查看原文
其他

谷歌与Solo.io宣布将Ambient Mesh引入Istio

李鹏 分布式实验室 2022-12-29

谷歌和Solo.io日前公布了Istio服务网格的最新形态。这套命名为“Ambient Mesh”的框架取消了Istio原本以sidecar为核心的架构,转而使用无sidecar方法。这一调整有望改善服务安全水平,并通过削减资源需求缓和技术使用难度、降低运行门槛。

对于众多希望或已经转向云原生的企业来说,服务网格已经成为业务体系中的关键基础设施。成百上千微服务运行在数量不等的容器当中,这就要求企业以可靠的方法跟踪网络中运行的内容,并确保所有服务间均拥有顺畅稳定的连接。毕竟容器的生命周期较短,单靠简单的IP地址并不足以解决问题。虽然市面上已经有不少有竞争力的服务网格方案,但谷歌最近捐赠给CNCF的Istio已有成为行业标准之势。

新的Ambient Mesh框架将是一项可选功能。在之前的一次联合采访中,谷歌首席工程师Louis Ryan和Solo.io公司CEO兼创始人Idit Levine曾经提到,预计会有很多新用户选择使用Ambient Mesh。

Levine提到,“在大量业务环境中,人们都在广泛使用Istio。但我们还希望进一步提高这项技术的普及率。客户告诉我们,要想更进一步,Istio的运营端必须再完善一些。所以我们决定提高性能水平,并尽可能优化Istio的使用成本。”

谷歌和Solo分别用自己的内部项目做出了探索了努力,并很快发现双方的目标是一致的,所以决定将资源整合起来。Ryan强调称,谷歌最初开发这个项目时,就非常重视Istio的安全问题。

他解释道,“我们对自己的开发工作非常慎重。除非能够切实做到,否则我们绝不敢做虚妄的宣传。所以请大家相信,谷歌一直非常重视Istio的安全问题。服务网格本身的一大作用,就是为大家分担安全压力,解决这个运营层面的大难题。当然,是分担而不是粉饰,我们会确保Istio的介入不会对系统安全造成损害。”

他还指出,Solo的加入为Istio项目带来了运营视角,Ambient Mesh新框架正是由双方团队共同打造。

Levine和Ryan都强调,这是Istio演进中的一大步。系统的运作方式不受影响,而且在短期内将一直保持稳定。如果愿意,用户甚至可以将当前sidecar方法与无sidecar Ambient Mesh搭配使用。

Ryan还表示,“我们已经对安全性做了大量内部评估,也希望能从社区多多收集反馈意见。如果大家已经熟悉了现有安全模型和sidecar,接下来可能确实需要点时间来适应Ambient Mesh的安全设计。我坚信Ambient的安全水平已经达到甚至超越了sidecar,但社区肯定需要一段过渡期,我们会认真倾听社区给出的反馈。

Levine指出,她的团队主要负责Ambient Mesh的运营侧,包括网格安装、更新乃至日常运行。Solo的方案已经得到早期用户的肯定,初步展示大获好评。“客户们对新的运营方式和可用性都很满意。Ambient降低了网格的安装与升级难度,这也正是我们的目标所在——打造一套对应用程序透明的服务网格。无论是部署资源还是删除网格,都不会对应用程序本体造成任何影响。我认为这就是Ambient的意义所在。”

而且,在集群中直接安装Ambient,也不会对现有应用程序造成任何影响。正如Ryan所说,整个过程也就是将应用程序声明为网格的一部分,仅此而已。不需要重新启动,也无需注入任何sidecar。甚至就连Istio的更新都不会影响到应用程序的正常运行。

T-Mobile公司技术专家Joe Searcy坦言,“服务网格普及道路上的大敌,一直都是复杂性。即使是像Istio这样致力于降低复杂性的项目,也难免会给大型企业带来新的负担,特别是服务网格的资源与运营开销问题。Ambient Mesh做出了令人期待的承诺,有望为应用程序带来更高的透明度、更少的移动部件、更简单的调用形式,进而节约下可观的计算资源与工程时间……总之,我迫不及待想要用用看。

Ambient Mesh目前已经向Solo客户提供测试版。Ambient Mesh正式版将内置于后续发布的Gloo Mesh 2.1,并同期登陆Istio开源项目。


推荐阅读:



现在Kubernetes已经成了容器编排事实上的标准,会Kubernetes现在已经成了很多公司招聘后台工程师与架构师的基本要求。为了满足在职人员短时间内提升Kubernetes技能的要求,我们特别组织了本次Kubernetes线下培训。3天封闭式培训,15人小班授课,考不过免费复训,10月21日在上海开课,扫描下方二维码咨询详情。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存