应用服务网格
产品介绍
文档版本 01
发布日期 2021-09-30
版权所有 © 华为技术有限公司 2022。 保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传 播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或 特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声 明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文 档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司
地址: 深圳市龙岗区坂田华为总部办公楼 邮编:518129
网址: https://www.huawei.com
客户服务邮箱:[email protected] 客户服务电话:4008302118
目 录
1 什么是应用服务网格... 1
2 产品优势...5
3 应用场景...7
3.1 服务灰度发布... 7
3.2 服务流量管理... 8
3.3 端到端的透明安全... 9
3.4 服务运行监控...10
3.5 传统微服务 SDK 结合... 10
4 约束与限制...12
5 计费说明...13
6 权限管理...16
7 基本概念...18
8 规格推荐...20
9 基础版、企业版及社区开源版本对比... 22
10 与其他云服务的关系... 27
产品介绍 目 录
1 什么是应用服务网格
什么是应用服务网格
华为云应用服务网格是一种高性能、高可靠性和易用性的全托管的服务网格,支持虚 拟机、容器等多种基础设施,支持跨区域多集群服务的统一治理。以基础设施的方式 为用户提供服务流量管理、服务运行监控、服务访问安全以及服务发布能力。
ASM控制面和数据面均和开源Istio完全兼容,无缝对接华为云的企业级Kubernetes集 群服务云容器引擎CCE,可为客户提供开箱即用的上手体验。
什么是 Istio
Istio是一个提供连接、保护、控制以及观测功能的开放平台,通过提供完整的非侵入 式的微服务治理解决方案,能够很好的解决云原生服务的管理、网络连接以及安全管 理等服务网络治理问题。
随着微服务的大量应用,其构成的分布式应用架构在运维、调试和安全管理等维度变 得更加复杂,开发者需要面临更大的挑战,如:服务发现、负载均衡、故障恢复、指 标收集和监控,以及金丝雀发布、蓝绿发布、限流、访问控制、端到端认证等。
在较高的层次上,Istio有助于降低这些部署的复杂性,并减轻开发团队的压力。它是 一个完全开源的服务网格,可以透明地分层到现有的分布式应用程序上。它也是一个 平台,包括允许集成到任何日志记录平台、遥测或策略系统的API。Istio的多样化功能 使您能够成功高效地运行分布式微服务架构,并提供保护、连接和监控微服务的统一 方法。
服务网格
服务网格(Service Mesh)通常用于描述构成应用程序的微服务网络以及应用之间的 交互。它的需求包括服务发现、负载均衡、故障恢复、指标收集和监控以及通常更加 复杂的运维需求,例如蓝绿发布、金丝雀发布、限流、访问控制和端到端认证等。
为什么要使用 Istio
Istio提供了一个完整的解决方案,通过为整个服务网格提供行为洞察和操作控制来满 足微服务应用程序的多样化需求。
Kubernetes提供了部署、升级和有限的运行流量管理能力,但并不具备熔断、限流降 级、调用链治理等能力。Istio是基于Kubernetes构建的开放平台,它很好的补齐了 Kubernetes在微服务治理上的诸多能力。
产品介绍 1 什么是应用服务网格
图1-1 Istio 和 Kubernetes 的关系
想要让服务支持Istio,只需要在您的环境中部署一个特殊的Sidecar代理,使用Istio控 制平面功能配置和管理代理,拦截微服务之间的所有网络通信:
● 实现HTTP、gRPC、WebSocket和TCP流量的自动负载均衡。
● 通过丰富的路由规则、重试、故障转移和故障注入,可以对流量行为进行细粒度 控制。
● 可插入的策略层和配置API,支持访问控制、速率限制和配额。
● 对出入集群入口和出口中所有流量自动度量指标、日志记录和追踪。
● 通过强大的基于身份的验证和授权,在集群中实现安全的服务间通信。
Istio旨在实现可扩展性,满足各种部署需求。
产品介绍 1 什么是应用服务网格
产品架构
图1-2 产品架构
产品功能
灰度发布
● 基于请求内容灰度规则:支持基于请求内容灰度规则,可以配置Header、Cookie 等多种请求信息。
