云原生网关 MSE-Higress评测

一、产品概述

MSE-Higress 是一款基于云原生技术的网关产品，旨在为企业提供高性能、高可用性的网络接入服务。通过将流量分发到不同的微服务实例，MSE-Higress 能够有效地提高系统的可扩展性和灵活性。

二、功能特点

1. 高性能：MSE-Higress 采用了先进的负载均衡算法，确保每个微服务实例都能得到充分的流量分配，从而提高整体系统的处理能力。
   
2. 高可用性：MSE-Higress 支持多实例部署，当某个实例出现故障时，其他实例可以自动接管流量，确保系统的稳定运行。
   
3. 灵活的路由策略：MSE-Higress 支持多种路由策略，可以根据业务需求灵活地调整流量分发规则。
   
4. 丰富的插件生态：MSE-Higress 提供了丰富的插件市场，用户可以根据需要安装各种插件来扩展功能。
   
5. 与主流云原生平台兼容：MSE-Higress 支持与 Kubernetes、Istio 等主流云原生平台无缝集成，方便企业进行自动化部署和管理。
   

三、开通试用

在评测活动页点击立即试用，如下：

点击立即试用，开通微服务引擎云原生网关MSE免费试用，在欢迎访问微服务引擎MSE 2.0页面，单击立即授权。如下：

在确认授权对话框中，单击确认，然后单击下一步。单击立即体验微服务引擎MSE。如下：

完成后，来到MSE管理控制台，如下：

在MSE控制台左侧导航栏，选择云原生网关>网关列表，在网关列表页面，等待状态变为运行正常，即可正常使用。如下：

四、场景体验

基于云原生网关实现WAF防护能力

体验该场景之前，需要先创建一个服务。在网关列表页面，找到您创建的网关，单击名称。在左侧导航栏，选择服务管理>服务列表。如下：

在服务列表页面，单击创建服务。在创建服务面板，服务来源选择DNS域名，服务名称设置为mse-test，服务端口设置为80，域名列表输入为higress.cn，单击确定。如下：

接着需要创建一个路由。在左侧导航栏，选择路由管理>路由配置。在路由配置页面，单击创建路由。如下：

在创建路由面板的请求信息配置中，路由名称设置为mse-test，关联域名选择*，匹配规则区域的路径选择前缀匹配和输入/，单击下一步。如下：

在创建路由面板的目标服务配置中，目标服务选择单服务，服务选择上一小节创建的名称为test的服务，单击保存并上线。如下：

接下来就要安装WAF插件了。在左侧导航栏，选择插件市场。在全部插件页签，在搜索框中输入WAF，找到waf的插件，然后单击waf插件的未启用。如下：

在使用引导页签，单击插件配置。在插件配置页签的插件配置区域，单击编辑。如下：

在插件配置页签的插件配置区域，添加如下YAML，然后单击保存。如下：

useCRS: true  #可使OWASP CRS规则生效，并覆盖了常见的攻击类型。例如，SQL注入、XSS攻击、Log4j漏洞等。
secRules: 
- "SecRuleEngine On" #开启插件的防护功能。
- "SecRule REQUEST_URI \"@streq /admin\" \"id:101,phase:1,t:lowercase,deny\""   #拒绝url为/admin的请求

在插件配置页签的生效开关区域，打开生效开关。在开启对话框中，单击确定。如下：

点击插件日志页签，在日志投递配置对话框中，单击确定。如下：

接下来开始测试waf的防护能力，打开电脑的cmd窗口，输入curl http://<网关的公网IP>/admin -i，如下：

在插件配置页签，单击插件日志。在插件日志页签，您可查看到waf插件产生的403拦截日志。如下：

接着模拟SQL注入攻击，在cmd窗口输入 curl http://<网关的公网IP>/bytes -d "mysql -uroot -p123456 -e 'select * from users'" -i，如下：

在插件日志页签，我们可以观察到使用waf来防御SQL攻击的日志。如下：

接下来模拟shell注入，在cmd窗口输入 curl "http://<网关的公网IP>/byte" -d "bash -c 'rm -rm /'" -i，如下：

在插件日志页签，我们可以观察到使用waf来防御shell注入攻击的日志。如下：

综上体验可以得出，MSE-Higress 的性能表现非常出色，加载速度快，稳定性高。这些插件可以帮助用户构建一个多层次的安全防护体系，有效抵御各种网络攻击。在实际应用中，用户可以根据实际需求选择合适的插件，提高网络安全防护能力。在使用过程中，我们没有遇到任何卡顿或者崩溃的情况。同时，MSE-Higress 的插件市场支持多种编程语言和平台，具有较强的兼容性和扩展性。

通过MSE构建基于FastChat的智能聊天机器人

本实验需要ACK Serverless集群和服务引擎云原生网关MSE在同一VPC下。创建MSE的时候要注意这点。没有领取ACK Serverless服务试用的，前往产品试用中心，开通服务。

MSE的创建和ACK Serverless服务开通就不赘述了，这里直接开始部署FastChat-T5应用。在集群列表页面，选择您的ACK Serverless集群，单击详情。左侧导航栏中，选择工作负载 > 无状态。在无状态页面，单击使用镜像创建。如下：

