠。

扫码了解更多产品信息~

两类常见场景下的云原生网关迁移实践