为了避免混淆,我们先对一些关键定义做一些厘清:
本文旨在从性能与成本、稳定性和安全保障三个维度,对两种开源方案进行深入对比,期望能为那些正在为 Kubernetes 网关选择方案的企业提供有益的参考。
性能和成本
MSE云原生网关的吞吐能力远超Nginx Ingress Controller,几乎是后者的两倍。特别是在处理小文本数据时,这种性能优势尤为显著。如图所示,当网关CPU使用率提升至30%时,其吞吐量对比数据一目了然。
网关规格:16 核 32 G * 4 节点
ECS 型号:ecs.c7.8xlarge
随着CPU负荷的提升,其处理能力与实际输出之间的差异将愈发显著;具体来看,当CPU的使用率攀升至70%时,这一现象在下面的图表中得到了直观展示。
在高负载状况下,Nginx Ingress Controller 的吞吐量出现了下滑,其根本原因在于 pod 的频繁重启kaiyun全站网页版登录,具体分析可参考下一节“可靠性”的相关内容。
网络安全问题日益受到关注,因此,HTTPS加密传输在互联网上得到了广泛应用。在网关层面,负责实现HTTPS的TLS非对称加密算法对CPU资源消耗较大。为了应对这一情况,MSE云原生网关采用了CPU SIMD技术,成功实现了TLS加解密算法的硬件加速处理。
根据上图的压力测试数据,我们可以观察到,在启用TLS硬件加速的情况下,与普通的HTTPS请求相比,TLS握手的延迟减少了大约一半,而每秒最大查询次数(QPS)则提高了超过80%。
根据上述数据,采用 MSE 云原生网关,仅需一半的资源投入,即可实现与 Nginx Ingress Controller 相当的吞吐量;在经过硬件加速优化的 HTTPS 场景中,其吞吐量更是能够得到进一步的提升。
可靠性
前文指出,在负载较高的情形下,Nginx Ingress Controller 存在 pod 不断重启的问题,这会引发吞吐量降低kaiyun.ccm,而造成 pod 重启的主要原因可以归纳为以下两点:
这两个问题的根源在于Nginx Ingress Controller的部署架构存在缺陷。具体来说,其控制面部分,即由Go语言编写的Controller,以及数据面部分,即Nginx进程,被错误地放置在同一容器中。在面临高负载时,这两个进程之间出现了CPU资源的争夺现象。控制面进程承担了健康状态的检查与监控数据的收集任务,然而,由于CPU资源不足,导致请求不断累积,进而引发了内存溢出(OOM)问题,同时,健康检查也出现了超时现象。
这种状况极其危险,一旦在高负荷状态下,便会触发网关的连锁反应,对业务运营带来极大影响。MSE云原生网关采用数据面与控制面分离的架构设计,在结构上具有很高的可靠性。
从图中观察可知,MSE云原生网关并非安装在用户的K8s集群之内,而是采用完全托管的运作方式。这种运作模式在保障系统可靠性方面,展现出更为显著的优势:,,。
若要确保Nginx Ingress Controller的高可靠性,通常需占用专属的ECS节点,并且还需配置多台ECS节点,以防止出现单点故障。然而,这样做会导致资源成本显著增加。此外,Nginx Ingress Controller 由于其部署在用户自建的集群内部,故而无法确保对网关可用性的服务等级协议(SLA)得到有效保障。
安全性
Nginx Ingress Controller的各个版本均存在CVE漏洞风险,具体受影响的版本信息请参考下述表格:
完成从Nginx Ingress Controller至MSE云原生网关的转换后,将一次性解决所有已知CVE漏洞问题;此外,MSE云原生网关还配备了无缝升级机制,若出现新的安全风险,能够迅速对网关版本进行更新,并且确保升级过程对业务运营的影响降至最低。
此外,MSE云原生网关集成了阿里云的Web应用防火墙(WAF)功能。与传统WAF相比,它能够缩短用户请求的处理路径,降低响应时间。同时,它还能实现比Nginx Ingress Controller更精细的路由级防护。更重要的是,其使用成本仅为目前阿里云Web应用防火墙架构的三分之二。
MSE 云原生网关
阿里云容器服务应用市场现已推出 MSE 云原生网关,该产品能够替代原本预装的网关组件,即 Nginx Ingress Controller。
MSE云原生网关在阿里集团内部已被广泛用作网关中间件,其卓越的性能和稳定的运行效果已经历了多年双十一流量的考验。
在 Kubernetes 容器服务环境中开yun体育app官网网页登录入口,相较于标准配置的 Nginx Ingress 控制器,它具备以下显著优点:
在路由策略制定、灰度控制以及监控领域,我们提供了更为充实的功能选项,同时亦支持运用多种编程语言来开发定制的插件,具体差异和详细信息,敬请查阅相关资料。
请勿在文档中修改任何内容,确保专有名词保持不变,并遵循相关指导原则。
平滑迁移方案
部署 MSE 云原生网关不会对现有网关的流量产生直接影响,而是通过调整 DNS 权重设置,确保业务流量的平稳过渡,对后端服务没有任何影响。具体的流量迁移步骤,请参考下方的示意图:
完整步骤如下:
