两类常见场景下的云原生网关迁移实践

迁移是上线前的必备工作，如何降低迁移过程中带来的风险，是迁移工作的重中之重。本文将基于 MSE 云原生网关，介绍两类场景下的云原生网关迁移实践，第一类，是自建 Nginx Ingress 迁移到 MSE，我们提供了不更改原有 SLB，便可实现不停机迁移的能力，控制迁移风险，将对此将展开详细介绍；第二类是传统的微服务网关迁移到 MSE，我们通过提供详细的操作文档来说明。

自建 Nginx Ingress 迁移到 MSE 云原生网关

为何要迁移

MSE 云原生网关已经兼容了 Nginx Ingress 注解 80%+的使用场景，用户无需修改已有 Ingress 配置，即可无缝迁移到 MSE 云原生网关，且相比 Nginx Ingress 原生注解，提供了功能更丰富的扩展注解，总结如下：

尤其在安全领域今年 K8s Ingress Nginx 项目接连披露了三个高危安全漏洞（CVE-2021-25745, CVE-2021-25746, CVE-2021-25748），该项目也在近期宣布将停止接收新功能 PR，专注修复并提升稳定性。Ingress 网关作为处于 Internet 网络边界的基础软件，又被大规模使用，势必会成为一些攻击者的理想目标。一旦防线攻破，其代价是惨痛的，可以参考同样是网络边界的基础组件，OpenSSL 的 Heartbleed 心血漏洞殷鉴不远。更多关于Nginx Ingress 架构安全缺陷请参考《Ingress Nginx 接连披露高危安全漏洞，是否有更好的选择？》。关于 MSE 云原生网关增强的扩展注解请参考《MSE Ingress高阶用法》。

如何低风险迁移？

从 Nginx Ingress 迁移到 MSE 云原生网关的过程中，为帮助用户了解各迁移阶段，我们梳理了各个阶段的简要说明，且考虑到在用户迁移后能仍然能够复用已有的SLB，降低迁移成本，MSE 云原生网关也提供了“SLB迁移”功能，让用户能够方便的将流量分进程迁移到 MSE 云原生网关。

接下来，我们以图示方式，简单说明迁移的各个阶段。

迁移阶段总览

从上图中可以看到，虽然迁移分成了5个阶段，但真正在“迁移”阶段，用户只需要执行一步操作即可完成 Nginx Ingress 配置到 MSE 云原生网关的迁移，非常简便快捷。

在介绍完整体的迁移阶段，接下来我们会进一步详细介绍具体的迁移操作。

迁移分解

从 Nginx Ingress 迁移到 MSE 云原生网关的具体流程图如下：

下面对各个步骤展开进一步的说明。

迁移准备

首先，在容器服务 ACK 的应用市场中安装mse-ingress-controller到 Nginx Ingress 所在集群，如下：

其次，调用mse-ingress-controller的 HTTP 接口check-nginx-ingress做迁移前的注解兼容性校验，具体的调用命令如下：

kubectl run -i --rm --restart=Never checker --image=curlimages/curl -- -s "ack-mse-ingress-controller.mse-ingress-controller.svc:8081/check-nginx-ingress?ingress-class=mse&namespace=mse-ingress-controller"

参数说明：

1. ack-mse-ingress-controller.mse-ingress-controller.svc格式为${svcName}.${svcNamespace}.svc。svcNamespace为Mse Ingress Controller所处的命名空间
2. ingress-class，指定所有关联该IngressClass的Ingress资源。

1. 值为空，或者未指定该参数，则包含集群中所有的Ingress资源
2. 值为nginx，则包含集群中关联IngressClass为nginx或未指定IngressClass的Ingress资源
3. 值为自定义值，则包含集群中关联IngressClass为指定值的Ingress资源

3. namespace，指定哪些命名空间下的Ingress资源

1. 值为空，或者未指定该参数，则包含集群中所有命名空间下的Ingress资源
2. 值为自定义值，则包含集群中指定命名空间下的Ingress资源，仅支持指定单个命名空间

返回结果参数说明：

1. isAllSupported：所指的Ingress资源是否全部兼容
2. totalNumber：所指的Ingress资源的总数量
3. supportedSet：完全兼容的Ingress集合，其子字段namespacedName格式为${namespace}/${name}
4. unSupportedSet：不完全兼容的Ingress集合，其子字段reason指出不兼容的原因。