● 基于流量比例灰度规则:支持基于流量比例灰度规则,根据权重比例分配流量。
● 金丝雀灰度流程:提供向导方式引导用户完成金丝雀灰度流程,包括灰度版本上 线、观察灰度版本运行、配置灰度规则、观测访问情况、切分流量等。
● 蓝绿灰度流程:提供向导方式引导用户完成蓝绿灰度流程,包括灰度版本上线、
观察灰度版本运行、观测访问情况、版本切换等。
● 无人值守灰度发布:配置灰度版本、灰度规则和触发条件,自动完成灰度发布流 程。
流量治理
● 七层连接池管理:支持界面基于拓扑配置,配置最大等待HTTP请求数、最大请求 数、每个连接的最大请求数、最大重试次数。
● 四层连接池管理:支持界面基于拓扑配置,配置TCP的最大连接数、连接超时等。
● 熔断:支持界面基于拓扑配置服务熔断规则,包括实例被驱逐前的连续错误次 数、驱逐间隔时长、最小驱逐时间、最大驱逐比例等。
● 重试:支持配置HTTP重试次数等进行HTTP重试。
● 重定向:支持配置HTTP重定向到一个指定的目标地址(后台配置)。
产品介绍 1 什么是应用服务网格
● 重写:支持配置HTTP重写一个目标的地址(后台配置)。
● 流量镜像:支持将流量实时镜像到另外一个目标地址上(后台配置)。
● 请求超时:支持配置HTTP超时时间(后台配置)。
● 降级:不支持传统微服务的降级语义。
● 负载均衡:支持界面基于拓扑配置随机、轮询、最小连接数等多种负载均衡策 略。
● 会话保持:支持界面配置会话保持规则。
● 故障注入:支持配置错误和延时的故障。
安全
● 透明双向认证:支持界面基于拓扑配置服务间的双向认证。
● 细粒度访问授权:支持界面基于拓扑配置服务间的访问授权(后台API可以配置 Namespace级别授权,授权可以给一个特定的接口)。
可观察性
● 应用访问拓扑:支持网格应用访问拓扑,体现服务间依赖。
● 服务运行监控:支持服务访问信息,包括服务和服务各个版本的QPS和延时等指 标。
● 访问日志:支持收集和检索服务的访问日志。
● 调用链:支持非侵入调用链埋点,并可以通过检索调用链数据进行问题定界定 位。
多集群服务治理
扁平网络:支持多集群扁平网络数据面场景治理。
网格数据面服务框架
● Spring Cloud:支持Spring Cloud SDK开发的服务在网格上统一管理。
● Dubbo:支持Dubbo SDK开发的服务在网格上统一管理。
兼容性和扩展
● 社区版本兼容:API完全兼容Istio。
● 社区插件支持:支持Tracing、Prometheus、Kiali、Grafana。
产品介绍 1 什么是应用服务网格
2 产品优势
简单易用
无需修改任何服务代码,也无需手动安装代理,只需开启应用服务网格功能,即可实 现丰富的无侵入服务治理能力。
内置金丝雀、蓝绿灰度发布流程
● 灰度版本一键部署,流量切换一键生效。
● 灰度策略可配置,支持流量比例、请求内容(Cookie、OS、浏览器等)、源IP 等。
● 一站式健康、性能、流量监控,实现灰度发布过程量化、智能化、可视化。
策略化的智能路由与弹性流量管理
支持基于应用拓扑对服务配置负载均衡、服务路由、故障注入、熔断容错等治理规 则,并结合一站式治理系统,提供实时的、可视化的微服务流量管理;无侵入智能流 量治理,应用无需任何改造,即可进行动态的智能路由和弹性流量管理。
● 权重、内容、TCP/IP等路由规则,实现应用灵活灰度发布。
● HTTP会话保持,满足业务处理持续性诉求。
● 限流、熔断,实现服务间链路稳定、可靠。
● 网络长连接管理降低资源损耗,提升网络吞吐量。
● 服务安全认证:认证、鉴权、审计等,提供服务安全保障基石。
图形化应用全景拓扑,流量治理可视化
应用服务网格提供了可视化的流量监控,链路健康状态、异常响应、超长响应时延、
流量状态信息拓扑等一目了然。
产品介绍 2 产品优势
图2-1 流量监控
结合应用运维管理 AOM、应用性能管理 APM服务,提供了详细的微服务级流量监 控、异常响应流量报告以及调用链信息,实现更快速、更准确的问题定位。
性能增强,可靠性增强
控制面和数据面在社区版本基础上进行可靠性加固和性能优化。
多云多集群、多基础设施
提供免运维的托管控制面,提供多云多集群的全局统一的服务治理,灰度、安全和服 务运行监控能力,并支持对支持容器和VM等多种基础设施的统一服务发现和管理。
协议扩展
社区通用的HTTP、gRPC、TCP、TLS外扩展对Dubbo协议的支持。
传统 SDK 集成
提供Spring Cloud、Dubbo等传统微服务SDK的集成解决方案,传统的微服务SDK开发 的业务代码无需大的代码修改即可迁移到云原生的容器和网格运行环境上来。
