您好,登錄后才能下訂單哦!
翻譯 | 宋松
原文 | https://medium.com/solo-io/linkerd-or-istio-6fcd2aad6e42
本周我開始寫一篇比較Istio和Linked的帖子,并且告訴我自己:我將用一個(gè)表格來比較兩者的特性,這將會(huì)很棒,人們會(huì)愛上它,這個(gè)世界將會(huì)幸福幾秒鐘。我向自己承諾這將是一個(gè)公平的比較,沒有任何偏見。雖然比較的表格仍然存在,但我轉(zhuǎn)移了文章的終點(diǎn):目標(biāo)不再是哪個(gè)更好,而是哪個(gè)更適合你、你的應(yīng)用程序和你的組織。
在職業(yè)生涯的一段時(shí)間中,我曾擔(dān)任某公司的售前架構(gòu)師,記得有很多次我們被要求填寫產(chǎn)品比較表。我經(jīng)常需要運(yùn)用創(chuàng)造力來確保產(chǎn)品看起來很好,幾乎不惜一切代價(jià)避免表格中令人不愉快的“不支持”的框??紤]到誠(chéng)信工作,但是有時(shí)候不得不這樣做。
站在評(píng)價(jià)者的角度來看,我理解他們(希望)的目的是進(jìn)行公平的比較,在這種程度上,對(duì)比的表格似乎是一種可靠的方式。我們知道一個(gè)項(xiàng)目的成功可以預(yù)測(cè)職業(yè)的發(fā)展,我們都喜歡這一點(diǎn)。但問題是:如果評(píng)估的最終目標(biāo)是產(chǎn)品對(duì)比表格,而不是能讓企業(yè)更有競(jìng)爭(zhēng)力的高質(zhì)量軟件,那么這個(gè)評(píng)估的最后將只是一些“表格”的工作。
產(chǎn)品比較并不是最終目的,通過比較知道哪些對(duì)你的用例最好才是最終目的。因此讓我們通過七個(gè)方面來深入研究Service Mesh,主要是以下幾個(gè)方面:
流量管理
安全
安裝/配置
支持的環(huán)境
監(jiān)測(cè)
策略管理
對(duì)于上述七個(gè)方面中的每一個(gè),我都將發(fā)表個(gè)人觀點(diǎn),希望我的觀點(diǎn)能夠幫你做出更接近于簡(jiǎn)潔的決策。
需要強(qiáng)調(diào)的是,Istio和Linkerd的區(qū)別在于數(shù)據(jù)平面使用了兩種不同的代理技術(shù)。
Istio使用Envoy作為其代理。Envoy是C++編寫的,最初是由Lyft構(gòu)建,以便以非Kubernetes方式促進(jìn)微服務(wù)的流量管理。許多公司已經(jīng)將Envoy擴(kuò)展為Kubernetes的ingress技術(shù)。
Linkerd(v2)使用的是一種名為L(zhǎng)inkerd-proxy的專用服務(wù)網(wǎng)格代理。這個(gè)代理是使用Rust編寫的,與該代理一起,許多低級(jí)代理(網(wǎng)絡(luò)客戶機(jī)與服務(wù)器)功能在另一個(gè)也是由rust編寫名為Tower的項(xiàng)目中實(shí)現(xiàn)。Tower依賴于Tokio,Tokio是一個(gè)由Rust編寫的事件驅(qū)動(dòng)非阻塞I/O庫(kù)。如果你和我一樣欣賞統(tǒng)計(jì)學(xué),那么Rust已經(jīng)連續(xù)四年(2016、2017、2018、2019)一直是Stack-overflow最受歡迎的語(yǔ)言。
Istio是構(gòu)建與Envoy之上的因此在流量管理方面它是占據(jù)優(yōu)勢(shì)的,Envoy已經(jīng)包含了重要的IMHO功能,比如子集路由。用戶仍然可以使用Linkerd實(shí)現(xiàn)金絲雀/藍(lán)綠/a-b發(fā)布,但必須依靠單獨(dú)的Kubernetes服務(wù)和能夠分發(fā)流量的集群ingress技術(shù),比如Gloo(gloo.solo.io)。
Linkerd團(tuán)隊(duì)在最近一次社區(qū)會(huì)議上公開表示,計(jì)劃在未來的版本中實(shí)現(xiàn)更加高級(jí)的L7流量管理功能。
關(guān)于安全,我正在考慮保護(hù)通信通道的能力。Istio和Linkerd兩者都提供了合理的安全保護(hù)功能。
Istio和Linkerd都依賴于外部根證書,因此兩者都能保證進(jìn)行安全通信。這聽起來像是一個(gè)很好的周末項(xiàng)目,你覺得呢?