返回结果样例：

{
 "isAllSupported": false,
 "totalNumber": 3,
 "supportedSet": [
  {
   "namespacedName": "mse-ingress-controller/ingress"
  },
  }
 ],
 "unSupportedSet": [
  {
   "namespacedName": "default/test-3",
   "reason": "default backend is not supported, "
  },
  {
   "namespacedName": "mse-ingress-controller/test-3",
   "reason": "annotation nginx.ingress.kubernetes.io/auth-tls-pass-certificate-to-upstream is not supported, tls missing secret, "
  }
 ]
}

迁移

MseIngressConfig 资源是 MSE 云原生网关提供的用于管理网关实例生命周期的 K8s CRD，创建MseIngressConfig 资源后，mse-ingress-controller 会监听该资源，并调用 MSE OpenAPI 创建网关实例，网关实例的全局配置来自于 MseIngressConfig 资源中的描述定义；在网关实例创建成功后会监听目标 K8s 集群的Ingress 资源，自动完成 Nginx Ingress Annotation 的转换。下面以最小配置创建网关为例进行说明。

通过 MseIngressConfig 来创建网关的步骤：

1. 复制并保存以下配置文件到mse-ingress-test.yaml，以下配置例子是所需的最小配置，仅需提供一个交换机ID，更多的配置项说明参考《通过MSE Ingress访问容器服务》。

注意：交换机所属的 VPC 必须与目标集群使用的 VPC 保持一致

说明：配置ingressclass时会自动创建IngressClass资源并与网关实例进行关联，用户也可手工创建  

IngressClass

apiVersion: mse.alibabacloud.com/v1alpha1
kind: MseIngressConfig
metadata:
  name: test
spec:
  ingress:
    local:
      ingressclass: mse
  common:
    network:
      vSwitches:
        - "vsw-xxxx"

2. 执行以下命令，创建MseIngressConfig

kubectl apply -f mse-ingress-test.yaml

3. 查询MseIngressConfig的状态，并等待状态为Listenning，表示云原生网关创建成功且处于监听集群中Ingress资源的运行状态。

kubectl get MseIngressConfig test
输出结果
NAME   STATUS      AGE
test   Listening   3m15s

状态说明：

• Pending：表示云原生网关正在创建中，需等待3min左右
• Running：表示云原生网关创建成功，并处于运行状态
• Listening：表示云原生处于运行状态，并监听集群中Ingress资源
• Failed：表示云原生网关处于非法状态，可以查看Status字段中Message来进一步明确原因

测试

路由测试可能每个用户的方法不尽相同，这里推荐使用本地绑host到MSE云原生网关SLB的方式测试路由正确性。例如当前有如下Ingress配置：

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: ingress
spec:
  ingressClassName: mse
  rules:
  - host: "foo.bar.com"
    http:
      paths:
      - backend:
          service:
            name: go-httpbin
            port:
              number: 80
        path: /version
        pathType: Prefix

绑定host测试如下：

curl http://foo.bar.com/version --resolve foo.bar.com:80:114.55.243.37
输出结果
version:v1

切流

首先，需要在 SLB控 制台将需要迁移的 SLB 的调度算法改为“加权轮询”（对于从未设置过权重值的用户修改调度算法对流量没有任何影响，如您已经使用了“加权轮询”算法请忽略该操作），如下：

关于“SLB迁移”的更详细操作步骤，请参考使用文档《SLB迁移》。

最后，在 MSE 云原生网关控制台中逐步增大权重值直至100即可完成最终的切流。具体操作是在 MSE 云原生网关控制台中单击基本概览，在页面的网关入口区域，选择需要编辑的 SLB 迁移配置，单击目标配置操作列下方的编辑按钮，在弹出页面中设置权重值即可。

微服务网关迁移到 MSE 云原生网关

在 K8s 重塑运维体系的云时代，Spring Cloud Gateway 和 Zuul 欠缺发现容器服务的能力，性能上不如 Nginx Ingress，可观测、安全等方面都需要二次开发再集成，在上云、混合云等场景中可能出现 Ingress 和 Spring Cloud Gateway和Zuul  的两层网络架构，这不仅多了层网络和资源消耗，也徒增了运维成本。以下将介绍如何将 Spring Cloud Gateway 和 Zuul 迁移到云原生网关。

• 迁移 Spring Cloud Gateway：https://help.aliyun.com/document_detail/375387.html
• 迁移 Zuul：https://help.aliyun.com/document_detail/375389.html

以上就是两类常见场景下的云原生网关迁移实践，也欢迎了解更多关于 MSE 云原生网关的特性与介绍。

MSE 云原生网关、注册配置中心首购8折优惠，首购1年及以上7折优惠。

扫码了解更多产品信息~