产品介绍 2 产品优势
3 应用场景
3.1 服务灰度发布
适用场景
通常产品优化迭代的方式,是直接将某版本上线发布给全部用户,一旦遇到线上事故
(或BUG),对用户的影响极大,解决问题周期较长,甚至有时不得不回滚到前一版 本,严重影响了用户体验。
灰度发布是版本升级平滑过渡的一种方式,当版本升级时,使部分用户使用高版本,
其他用户继续使用低版本,待高版本稳定后,逐步扩大范围把所有用户流量都迁移到 高版本上面来。
价值
应用服务网格为应用治理提供多种灰度发布功能,在初始灰度的时候可以发现、调整 问题,以保证其影响度和整体系统的稳定,稳定高效地推动企业应用的迭代升级。
优势
● 内置灰度流程:基于细粒度的分流规则,在ASM中内置了多种典型的灰度发布流 程,提供一个灰度发布的向导,方便用户便捷的进行灰度发布实践。在一个服务 版本正常工作,正常处理流量的同时,用户可以创建一个新的灰度版本。当灰度 版本启动成功后,引导用户配置灰度规则来切分流量。
● 灵活的灰度策略:灰度规则可以是基于权重的按比例切分流量,也可以根据服务 访问的内容来将特定内容的请求发往灰度版本,对于常用的HTTP协议,如请求中 的OS、浏览器、Cookie和Header信息等,在配置了灰度规则后,可以实时的观察 到多个线上版本的运行和访问信息,从而在向导中一键式完成版本选择,将所有 流量都切换到最终选定的版本上。
● 自动化灰度:用户也可以将以上灰度发布流程进行自动化配置,从而实现无人值 守的灰度发布。即只要灰度版本运行成功就会自动触发预制的灰度策略给灰度版 本分配流量,在流量运行特定的时间后,根据预制规则自动的切换流量完成灰度 发布。
● 应用灰度:除了服务粒度的灰度发布外,用户也可以对多个服务组成的应用,在 入口服务处配置灰度规则,对一组服务使用同样的分流策略,进行灰度发布。
产品介绍 3 应用场景
● 多集群上灰度:在多集群场景下,基于ASM灵活的分流能力,用户可以选择将灰 度版本和生产版本部署在不同的集群,渐进的切分流量。这样不只是把开发和生 产环境的流量打通,可以通过流水线配合将开发和生产的流程打通。
图3-1 灰度版本发布流程
3.2 服务流量管理
适用场景
流量治理是一个非常宽泛的话题,例如:
● 动态修改服务间访问的负载均衡策略,如根据某个请求特征做会话保持。
● 同一个服务有两个版本在线,将一部分流量切到某个版本上。
● 对服务进行保护,例如限制并发连接数、限制请求数、隔离故障服务实例等。
● 动态修改服务中的内容,或者模拟一个服务运行故障等。
价值
在Istio中实现这些服务治理功能时无须修改任何应用的代码。
应用服务网格ASM基于Istio可以为管理的服务提供非侵入的流量治理能力。根据服务 的协议,提供策略化、场景化的网络连接管理。在应用拓扑上对选定服务的选定端 口,根据需要配置各种不同的治理规则。
优势
● 负载均衡:配置各种负载均衡策略,如随机、轮询、最大连接数等,还可以配置 会话保持将流量发到特定的服务实例上。
● 连接池:通过连接池管理,可以对四层协议配置TCP的最大连接数、连接超时等连 接配置,对七层协议配置最大等待HTTP请求数、最大请求数、每个连接的最大请 求数、最大重试次数等,从而防止一个服务的失败级联影响到整个应用。
● 熔断:通过熔断配置实例被驱逐前的连续错误次数、驱逐间隔时长、最小驱逐时 间、最大驱逐比例等参数,从而定期考察被访问的服务实例的工作情况,如果连 续出现访问异常,则将服务实例标记为异常并进行隔离,在一段时间内不为其分 配流量。过一段时间后,被隔离的服务实例会再次被解除隔离,尝试处理请求,
如果还不正常,则被隔离更长的时间。从而实现异常服务实例的故障隔离和自动 故障恢复。
产品介绍 3 应用场景
● 故障注入:通过对选定的服务注入中断的故障、延时故障来构造故障场景,从而 无需修改代码即可进行故障测试。
图3-2 服务流量策略
3.3 端到端的透明安全
适用场景
众所周知,将传统的单体应用拆分为一个个微服务固然带来了各种好处,包括更好的 灵活性、可伸缩性、重用性,但微服务也同样面临着特殊的安全需求,如下所示:
● 为了抵御中间人攻击,需要用到流量加密。
● 为了提供灵活的服务访问控制,需要用到TLS和细粒度访问策略。
● 为了决定哪些人在哪些时间可以做哪些事,需要用到审计工具。
面对这些需求应用服务网格提供全面的安全解决方案,包括身份验证策略,透明的TLS 加密以及授权和审计工具。
价值
● 默认的安全性:无需修改即可保证应用程序代码和架构的安全性。
● 纵深防御:与现有的安全系统结合并提供多层防御。
● 零信任网络:在不受信任的网络上构建安全解决方案。
优势
