作者:如葑
云原生网关将流量网关、微服务网关、安全网关三合一,被誉为下一代网关,完全兼容 Kubernetes Ingress 标准 API,解决了三层网关架构独立设计、独立运维导致的资源消耗大、性能损耗大、稳定性难控、安全防护复杂等难题,相比传统网关,云原生网关在资源成本、性能、安全性和易用性上更有优势。
迁移是上线前的必备工作,如何降低迁移过程中带来的风险,是迁移工作的重中之重。本文将基于 MSE 云原生网关,介绍两类场景下的云原生网关迁移实践,第一类,是自建 Nginx Ingress 迁移到 MSE,我们提供了不更改原有 SLB,便可实现不停机迁移的能力,控制迁移风险,将对此将展开详细介绍;第二类是传统的微服务网关迁移到 MSE,我们通过提供详细的操作文档来说明。
自建 Nginx Ingress 迁移到 MSE 云原生网关
为何要迁移
MSE 云原生网关已经兼容了 Nginx Ingress 注解 80%+的使用场景,用户无需修改已有 Ingress 配置,即可无缝迁移到 MSE 云原生网关,且相比 Nginx Ingress 原生注解,提供了功能更丰富的扩展注解,总结如下:
尤其在安全领域今年 K8s Ingress Nginx 项目接连披露了三个高危安全漏洞(CVE-2021-25745, CVE-2021-25746, CVE-2021-25748),该项目也在近期宣布将停止接收新功能 PR,专注修复并提升稳定性。Ingress 网关作为处于 Internet 网络边界的基础软件,又被大规模使用,势必会成为一些攻击者的理想目标。一旦防线攻破,其代价是惨痛的,可以参考同样是网络边界的基础组件,OpenSSL 的 Heartbleed 心血漏洞殷鉴不远。更多关于Nginx Ingress 架构安全缺陷请参考《Ingress Nginx 接连披露高危安全漏洞,是否有更好的选择?》。
关于 MSE 云原生网关增强的扩展注解请参考《MSE Ingress高级用法》:https://help.aliyun.com/document_detail/440053.ht
如何低风险迁移?
从 Nginx Ingress 迁移到 MSE 云原生网关的过程中,为帮助用户了解各迁移阶段,我们梳理了各个阶段的简要说明,且考虑到在用户迁移后能仍然能够复用已有的 SLB,降低迁移成本,MSE 云原生网关也提供了“SLB 迁移”功能,让用户能够方便的将流量分进程迁移到 MSE 云原生网关。
接下来,我们以图示方式,简单说明迁移的各个阶段。
- 迁移阶段总览
从上图中可以看到,虽然迁移分成了 5 个阶段,但真正在“迁移”阶段,用户只需要执行一步操作即可完成 Nginx Ingress 配置到 MSE 云原生网关的迁移,非常简便快捷。
在介绍完整体的迁移阶段,接下来我们会进一步详细介绍具体的迁移操作。
- 迁移分解
从 Nginx Ingress 迁移到 MSE 云原生网关的具体流程图如下:
下面对各个步骤展开进一步的说明。
- 迁移准备
首先,在容器服务 ACK 的应用市场中安装 mse-ingress-controller 到 Nginx Ingress 所在集群,如下:
其次,调用 mse-ingress-controller 的 HTTP 接口 check-nginx-ingress 做迁移前的注解兼容性校验,具体的调用命令如下:
kubectl run -i --rm --restart=Never checker --image=curlimages/curl -- -s "ack-mse-ingress-controller.mse-ingress-controller.svc:8081/check-nginx-ingress?ingress-class=mse&namespace=mse-ingress-controller"
参数说明:ack-mse-ingress-controller.mse-ingress-controller.svc 格式为${svcName}.${svcNamespace}.svc。svcNamespace 为 Mse Ingress Controller 所处的命名空间
ingress-class,指定所有关联该 IngressClass 的 Ingress 资源
- 值为空,或者未指定该参数,则包含集群中所有的Ingress资源
- 值为nginx,则包含集群中关联IngressClass为nginx或未指定IngressClass的Ingress资源
- 值为自定义值,则包含集群中关联IngressClass为指定值的Ingress资源
namespace,指定哪些命名空间下的 Ingress 资源
- 值为空,或者未指定该参数,则包含集群中所有命名空间下的Ingress资源
- 值为自定义值,则包含集群中指定命名空间下的Ingress资源,仅支持指定单个命名空间
返回结果参数说明:1. isAllSupported:所指的 Ingress 资源是否全部兼容2. totalNumber:所指的 Ingress 资源的总数量
3. supportedSet:完全兼容的 Ingress 集合,其子字段 namespacedName 格式为${namespace}/${name}
4. unSupportedSet:不完全兼容的 Ingress 集合,其子字段 reason 指出不兼容的原因。
返回结果样例:
{
"isAllSupported": false,
"totalNumber": 3,
"supportedSet": [
{
"namespacedName": "mse-ingress-controller/ingress"
},
}
],
"unSupportedSet": [
{
"namespacedName": "default/test-3",
"reason": "default backend is not supported, "
},
{
"namespacedName": "mse-ingress-controller/test-3",