在应用基本信息页签，设置应用名称，例如fastchat-t5，副本数设置为1，其他保持默认配置，然后单击下一步。如下：

在容器配置页签，按照页面内容依次设置基本配置、端口、就绪检查相关的配置项，然后单击下一步。如下：

在高级配置页签，设置ACK Serverless服务，单击服务右侧的创建，在创建服务对话框中，进行如下设置。

名称：fastchat-t5-svc。类型选择：虚拟集群IP。增加端口映射，名称：tcp，服务端口：7860，容器端口：7860，协议：TCP。设置完成单击创建。如下：

在高级配置页签，单击创建。如下：

在创建完成页签，单击查看应用详情。如下：

在容器组页签，等待POD状态显示为Running状态，表示应用创建成功。如下：

在访问方式页签，可查看Service资源。如下：

到此，基于ACK Serverless服务部署的无状态FastChat-T5应用已完成，接下来进入MSE控制台，使用云原生网关提供API管理。在网关列表页面，找到您的网关实例，单击实例ID。在左侧导航栏中，选择服务管理>来源管理。如下：

在创建来源面板，来源类型：容器服务、ACK/ACK Serverless集群：选择您的的Serverless ACK集群。然后单击确定。如下：

在左侧导航栏中，选择服务管理>服务列表。在服务列表页面，单击创建服务。如下：

在创建服务面板，服务来源：容器服务；命名空间：default；服务列表：此时会列出对应Serverless ACK集群服务来源在default命名空间下的Service，勾选fastchat-t5-svc服务，单击右移按钮，将服务移动至右侧。然后单击确定。如下：

在创建完服务管理后，需要配置路由规则。在左侧导航栏中，选择路由管理>路由配置。在路由配置页面，单击创建路由。如下：

在创建路由面板的请求信息配置向导中，参考如下说明配置参数，单击下一步，创建访问fastchat-t5 webUI路由。

• 路由名称：chat-web。
  
• 关联域名：*。
  
• 匹配规则：选择前缀匹配，路径填写 “/”
  

在创建路由面板的目标服务配置向导中，参考如下说明配置参数，单击保存并上线，完成创建访问fastchat-t5 webUI路由。如下：

接下来我们尝试访问后端ChatBot服务。在左侧导航栏中，选择路由管理>路由调试。在路由调试页面，参数如下说明配置访问的HTTP路径，单击发送进行服务调试。

• 服务请求方法：GET。
  
• 请求协议类型：HTTP。
  
• 请求路径：/。
  

如下：

在路由调试页面右侧，出现会访问Http Status=200的响应，证明您已成功使用云原生网关提供API管理。如下：

在路由调试页面右侧，单击实际请求，我们可以拿到网关的访问地址，将它复制到您的本机浏览器中并访问。如下：

接下来我们就可以体验fastchat-t5大模型了。目前fastchat-t5不支持中文，这里先使用英文进行对话问答。

五、体验总结

• 对于产品文档的评测我主要关注以下几个方面：是否提供了清晰、详细的步骤来配置和操作产品；是否有明确的术语解释；是否包含了足够的示例和教程来帮助用户理解如何使用；以及文档的更新频率和准确性。综上体验得出，我的评价是积极的。虽然文档在某些方面可能存在一些不足，但总体上，它为用户提供了清晰、详细的指导，使他们能够有效地使用产品。然而，我们也建议MSE-Higress在未来的版本中改进文档，特别是在提供更详细的示例和教程方面。
  
• 在产品能力方面，我认为云原生网关MSE-Higress在网关迁移或接入、网关管理、域名/服务/路由管理、安全能力管理、插件市场等方面均能够满足企业的业务场景需求。同时，云原生网关MSE-Higress还具备良好的可扩展性和兼容性，能够适应企业不断变化的需求。因此，我们强烈推荐企业采用云原生网关MSE-Higress来提升企业的网络管理能力和业务运行效率。
  
• MSE-Higress 的产品控制台设计简洁明了，操作流程清晰，用户可以快速找到自己需要的功能模块。同时，控制台的界面布局合理，信息分类明确，使得用户在使用过程中能够轻松理解和掌握各项功能。在测试过程中，MSE-Higress 的控制台操作反应迅速，无论是点击按钮、拖拽滑块还是输入文本，都能够立即得到反馈。这大大提高了用户的工作效率。MSE-Higress 的控制台在用户进行操作时，会有详细的提示信息来指导用户如何进行下一步操作。这些提示信息既包括对当前操作的解释，也包括对未来可能的操作的引导，使得用户在使用过程中能够得到充分的帮助。总的来说，云原生网关 MSE-Higress 的产品控制台完全满足了我对操作需求的期望。它的展示友好，操作流畅，提示信息完整，无论是对于初次使用的用户，还是对于经验丰富的用户，都能够提供良好的使用体验。
  
• 在产品集成体验方面，实际测试过程中，我们发现这三者之间的集成过程相对简单，通过简单的配置即可完成集成。在集成完成后，我们可以通过云原生网关 MSE-Higress 对 ACK、ECS 进行统一的管理和调度，实现了资源的高效利用和运维成本的降低。无论是在高并发场景下，还是在异常情况下，该产品都能保持稳定的运行状态，确保了业务的正常运行。同时，该产品还提供了丰富的管理功能，如实时监控、日志分析等，方便用户对产品的运行状况进行实时了解和调整。然而，在某些方面仍有提升的空间，例如在功能丰富性和用户体验方面还有待进一步优化。