● 非侵入安全:应用服务网格是以一种安全基础设施的方式向用户提供透明的安全 能力,让不涉及安全问题的代码安全运行,让不太懂安全的人可以开发和运维安 全的服务,不用修改业务代码就能提供服务访问安全。应用服务网格提供了一个 透明的分布式安全层,并提供了底层安全的通信通道,管理服务通信的认证、授 权和加密,提供Pod到Pod、服务到服务的通信安全。开发人员在这个安全基础设 施层上只需专注于应用程序级别的安全性。
● 多集群安全:在多集群场景下ASM提供了全局的服务访问安全。多个集群的网格 共享一套根证书,对给数据面的服务实例分发密钥和证书对,并定期替换密钥证 书,根据需要撤销密钥证书。在服务间访问时,网格的数据面代理就会代理本地 服务和对端进行双向认证、通道加密。这里的双向认证的服务双方可以来自两个 不同的集群,从而做到跨集群的透明的端到端双向认证。
● 细粒度授权:在认证的基础上,就可以进行服务间的访问授权管理,可以控制某 个服务,或者服务的一个特定接口进行授权管理。如只开放给特定的一个
产品介绍 3 应用场景
Namespace下的服务,或者开放给某个特定的一个服务。源服务和目标服务可以 在不同的集群,甚至源服务的不同实例在不同的集群,目标服务的不同实例在不 同的集群。
3.4 服务运行监控
适用场景
运营容器化的基础设施带来了一系列新的挑战。我们需要增强容器、评估API端点的性 能以及识别出基础设施中的有害部分。Istio服务网格可在不修改代码的情况下实现API 增强,并且不会带来服务延迟。
价值
应用服务网格为网格内的所有服务通信生成详细的遥测,这种遥测技术提供了服务行 为的可观察性,允许运营商对其应用程序进行故障排除、维护和优化,而不会给服务 开发人员带来任何额外负担。通过应用服务网格,运营商可以全面了解被监控的服务 如何与其他服务以及组件本身进行交互。
优势
● 非侵入监控数据采集:在复杂应用的场景下,服务间的访问拓扑,调用链,监控 等都是我们对服务整体运行状况进行管理,服务访问异常时进行定位定界的必要 手段。服务网格技术的一项重要能力就是以应用非侵入的方式提供这些监控数据 的采集,用户只需关注自己的业务开发,无需额外关注监控数据的生成。
● 丰富APM能力:ASM基于网格生成服务访问数据,集成各种不同的APM服务,提 供跨集群智能的服务运行管理。包括跨集群的服务调用链、服务访问拓扑和服务 运行健康状态。通过跨集群的全局视图来关联服务间的访问状况。
● 灵活的服务运行管理:在拓扑图上通过服务的访问数据,可以直观的观察到服务 的健康状况,服务间的依赖情况。并且可以对关心的服务进行下钻,从服务级别 下钻到服务版本级别,还可以进一步下钻到服务实例级别。通过实例级别的拓扑 可以观察到配置了熔断规则后,网格如何隔离故障实例,使其逐渐接收不到流 量。并且可以在故障实例正常时,如何进行实例的故障恢复,自动给恢复的实例 重新分配流量。
3.5 传统微服务 SDK 结合
适用场景
● 传统SDK开发的服务希望使用服务网格能力。
● 希望将Istio与微服务平台集成,并以Istio为基础打造一个微服务管控中心。
价值
提供Spring Cloud、Dubbo等传统微服务SDK的集成解决方案,传统的微服务SDK开发 的业务代码无需大的修改,即可方便的迁移到云原生的容器和网格运行环境上来。
优势
● 无侵入的迁移方案:对于大量当前使用传统SDK开发的服务,当要使用服务网格 能力时,ASM提供了一套迁移业务无侵入的迁移方案。在服务调用方将Outbound
产品介绍 3 应用场景
的流量引流到网格的数据面上来。即短路原有SDK里的服务发现和负载均衡,直 接通过Kubernetes的服务名访问,使用Kubernetes的服务发现,SDK里的治理逻 辑也可逐步的被网格替换。这样服务的运行治理能力都下沉到由Kubernetes和服 务网格提供的基础设施上。
● 统一策略管理:控制面使用ASM统一的控制面做服务发现和治理规则管理,不需 要独立的注册中心和配置中心;数据面的服务发现、负载均衡和各种治理都在 ASM数据面Envoy上执行,SDK作为开发框架,回归到开发框架的本来职能,作为 一个纯净轻量的应用开发框架供用户开发代码。
● 多种基础设施:在方案中,数据面可以是容器,也可以是VM。服务可以是各种语 言,本身开发框架也没有限制。统一通过网格的控制面下发流量规则,对所有形 态的数据面进行一致的管理。
产品介绍 3 应用场景
4 约束与限制
启用应用服务网格前,您需要创建或已有一个可用集群,并确保集群版本为1.17及以 上。
旧版 ASM 与新版 ASM 区别
对于同一个网格,建议不要在旧版ASM页面和新版ASM页面交替使用,否则会有一些 数据兼容性问题。
旧版ASM与新版ASM的区别如下:
● Sidecar注入方式不同。旧版ASM创建的网格没有开启Sidecar的命名空间注入,新 版ASM创建的网格开启了Sidecar的命名空间注入,命名空间注入详见:https://
istio.io/latest/docs/setup/additional-setup/sidecar-injection/。
● Istio资源格式不同。旧版ASM创建的网格和新版ASM创建的网格管理的Istio资源
(VirtualService和DestinationRule)格式不同。
● 灰度发布数据不共享。旧版ASM创建的灰度发布和新版ASM创建的灰度发布不兼 容。
● 流量治理功能不兼容。新版ASM配置的流量治理无法在旧版ASM页面显示或配 置。
产品介绍 4 约束与限制
5 计费说明
计费项
● ASM计费单位为实例数(CCE集群中Pod数量)。
● ASM套餐价格中不包含APM服务费用,推荐购买APM服务享受全方位的服务性能 监控:APM计费模式介绍。
● ASM套餐价格不包含用户使用华为云上的资源费用(弹性云服务器、CCE集群管 理费、ELB费用等),相关链接如下:
– 集群创建费用详见:云容器引擎价格目录。
– 更多价格目录请参见:产品价格详情。
计费模式
ASM分为“按需计费”与“包年/包月”两种计费模式。
按需计费模式
按需计费模式是根据当前集群中服务网格治理的pod实例数量,按每小时扣费。
● 托管网格治理不足20实例时,按20实例数收取费用,超过20实例时,按实际实例 数收取费用。
● 托管网格仅可选择5000实例治理。
● 专有网格可选择5000实例治理,也可选择体验20实例。
包周期模式
● 包年/包月计费模式:为您提供实例套餐包,相比于按需模式更优惠;包年更优 惠,仅需支付10个月的套餐包费用即可包一整年。
表5-1 包周期收费表
网格可管理的最大实例数(Pod个数) 配置费用(元/月)
20 2,700
50 6,750
100 10,800
产品介绍 5 计费说明
网格可管理的最大实例数(Pod个数) 配置费用(元/月)
200 17,280
500 27,600
1,000 45,000
2,000 70,200
变更配置
● 计费模式更改:暂不支持更改计费模式,仅能在同种计费模式下,变更不同的产 品类型。
● 降配修改规格:如果您当前应用服务网格内治理的实例数量大于所选套餐集群管 理规模,则不能降配修改规格版本。
● 控制面扩缩容:为确保ASM控制面运行稳定,请根据ASM集群的管理规模,对 ASM控制面所在节点进行相匹配的扩缩容。
计费样例
服务网格管理规模是指服务网格内的最大可用实例数量。
表5-2 收费样例 网
格 类 型
计费 模式
网格管理 规模
收费
托 管 网 格
按需 计费
5000实例 ● 购买成功后即开始计费。
● 治理不足20实例时,按20实例数收取费用,超过20 实例时,按实际实例数收取费用。
收费样例1:集群网格内有实例5个,ASM服务收费 按照20实例 * 0.21元/小时每实例 = 4.2元/小时 收费样例2:集群网格内有实例30个,ASM服务收费 按照30实例 * 0.21元/小时每实例 = 6.3元/小时 专
有 网 格
按需
计费 20实例 ● 集群网格内实例不超过20个时,目前不收取费用。
按需
计费 5000实例 ● 购买成功后即开始计费。
收费样例1:集群网格内有实例5个,ASM服务收费 按照5实例 * 0.21元/小时每实例 = 1.05元/小时;
收费样例2:集群网格内有实例30个,ASM服务收费 按照30实例 * 0.21元/小时每实例 = 6.3元/小时。
产品介绍 5 计费说明
说明
以上价格为举例,实际价格以创建集群时的价格为准。
产品介绍 5 计费说明
6 权限管理
ASM对其他云服务有诸多依赖关系,因此在您开启IAM系统策略授权后,在ASM控制 台中的各项功能需要配置相应的服务权限后才能正常查看或使用,详细说明如下:
说明
● ASM依赖于CCE服务权限,依赖服务的权限配置均基于您已设置了IAM系统策略授权的CCE FullAccess或CCE ReadOnlyAccess策略权限,详细设置方法请参见设置集群权限。
● Tenant Guest权限在您开启IAM系统策略授权之后将不再生效,即无法再进入ASM Console 页面,也不会再有全局只读的效果。
● 1.11.7-r2及以上版本的集群,显示情况依赖于命名空间权限的设置情况,如果没有设置命名 空间权限,则无法查看集群下的资源,详细设置方法请参见设置命名空间权限。