鑒于Istio可以安裝在許多不同的平臺(tái)上,安裝說明可能會(huì)存在很大的不同。在寫這篇文章的時(shí)候,關(guān)于Linkerd的安裝,我對(duì)一些預(yù)先需要安裝功能的檢查印象很深刻。有很多次我在共享的Kubernetes集群中安裝一些Linkerd功能時(shí),我不清楚我是否擁有必要的權(quán)限。對(duì)于Linkerd,pre-check(或check-pre)檢查你是否擁有在安裝過程中創(chuàng)建Kubernetes所需資源的權(quán)限。
對(duì)于是選擇kubernetes或者是非Kubernetes安裝,這是一個(gè)很直接的問題,Linkerd2是用基于kubernetes方式構(gòu)建的,至少目前是這樣的,而Istio收到了一下其他的公司的貢獻(xiàn),希望istio能在非kubernetes環(huán)境中運(yùn)行。
考慮多集群部署,客觀來說對(duì)于它的解釋可能很棘手。從技術(shù)上來講,共享根CA證書的多個(gè)不同集群(具有不同的控制平面)上的服務(wù)之間可以有效的通信。
Istio擴(kuò)展了上述概念,因?yàn)樗С植煌樾蜗碌亩鄠€(gè)集群:
單個(gè)控制平面即可滿足不同集群之間網(wǎng)絡(luò)連接和pod之間IP尋址。
在上述兩種情況下,包含控制平面的集群將成為mesh管理的SPOF(single point of failure)。在我們這個(gè)可以在同一區(qū)域下的多個(gè)可用區(qū)域上部署單個(gè)集群的世界中,這將不再是一個(gè)問題,但仍然不能完全忽略它。
可以說Istio的管理控制臺(tái)是一個(gè)缺失的部分。 Kiali Observability Console確實(shí)解決了一些管理員對(duì)service mesh所需的一些需求。
Kiali(κι?λι)是一個(gè)希臘詞,意思是望遠(yuǎn)鏡,從Kiali的網(wǎng)站上可以清楚的看到它打算成為一個(gè)可監(jiān)測(cè)性的控制臺(tái),而不僅僅是一個(gè)Service Mesh管理控制臺(tái)。
Linkerd控制臺(tái)還不完整,但是社區(qū)決定也要構(gòu)建一個(gè)管理儀表盤的目標(biāo)是一個(gè)優(yōu)勢(shì)。
Linkerd未能提供請(qǐng)求追蹤。想要以非侵入方式查看請(qǐng)求追蹤跨度必須等待Linkerd實(shí)現(xiàn)該功能。Istio利用了Envoy支持添加追蹤headers的事實(shí)。
應(yīng)該提醒用戶,應(yīng)用程序需要準(zhǔn)備好轉(zhuǎn)發(fā)跟蹤headers,如果沒有準(zhǔn)備,代理可以生成新的跟蹤IDS,這可能會(huì)無意中將單個(gè)請(qǐng)求分割為多個(gè)請(qǐng)求跨度使請(qǐng)求之間失去必要的關(guān)聯(lián)性。大多數(shù)開發(fā)框架都有轉(zhuǎn)發(fā)headers的選項(xiàng),而無需用戶編寫大量的代碼。
Istio的愛好者,請(qǐng)歡欣鼓舞!Istio的策略管理能力令人印象深刻。
該項(xiàng)目構(gòu)建了一個(gè)可擴(kuò)展的策略管理機(jī)制,允許其他技術(shù)可從多個(gè)方面與Istio集成,請(qǐng)參閱下面的“template”列表以及一些集成的提供者。你可以認(rèn)為“template”是一種集成。
為了突出其他策略類型,Istio也可適用于rating和limiting以及提供對(duì)主體身份驗(yàn)證的開箱即用支持。Linkerd用戶依賴集群ingress控制器提供rating和limiting。
對(duì)于主體身份驗(yàn)證,我一直認(rèn)為它應(yīng)該委托給應(yīng)用程序。請(qǐng)記住#4分布式計(jì)算的謬論:網(wǎng)絡(luò)是安全的。對(duì)此持零信任策略。
Istio令人印象深刻的策略管理能力是需要代價(jià)的。考慮到他的廣泛性,管理眾多的選項(xiàng)增加了本已昂貴的運(yùn)營(yíng)成本。
Istio(Mixer)的策略管理組件也增加了顯著的性能,我們將在下面詳細(xì)討論。
對(duì)比表在哪里?幸運(yùn)的是,就在最近,發(fā)布了兩個(gè)很棒的博客,對(duì)Istio和Linkerd的性能進(jìn)行了比較,我在下面引用了其中一些結(jié)論:
對(duì)于這種綜合工作負(fù)載,Istio的Envoy代理使用比Linkerd多50%的CPU。Linkerd的控制平面使用了一小部分Istio,特別是在考慮“core”組件時(shí)。
——Michael Kipper?—?Benchmarking Istio & Linkerd CPU(https://medium.com/@ihcsim/linkerd-2-0-and-istio-performance-benchmark-df290101c2bb)
And…
在本實(shí)驗(yàn)中,與基線設(shè)置相比,Linkerd2-meshed設(shè)置和Istio-meshed設(shè)置都經(jīng)歷了更高的延遲和更低的吞吐量。在Istio-meshed設(shè)置中產(chǎn)生的延遲高于在Linkerd2-meshed設(shè)置中觀察到的延遲。Linkerd2-Meshed設(shè)置能夠處理比Istio-Meshed設(shè)置更高的HTTP和GRPC ping吞吐量。
——Ivan Sim?—?Linkerd 2.0 and Istio Performance Benchmark(https://medium.com/@ihcsim/linkerd-2-0-and-istio-performance-benchmark-df290101c2bb)
意識(shí)到Mixer所增加的處理時(shí)間,Istio團(tuán)隊(duì)目前正致力于重寫Mixer組件:“Mixer將用c++重新并直接嵌入到Envoy中。將不再有任何獨(dú)立的Mixer服務(wù)。這將提高性能并降低運(yùn)營(yíng)復(fù)雜性?!?/p>
—Source Mixer V2 Design Document(https://docs.google.com/document/d/1QKmtem5jU_2F3Lh6SqLp0IuPb80_70J7aJEYu4_gS-s/edit)
是的,Istio比Linkerd2.3有多的特性。這是很好的,更多的特性意味著處理更復(fù)雜和邊緣用例的能力增強(qiáng)。這沒什么神奇的,更多的特性通常意味著更多的配置,潛在的資源利用率和運(yùn)營(yíng)成本的增加,所有這里有三條建議:
如果你不知道80%最常見的工作負(fù)載是什么樣子的,那么你將很難選擇服務(wù)網(wǎng)格。如果你不知道這些數(shù)字,你的企業(yè)可能還沒有準(zhǔn)備好進(jìn)行服務(wù)網(wǎng)格的使用。如果你只是在探索,那就另當(dāng)別論了。
如果你想計(jì)劃解決所有可能的當(dāng)前和未來的cases(通常叫做comparison spreadsheet),那么你將會(huì)有一段糟糕的時(shí)間。你很可能會(huì)過度獲取,這對(duì)你購(gòu)買的任何軟件都是如此。
試試Istio和Linkerd! Solo SuperGloo是最簡(jiǎn)單的方式。
我使用SuperGloo是因?yàn)樗浅:?jiǎn)單,可以快速啟動(dòng)兩個(gè)服務(wù)網(wǎng)格,而我?guī)缀醪恍枰鋈魏闻?。我們并沒有在生產(chǎn)中使用它,但是它非常適合這樣的任務(wù)。每個(gè)網(wǎng)格實(shí)際上是兩個(gè)命令。
——Michael Kipper?—?Benchmarking Istio & Linkerd CPU?—?Shopify(https://medium.com/@michael_87395/benchmarking-istio-linkerd-cpu-c36287e32781)。
在Solo.io(https://www.solo.io/),我們希望為你的服務(wù)網(wǎng)格采用之旅提供便利。 Solo SuperGloo我們的服務(wù)Mesh orchestrator可以通過直觀簡(jiǎn)單的命令安裝和管理流行的服務(wù)網(wǎng)格技術(shù)。 正如Michael上面所指出的那樣,安裝Istio或Linkerd會(huì)成為一個(gè)單行活動(dòng)。 SuperGloo并不止于此,它在不同的服務(wù)網(wǎng)格技術(shù)之上提供了一個(gè)抽象,允許對(duì)多個(gè)網(wǎng)格進(jìn)行一致且可重復(fù)的操作。 SuperGloo是完全開源的,you can try it right now(https://supergloo.solo.io/)。
本文由博云研究院原創(chuàng)翻譯發(fā)表,轉(zhuǎn)載請(qǐng)注明出處。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。