"reason": "annotation nginx.ingress.kubernetes.io/auth-tls-pass-certificate-to-upstream is not supported, tls missing secret, "
}
]
}- 迁移
MseIngressConfig 资源是 MSE 云原生网关提供的用于管理网关实例生命周期的 K8s CRD,创建 MseIngressConfig 资源后,mse-ingress-controller 会监听该资源,并调用 MSE OpenAPI 创建网关实例,网关实例的全局配置来自于 MseIngressConfig 资源中的描述定义;在网关实例创建成功后会监听目标 K8s 集群的 Ingress 资源,自动完成 Nginx Ingress Annotation 的转换。下面以最小配置创建网关为例进行说明。
通过 MseIngressConfig 来创建网关的步骤:
1. 复制并保存以下配置文件到 mse-ingress-test.yaml,以下配置例子是所需的最小配置,仅需提供一个交换机 ID。
更多的配置项说明参考《通过 MSE Ingress 访问容器服务》:https://help.aliyun.com/document_detail/438003.html
注意:交换机所属的 VPC 必须与目标集群使用的 VPC 保持一致
说明:配置 ingressclass 时会自动创建 IngressClass 资源并与网关实例进行关联,用户也可手工创建 IngressClass
apiVersion: mse.alibabacloud.com/v1alpha1
kind: MseIngressConfig
metadata:
name: test
spec:
ingress:
local:
ingressclass: mse
common:
network:
vSwitches:
- "vsw-xxxx"
- 执行以下命令,创建 MseIngressConfig
kubectl apply -f mse-ingress-test.yaml
- 查询 MseIngressConfig 的状态,并等待状态为 Listenning,表示云原生网关创建成功且处于监听集群中 Ingress 资源的运行状态。
kubectl get MseIngressConfig test
输出结果
NAME STATUS AGE
test Listening 3m15s
状态说明:
- Pending:表示云原生网关正在创建中,需等待 3 min 左右
- Running:表示云原生网关创建成功,并处于运行状态
- Listening:表示云原生处于运行状态,并监听集群中 Ingress 资源
- Failed:表示云原生网关处于非法状态,可以查看 Status 字段中 Message 来进一步明确原因
- 测试
路由测试可能每个用户的方法不尽相同,这里推荐使用本地绑 host 到 MSE 云原生网关 SLB 的方式测试路由正确性。例如当前有如下 Ingress 配置:
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: ingress
spec:
ingressClassName: mse
rules:
- host: "foo.bar.com"
http:
paths:
- backend:
service:
name: go-httpbin
port:
number: 80
path: /version
pathType: Prefix
绑定 host 测试如下:
curl http://foo.bar.com/version --resolve foo.bar.com:80:114.55.243.37
输出结果
version:v1
- 切流
首先,需要在 SLB 控制台将需要迁移的 SLB 的调度算法改为“加权轮询”(对于从未设置过权重值的用户修改调度算法对流量没有任何影响,如您已经使用了“加权轮询”算法请忽略该操作),如下:
其次,在 MSE 云原生网关控制台中使用“SLB迁移”功能,将网关节点添加到用户 SLB 的虚拟服务器组中,并设置新节点总的权重值,具体操作是在 MSE 云原生网关控制台中单击基本概览,在页面的网关入口区域,单击 SLB 迁移,设置流量迁移权重值,首次编辑建议权重值设置为小于 5,即将 5% 以内的流量迁移到 MSE 云原生网关,如下:
关于“SLB 迁移”的更详细操作步骤,请参考使用文档《SLB 迁移》。
最后,在 MSE 云原生网关控制台中逐步增大权重值直至 100 即可完成最终的切流。具体操作是在 MSE 云原生网关控制台中单击基本概览,在页面的网关入口区域,选择需要编辑的 SLB 迁移配置,单击目标配置操作列下方的编辑按钮,在弹出页面中设置权重值即可。
微服务网关迁移到 MSE 云原生网关
在 K8s 重塑运维体系的云时代,Spring Cloud Gateway 和 Zuul 欠缺发现容器服务的能力,性能上不如 Nginx Ingress,可观测、安全等方面都需要二次开发再集成,在上云、混合云等场景中可能出现 Ingress 和 Spring Cloud Gateway 和 Zuul 的两层网络架构,这不仅多了层网络和资源消耗,也徒增了运维成本。以下将介绍如何将 Spring Cloud Gateway 和 Zuul 迁移到云原生网关。
- 迁移 Spring Cloud Gateway:https://help.aliyun.com/document_detail/375387.html
- 迁移 Zuul:https://help.aliyun.com/document_detail/375389.html
以上就是两类常见场景下的云原生网关迁移实践,也欢迎了解更多关于 MSE 云原生网关的特性与介绍。
MSE 云原生网关、注册配置中心首购 8 折优惠,首购 1 年及以上 7 折优惠。
扫码了解更多产品信息~