● 如果您设置了全部命名空间的view权限,则可以查看到对应集群的全部命名空间下的资 源,但密钥(Secret)除外,密钥(Secret)需要在命名空间权限下设置admin或edit 权限才能查看。
● 如果您设置的是单一命名空间的view权限,则只能看到指定命名空间下的资源。
依赖服务的权限设置
如果IAM用户需要在ASM控制台中拥有相应功能的查看或使用权限,请确认已对该用 户所在的用户组设置了CCE Administrator、CCE FullAccess或CCE ReadOnlyAccess策 略的集群权限。
表6-1 ASM 依赖服务的角色及权限 分类 功能
列表
最低级别权限 普通操作权限 完全操作权限
依赖
服务 - ● CCE ReadOnly Access
● APM Administr ator
● CCE FullAccess+CCE 命名空间view、edit、
cluster-admin权限
● APM Administrator
● ELB Administrator
● BSS Administrator
● CCE FullAccess+CCE 命名空间view、edit 权限
● APM Administrator
● ELB Administrator
● BSS Administrator
产品介绍 6 权限管理
分类 功能 列表
最低级别权限 普通操作权限 完全操作权限
托管 网格
网格
管理 ● 查看网格 ● 查看网格
● 添加集群
● 移除集群
● 创建网格
● 删除网格
● 添加集群
● 移除集群
● 购买包周期网格 服务
列表 ● 查看服务 ● 添加服务
● 移除服务
● 添加服务
● 移除服务 服务
网关 ● 删除网关 ● 添加网关
● 删除网关
● 添加网关
● 删除网关 灰度
发布 ● 创建灰度
任务 ● 创建灰度任务
● 部署灰度版本
● 创建灰度任务
● 部署灰度版本 流量
治理 ● 配置流量
治理策略 ● 配置流量治理策略 ● 配置流量治理策略 专有
网格
网格
管理 ● 查看网格 ● 查看网格 ● 创建网格
● 删除网格 服务
列表 ● 查看服务 ● 添加服务
● 移除服务
● 添加服务
● 移除服务 服务
网关 ● 查看网关 ● 添加网关
● 删除网关
● 添加网关
● 删除网关 灰度
发布 ● 创建灰度
任务 ● 创建灰度任务
● 部署灰度版本
● 创建灰度任务
● 部署灰度版本 流量
治理 - ● 配置流量治理策略 ● 配置流量治理策略 流量
监控 ● 查看流量 ● 查看流量 ● 查看流量
产品介绍 6 权限管理
7 基本概念
工作负载
工作负载即Kubernetes对一组Pod的抽象模型,用于描述业务的运行载体,包括 Deployment、Statefulset、Job、Deamonset等。
● 无状态工作负载(即kubernetes中的“Deployments”):Pod之间完全独立、功 能相同,具有弹性伸缩、滚动升级等特性。如:nginx、wordpress。
● 有状态工作负载(即kubernetes中的“StatefulSets”):Pod之间不完全独立,
具有稳定的持久化存储和网络标示,以及有序的部署、收缩和删除等特性。如:
mysql-HA、etcd。
实例(Pod)
Pod是 Kubernetes 部署应用或服务的最小的基本单位。一个Pod 封装多个应用容器
(也可以只有一个容器)、存储资源、一个独立的网络 IP 以及管理控制容器运行方式 的策略选项。
金丝雀发布
又称灰度发布,是迭代的软件产品在生产环境安全上线的一种重要手段。在生产环境 上引一部分实际流量对一个新版本进行测试,测试新版本的性能和表现,在保证系统 整体稳定运行的前提下,尽早发现新版本在实际环境上的问题。
蓝绿发布
蓝绿发布提供了一种零宕机的部署方式。不停老版本,部署新版本进行测试,确认运 行正常后,将流量切到新版本,然后老版本同时也升级到新版本。始终有两个版本同 时在线,有问题可以快速切换。
流量治理
应用流量治理提供可视化云原生应用的网络状态监控,并实现在线的网络连接和安全 策略的管理和配置,当前支持HTTP、TCP流量下的路由规则、负载均衡、会话保持、
连接池管理、RBAC等能力。
连接池管理
配置TCP和HTTP的连接和请求池相关阈值,保护目标服务,避免对服务的过载访问。
产品介绍 7 基本概念
熔断
配置快速响应和隔离服务访问故障,防止网络和服务调用故障级联发生,限制故障影 响范围,防止故障蔓延导致系统整体性能下降或者雪崩。
调用链分析
跟踪大规模复杂的分布式系统运行服务调用关系,解决分布式服务故障定位定界问 题。
产品介绍 7 基本概念
8 规格推荐
独享节点规格推荐
