Service Mesh对比:Istio与Linkerd

本文涉及的产品
传统型负载均衡 CLB,每月750个小时 15LCU
容器服务 Serverless 版 ACK Serverless,317元额度 多规格
容器服务 Serverless 版 ACK Serverless,952元额度 多规格
简介: Service Mesh对比:Istio与Linkerd

目录

Service Mesh简介

Istio

架构(Architecture)

组件(Components)

核心功能

Linkerd

Architecture

控制平面(Control Plane)

数据平面(Data Plane):

Service Mesh对比:Istio与Linkerd

结论

参考文献


 

根据CNCF最新年度调查,很多组织对Service Mesh表现出很高的兴趣,并且有一部分已经在生产环境中使用它们。你可能不知道Linkerd是市场上第一个Service Mesh,但是Istio使Service Mesh更受欢迎。这两个项目都是最前沿的项目,而且竞争非常激烈,因此很难选择一个项目。在本篇文章中,我们将和你一起了解Istio和Linkerd架构,组件,并比较它们的产品以帮助你做出明智的决定。


Service Mesh简介

在过去的几年中,微服务架构已成为软件设计中流行的样式。在这种架构中,我们将应用程序分解为可独立部署的服务。这些服务通常是轻量级的,多语言的,并且通常由各种职能团队进行开发部署。当某些服务数量增加,难以管理且越来越复杂时,微服务架构将一直有效。但这也在管理安全性,网络流量控制和可观察性等各个方面带来了挑战。

Service Mesh可以很好地帮助应对这些挑战。

  • Service Mesh 用于描述组成应用程序的微服务及其之间的交互。随着服务数量的增加和复杂性的增加,扩展和管理变得越来越困难。Service Mesh可以为微服务架构提供服务发现,负载均衡,故障恢复,指标和监视。
  • Service Mesh 通常还能够满足更复杂的需求,例如A/B测试,金丝雀发布,速率限制,访问控制和端到端身份验证。
  • Service Mesh 提供了一种轻松创建服务网络的方式,该网络具有负载均衡,服务到服务的身份验证,监视等功能,而微服务代码更改很少或没有更改。

接下来,让我们对比一下Istio和Linkerd的架构。请注意,两个项目都在快速发展,本文基于Istio版本1.6和Linkerd版本2.7。


Istio

Istio是一个开源平台,提供了作为Service Mesh的完整解决方案,提供了一种统一的方式来保护(secure),连接(connect)和监视(monitor)微服务。它得到了IBM,Google和Lyft等行业领导者的支持。

Istio是最流行,最完整的解决方案之一,其高级产品适用于各种规模的企业。Istio是Kubernetes的一等公民,被设计为独立于平台的模块化系统。有关Istio的快速入门,请参阅我们以前的文章


架构(Architecture)

 


组件(Components)

Envoy是Lyft用C ++语言编写的高性能代理,它可以代理Service Mesh中所有服务的所有入站和出站流量。它作为Sidecar代理部署。

 

Envoy提供以下功能:

  • 动态服务发现
  • 负载均衡
  • TLS终止
  • HTTP/2和gRPC代理
  • 断路器
  • 健康检查
  • 按百分比分配流量
  • 故障注入
  • 丰富的指标

在较新的Istio版本中,Sidecar代理也承担了了一部分Mixer的工作。在早期版本的Istio(<1.6)中,需要使用Mixer从服务网格收集数据信息。

Pilot为Sidecar代理,流量管理功能和弹性伸缩提供服务发现。它将控制流量行为的高级路由规则转换为envoy的配置。

Citadel通过内置的身份和凭据管理实现了用户身份验证。

Galley 在Istio中配置验证规则(Pilot、Citadel配置的规则) 。


核心功能

  • 流量管理 -智能流量路由规则,流量控制和服务级别属性(如断路器,超时和重试)的管理。它使我们能够轻松设置A/B测试,金丝雀发布,滚动升级等。
  • 安全性 —在服务之间提供安全的通信通道,并管理身份验证,授权和加密。
  • 可观察性 -强大的跟踪,监视和日志记录功能提供了可见性。它有助于快速有效地检测和解决问题。Istio还可以与Prometheus,Grafana,Jaeger 和Kiali等应用程序集成。


Linkerd

Linkerd是一个开源的轻量级服务网格。由于在2.0版本中完全用Rust语言重写,以使其超轻便且高性能,它能够提供运行时调试,可观察性的能力。


Architecture

Linkerd具有三个组件(Components)-UI,数据平面(Data Plane)和控制平面(Control Plane)。它通过在每个服务实例旁边安装轻量级透明对象来工作。

 


控制平面(Control Plane)

提供核心功能。它聚合数据,提供面向用户的API。以下是控制平面(Control Plane)的组件(Components)。

  • 控制器( Controller) –它由一个公共API容器组成,该容器提供CLI和仪表板的API。
  • 目标( Destination) –数据平面(Data Plane)中的每个代理都将调用此组件(Components)以查找将请求发送到哪个位置。它可以配置路由指标,重试和超时信息。
  • 身份( Identity)–它提供了一个证书颁发机构( Certificate Authority),该证书颁发机构接受来自代理的CSRs请求并返回身份签名的证书。它也提供了mTLS功能。
  • 代理注入器( Proxy Injector) –它是一个准入控制器,用于查找带有(linkerd.io/inject: enabled)注释并更改pod信息添加一个具备代理功能的initContainer容器。
  • 服务配置文件验证器( Service Profile Validator ) –这也是一个准入控制器,用于在保存新的服务配置文件之前对其进行验证。
  • 点击( Tap ) –它从CLI或仪表板接收请求,以实时监视请求和响应,以提供应用程序中的可观察性。
  • Web –提供Web仪表板。
  • Grafana – Linkerd通过Grafana提供开箱即用的仪表板。
  • Prometheus –它通过/metrics在4191端口上抓取代理端点数据来收集和存储所有Linkerd指标。


数据平面(Data Plane):

Linkerd数据平面(Data Plane)由轻量级代理组成,这些轻量级代理作为sidecar容器部署。在Pod的初始化阶段注入代理(请参见上面的代理注入器)。自从2.x完全在Rust中重写以来,该代理非常轻便且性能出色。这些代理拦截每个Pod之间的通信,以提供检测和加密(TLS),而无需更改应用程序代码。

代理功能:

  • HTTP,HTTP2和任意TCP协议的透明,零配置代理。
  • 自动为HTTP和TCP流量导出Prometheus指标。
  • 透明的零配置的WebSocket代理。
  • 自动,可感知延迟的7层负载均衡。
  • 非HTTP流量的自动4层负载均衡。


Service Mesh对比:Istio与Linkerd

特征 Istio Linkerd
易于安装 各种配置选项和灵活性可能会使团队不知所措 开箱即用的配置,安装相对容易
平台 Kubernetes,虚拟机 Kubernetes
支持的协议 gRPC,HTTP/2,HTTP/1.x,Websocket和所有TCP流量 gRPC,HTTP/2,HTTP/1.x,Websocket和所有TCP流量
入口控制器 Envoy,Istio网关本身 Linkerd本身不提供入口功能
多集群和扩展支持 通过各种配置选项支持多集群部署,并可以在Kubernetes集群外部扩展网格 从2.8版本开始,多群集部署趋于稳定。
Service Mesh接口(SMI)兼容性 通过第三方CRD 本机用于流量拆分和指标,不用于流量访问控制
监控功能 功能丰富 功能丰富
追踪支持 Jaeger, Zipkin 支持OpenCensus的所有后端
路由功能 各种负载均衡算法(Round-Robin, Random Least Connection), 支持基于百分比的流量拆分,支持基于报头和路径的流量拆分 支持EWMA负载均衡算法,通过SNI支持基于百分比的流量拆分
弹性 断路器,重试和超时,故障注入,延迟注入 无断路器,无延迟注入支持
安全 mTLS支持所有协议,可以使用外部CA证书/密钥,支持授权规则。 除TCP之外,还支持mTLS,可以使用外部CA /密钥,但尚不支持授权规则
性能 在最新的1.6版本中,Istio的资源占用量越来越大,延迟得到了改善。 Linkerd的设计非常轻巧,根据某些第三方基准测试,它比Istio快3-5倍。
企业支援 不适用于OSS版本。如果您将Google的GKE与Istio结合使用,或者将Red Hat OpenShift与Istio作为Service Mesh使用,则可能会得到各个供应商的支持。 开发了Linkerd OSS版本的Buoyant提供了完整的企业级工程,支持和培训


结论

Service Mesh正在成为云原生解决方案和微服务架构中的重要组成部分。它使你能够完成所有繁重的工作,例如流量管理,弹性和可观察性,并减轻开发人员对业务逻辑的关注。

Istio和Linkerd都已经成熟,并已被多家企业用于生产环境。对软件项目需求的计划和分析对于选择要使用的Service Mesh至关重要。请在起始阶段花费足够的时间做好技术选型,因为在后期再做调整改变会很复杂。


参考文献

  1. https://dzone.com/articles/what-is-a-service-mesh-and-why-do-you-need-one
  2. https://martinfowler.com/articles/microservices.html
  3. https://istio.io/docs/concepts/traffic-management/
  4. Service Mesh
  5. Freepik.com的标题和特色图片


译文链接: https://dzone.com/articles/service-mesh-comparison-istio-vs-linkerd


相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
目录
相关文章
|
运维 负载均衡 监控
服务网格技术对比:深入比较Istio、Linkerd和Envoy等服务网格解决方案的优缺点
服务网格技术对比:深入比较Istio、Linkerd和Envoy等服务网格解决方案的优缺点
563 0
|
JSON Rust 安全
Istio Ambient Mesh Ztunnel实现剖析(1)配置解析
前言在Istio Ambient Mesh中,社区引入了名为ztunnel的新组件,ztunnel的名字来源于Zero-Trust Tunnel,即零信任管道,Ztunnel 旨在专注于Ambient Mesh中工作负载4层安全能力,例如 mTLS、身份验证、L4 授权,而无需进行七层流量解析。ztunnel 确保流量高效、安全地传输到负责七层处理的Waypoint Proxy或在对端无waypo
363 0
|
Kubernetes 负载均衡 网络协议
全网最细,深度解析 Istio Ambient Mesh 流量路径
本文旨在对 Istio Ambient Mesh 的流量路径进行详细解读,力求尽可能清晰地呈现细节,以帮助读者完全理解 Istio Ambient Mesh 中最为关键的部分。
885 14
|
存储 Kubernetes 负载均衡
【Kubernetes的Service Mesh发展历程及Istio架构、存储供应使用NFS flexvolume CSI接口】
【Kubernetes的Service Mesh发展历程及Istio架构、存储供应使用NFS flexvolume CSI接口】
218 0
|
负载均衡 Kubernetes 安全
Istio Ambient Mesh 四层负载均衡实现剖析
前言k8s通过service将相同类型的工作负载组织成为一组集群,并提供了负载均衡的能力,可以将请求随机路由到集群中的端点。然而在Istio Ambient Mesh中,为了实现四层安全,Istio Ambient Mesh通过配置iptables规则,将流量拦截到ztunnel组件,以便实现4层流量的加密处理后再向对端ztunnel发出,最终对端ztunnel再将流量转发至目标工作负载,而这样一
425 1
|
Prometheus 负载均衡 Kubernetes
Service Mesh: Istio vs Linkerd
根据CNCF的最新年度调查,很明显,很多人对在他们的项目中使用服务网格表现出了浓厚的兴趣,并且许多人已经在他们的生产中使用它们。近69%的人正在评估Istio,64%的人正在研究Linkerd。Linkerd是市场上第一个服务网格,但是Istio使服务网格更受欢迎。这两个项目都是最前沿的,而且竞争非常激烈,因此选择一个项目是一个艰难的选择。在此博客文章中,我们将了解有关Istio和Linkerd体系结构,其运动部件的更多信息,并比较其产品以帮助您做出明智的决定。
153 0
Service Mesh 的实现,Google 的 Istio
Service Mesh 的实现,Google 的 Istio
93 0
|
19天前
|
监控 安全 Cloud Native
云原生安全:Istio在微服务架构中的安全策略与实践
【10月更文挑战第26天】随着云计算的发展,云原生架构成为企业数字化转型的关键。微服务作为其核心组件,虽具备灵活性和可扩展性,但也带来安全挑战。Istio作为开源服务网格,通过双向TLS加密、细粒度访问控制和强大的审计监控功能,有效保障微服务间的通信安全,成为云原生安全的重要工具。
39 2
|
1月前
|
Kubernetes 安全 微服务
使用 Istio 缓解电信 5G IoT 微服务 Pod 架构的安全挑战
使用 Istio 缓解电信 5G IoT 微服务 Pod 架构的安全挑战
53 8
|
1月前
|
Kubernetes 负载均衡 安全
Istio在微服务中释放服务网格的力量
Istio在微服务中释放服务网格的力量
50 4