应用服务网格性能与集群控制面(Master)节点资源息息相关,请您根据您的业务需 求,选择合适的独享节点规格,以提高应用服务网格的可用性。
QPS(每秒请求数)总
数 0~20000 20000~60000
节点规格 8U16G 16U32G
说明
● 其中QPS总数为集群中所有应用的所有组件QPS总和。
● 即将提供应用服务实例个数与控制面内存资源的匹配推荐。
ingressgateway 实例资源消耗参考
每个ingressgateway实例的资源消耗与连接类型、连接数量、QPS有关,可以参考以 下数据:
表8-1 长连接内存消耗
连接数量 内存消耗(MB)
1 0.055
1000 55
10000 550
产品介绍 8 规格推荐
表8-2 短连接 CPU 和内存消耗
QPS CPU消耗(m) 内存消耗(MB)
100 30 100
1000 300 100
10000 3000 150
以上数据仅供参考,具体的资源消耗和实际的业务模型有关,以实际测试结果为准。
产品介绍 8 规格推荐
9 基础版、企业版及社区开源版本对比
大类 功能项 功能点 社区开源版
本
基础版 企业版
规格 管理规模 支持最大管理实例数 - 50 5000 基础
功能
服务发现 和服务注 册
通过服务中心集群获 取服务列表、服务实 例状态自动刷新、容 器服务自动服务注 册,业务无需实现注 册逻辑、容器服务自 动服务发现,业务无 需实现发现订阅逻 辑、服务实例副本数 动态管理
√ √ √
服务多版 本
服务创建分版本管 理、支持分版本进行 监控
- √ √
支持分版本进行服务 负载管理
√ √ √
服务多端 口
支持管理多个端口的 服务、支持管理多个 端口多协议的服务
√ √ √
灰度发布支持多端口 - √ √
服务多形 态
支持容器类型的服务 后端
√ √ √
产品介绍 9 基础版、企业版及社区开源版本对比
大类 功能项 功能点 社区开源版 本
基础版 企业版
协议及语 言支持支 持
HTTP协议灰度、治 理、监控(根据协议 特征不同细节不同,
参照协议功能矩 阵)、gRPC协议灰 度、治理、监控(根 据协议特征不同细节 不同,参照协议功能 矩阵)、开发语言无 关、开发框架不限 定、业务代码无侵入
√ √ √
应用网关 支持四层协议对外访 问、支持七层协议对 外访问、支持入口路 径映射、支持网关处 TLS终止,支持配置 对外证书和秘钥
√ √ √
负载均衡 支持轮询、随机、最 小连接数以及会话保 持的LB算法,可以基 于特定的HTTP Header,或者基于 Cookie值
√ √ √
故障注入 支持注入指定时延或 特定错误的故障,支 持配置故障百分比
√ √ √
会话保持 支持根据Cookie、
User-Agent等其他 Http头部自定义字段 进行会话保持
√ √ √
熔断 支持配置最大请求 数、每连接最大请求 数、最大等待请求 数、最大重试次数等 七层请求管理;支持 配置最大连接数、连 接超时时间等四层连 接管理;支持异常点 检查、故障实例的自 动隔离和自动恢复
√ √ √
治理流量 类型
支持对服务间内部通 信流量进行治理、支 持对服务外网访问流 量(即Ingress流量)
进行治理
√ √ √
产品介绍 9 基础版、企业版及社区开源版本对比
大类 功能项 功能点 社区开源版 本
基础版 企业版
运行环境 支持
支持容器应用治理 √ √ √
认证 非侵入的双向TLS认 证和通道加密
√ √ √
授权 服务访问授权管理 √ √ √
灰度发布 支持基于浏览器、操 作系统、自定义HTTP Header、Cookie内容 等内容配置灰度分流 策略,支持基于url配 置灰度分流策略,支 持基于请求参数、流 量权重的灰度发布
√ √ √
支持金丝雀灰度发布
模板 - √ √
支持蓝绿灰度发布模
板 - √ √
支持灰度发布过程中 服务运行情况的监控 以辅助灰度发布决策
- √ √
支持灰度发布过程中 服务请求情况的监控 以辅助灰度发布决策
- √ √
灰度发布时动态配置
服务实例数 - √ √
支持灰度发布过程中
动态的流量比例监控 - √ √
应用拓扑 提供应用下服务调用
关系的全局拓扑 - √ √
提供拓扑图上各个服 务间请求数、异常请 求数等重要指标
- √ √
实时应用拓扑查看 - √ √
链路跟踪/调用 链
支持非侵入调用链埋 点
√ √ √
产品介绍 9 基础版、企业版及社区开源版本对比
大类 功能项 功能点 社区开源版 本
基础版 企业版
指标监控 提供服务实例CPU、
内存、磁盘等运行数 据监控,提供服务访 问RPS、时延等访问 指标的监控,提供对 访问指标、异常指标 的统计分析,支持对 接Prometheus等开源 Metric组件,支持通 过配置对接不同的 Metric后端
√ √ √
访问日志 访问日志非侵入采集 √ √ √
安装 支持现有、新建K8S 集群按需一键安装启 用Istio能力
- √ √
升级 支持控制面平滑升 级,不中断应用业务
√ √ √
支持数据面平滑升 级,不中断应用业务
√ √ √
插件管理 支持社区插件按需一 键安装,支持 grafana、
prometheus
- √ √
支持社区插件按需一 键安装,支持tracing 插件
- √ √
支持社区插件按需一 键安装,支持kilia插 件
- √ √
支持社区插件按需一 键安装,支持ELK插 件
- √ √
API 非托管网格提供基于 CCE接口的开放社区 兼容的流量规则配置
√ √ √
代理管理 透明流量拦截、基于 Iptables流量拦截、
支持代理自动注入、
支持Namespace级别 和工作负载级别的注 入管理
√ √ √
产品介绍 9 基础版、企业版及社区开源版本对比
大类 功能项 功能点 社区开源版 本
基础版 企业版
代理形态 支持每Pod的Sidecar 模式
√ √ √
命令行工 具
支持使用命令行进行 流量策略管理(如 istioctl、kubectl)
- √ √
企业 版高 阶能 力
多集群 支持扁平网络多集群
统一流量治理 - - √
灰度发布 支持灰度负载部署在 多集群,支持跨集群 的灰度流量
- - √
应用拓扑 应用拓扑可以下钻到 版本级别、实例级别 观测对应的服务访问 指标
- - √
提供按时段观察应用 拓扑
- - √
支持跨集群应用拓扑 - - √
链路跟踪/调用 链
支持全服务请求链的
链路追踪 - - √
支持基于时间、异 常、响应时间等指标 的检索
- - √
支持对调用详细信息
的查看,快速定位 - - √
支持跨集群的调用链 - - √
支持对接第三方调用
链系统 - - √
SpringCl
oud SpringCloud服务发现 配置修改复用网格服 务发现和能力
- - √
SpringCloud框架
ASM结合最佳实践 - - √
安装 支持控制面按照与应 用运行节点独享/共享 方式运行
- - √
产品介绍 9 基础版、企业版及社区开源版本对比
10 与其他云服务的关系
应用服务网格与周边服务的依赖关系如图10-1所示。
图10-1 应用服务网格与其他服务关系
应用服务网格与其他服务的关系
表10-1 应用服务网格与其他服务的关系
服务名称 应用服务网格与其他服务的关系 主要交互功能 云容器引擎
CCE 云容器引擎(Cloud Container Engine,
CCE)提供高可靠高性能的企业级容器应用 管理服务,支持Kubernetes社区原生应用 和工具,简化云上自动化容器运行环境搭 建。
您可以通过应用服务网格部署运行在云容器 引擎上。
购买混合集群
产品介绍 10 与其他云服务的关系
服务名称 应用服务网格与其他服务的关系 主要交互功能 弹性负载均衡
ELB 弹性负载均衡( Elastic Load Balance,
ELB)将访问流量自动分发到多台云服务 器,扩展应用系统对外的服务能力,实现更 高水平的应用容错。
您可通过弹性负载均衡从外部访问应用服务 网格。
创建共享型负载均衡 器
应用运维管理
AOM 应用运维管理(Application Operations Management,AOM )为您提供一站式立 体运维平台,实时监控应用、资源运行状 态,通过数十种指标、告警与日志关联分 析,快速锁定问题根源,保障业务顺畅运 行。
您可使用应用运维管理,对应用服务网格中 的服务和资源进行实时监控,对指标、告警 和日志进行关联分析。
云服务监控
应用性能管理
APM 应用性能管理(Application Performance Management,APM)实时监控并管理云 应用性能和故障的云服务,提供专业的分布 式应用性能分析能力,可以帮助运维人员快 速解决应用在分布式架构下的问题定位和性 能瓶颈等难题,为用户体验保驾护航。
您可使用应用性能管理,对应用服务网格中 运行的服务进行全链路拓扑管理和分布式调 用链追踪,方便您快速进行故障定位和根因 分析。
● 全链路拓扑
● 调用链
容器洞察引擎
CIE 容器洞察引擎(Container Insight
Engine,CIE)是以应用为中心、开箱即用 的新一代云原生容器运维平台,实时监控应 用及资源,采集各项指标及事件等数据分析 应用健康状态,提供告警能力以及全面、清 晰、多维度数据可视化能力。
您可使用容器洞察引擎查看服务拓扑大图、
服务流量概况、调用链等信息,并在系统业 务异常时快速定位到问题点。
服务监控
产品介绍 10 与其他云服务的关系
