关于阿里云:两类常见场景下的云原生网关迁移实践

作者：如葑

云原生网关将流量网关、微服务网关、平安网关三合一，被誉为下一代网关，齐全兼容 Kubernetes Ingress 规范 API，解决了三层网关架构独立设计、独立运维导致的资源耗费大、性能损耗大、稳定性难控、平安防护简单等难题，相比传统网关，云原生网关在资源老本、性能、安全性和易用性上更有劣势。

迁徙是上线前的必备工作，如何升高迁徙过程中带来的危险，是迁徙工作的重中之重。本文将基于 MSE 云原生网关，介绍两类场景下的云原生网关迁徙实际，第一类，是自建 Nginx Ingress 迁徙到 MSE，咱们提供了不更改原有 SLB，便可实现不停机迁徙的能力，管制迁徙危险，将对此将开展具体介绍；第二类是传统的微服务网关迁徙到 MSE，咱们通过提供具体的操作文档来阐明。

自建 Nginx Ingress 迁徙到 MSE 云原生网关

为何要迁徙

MSE 云原生网关曾经兼容了 Nginx Ingress 注解 80%+ 的应用场景，用户无需批改已有 Ingress 配置，即可无缝迁徙到 MSE 云原生网关，且相比 Nginx Ingress 原生注解，提供了性能更丰盛的扩大注解，总结如下：

尤其在平安畛域往年 K8s Ingress Nginx 我的项目接连披露了三个高危安全漏洞（CVE-2021-25745, CVE-2021-25746, CVE-2021-25748），该我的项目也在近期发表将进行接管新性能 PR，专一修复并晋升稳定性。Ingress 网关作为处于 Internet 网络边界的根底软件，又被大规模应用，势必会成为一些攻击者的现实指标。一旦防线攻破，其代价是惨痛的，能够参考同样是网络边界的根底组件，OpenSSL 的 Heartbleed 心血破绽殷鉴不远。更多对于 Nginx Ingress 架构平安缺点请参考《Ingress Nginx 接连披露高危安全漏洞，是否有更好的抉择？》。

对于 MSE 云原生网关加强的扩大注解请参考《MSE Ingress 高级用法》：https://help.aliyun.com/docum…

如何低危险迁徙？

从 Nginx Ingress 迁徙到 MSE 云原生网关的过程中，为帮忙用户理解各迁徙阶段，咱们梳理了各个阶段的简要阐明，且思考到在用户迁徙后能依然可能复用已有的 SLB，升高迁徙老本，MSE 云原生网关也提供了“SLB 迁徙”性能，让用户可能不便的将流量分过程迁徙到 MSE 云原生网关。

接下来，咱们以图示形式，简略阐明迁徙的各个阶段。

• 迁徙阶段总览

从上图中能够看到，尽管迁徙分成了 5 个阶段，但真正在“迁徙”阶段，用户只须要执行一步操作即可实现 Nginx Ingress 配置到 MSE 云原生网关的迁徙，十分简便快捷。

在介绍完整体的迁徙阶段，接下来咱们会进一步具体介绍具体的迁徙操作。

• 迁徙合成

从 Nginx Ingress 迁徙到 MSE 云原生网关的具体流程图如下：

上面对各个步骤开展进一步的阐明。

• 迁徙筹备

首先，在容器服务 ACK 的利用市场中装置 mse-ingress-controller 到 Nginx Ingress 所在集群，如下：

其次，调用 mse-ingress-controller 的 HTTP 接口 check-nginx-ingress 做迁徙前的注解兼容性校验，具体的调用命令如下：

kubectl run -i --rm --restart=Never checker --image=curlimages/curl -- -s "ack-mse-ingress-controller.mse-ingress-controller.svc:8081/check-nginx-ingress?ingress-class=mse&namespace=mse-ingress-controller"

参数阐明：ack-mse-ingress-controller.mse-ingress-controller.svc 格局为 ${svcName}.${svcNamespace}.svc。svcNamespace 为 Mse Ingress Controller 所处的命名空间

ingress-class，指定所有关联该 IngressClass 的 Ingress 资源

1. 1. 值为空，或者未指定该参数，则蕴含集群中所有的 Ingress 资源
   2. 值为 nginx，则蕴含集群中关联 IngressClass 为 nginx 或未指定 IngressClass 的 Ingress 资源
   3. 值为自定义值，则蕴含集群中关联 IngressClass 为指定值的 Ingress 资源

namespace，指定哪些命名空间下的 Ingress 资源

1. 1. 值为空，或者未指定该参数，则蕴含集群中所有命名空间下的 Ingress 资源
   2. 值为自定义值，则蕴含集群中指定命名空间下的 Ingress 资源，仅反对指定单个命名空间

返回后果参数阐明：

1. isAllSupported：所指的 Ingress 资源是否全副兼容
2. totalNumber：所指的 Ingress 资源的总数量
3. supportedSet：齐全兼容的 Ingress 汇合，其子字段 namespacedName 格局为 ${namespace}/${name}
4. unSupportedSet：不齐全兼容的 Ingress 汇合，其子字段 reason 指出不兼容的起因。

返回后果样例：

{
 "isAllSupported": false,
 "totalNumber": 3,
 "supportedSet": [
  {"namespacedName": "mse-ingress-controller/ingress"},
  }
 ],
 "unSupportedSet": [
  {
   "namespacedName": "default/test-3",
   "reason": "default backend is not supported,"
  },
  {
   "namespacedName": "mse-ingress-controller/test-3",
   "reason": "annotation nginx.ingress.kubernetes.io/auth-tls-pass-certificate-to-upstream is not supported, tls missing secret,"
  }
 ]
}

• 迁徙

MseIngressConfig 资源是 MSE 云原生网关提供的用于治理网关实例生命周期的 K8s CRD，创立 MseIngressConfig 资源后，mse-ingress-controller 会监听该资源，并调用 MSE OpenAPI 创立网关实例，网关实例的全局配置来自于 MseIngressConfig 资源中的形容定义；在网关实例创立胜利后会监听指标 K8s 集群的 Ingress 资源，主动实现 Nginx Ingress Annotation 的转换。上面以最小配置创立网关为例进行阐明。

通过 MseIngressConfig 来创立网关的步骤：

1. 复制并保留以下配置文件到 mse-ingress-test.yaml，以下配置例子是所需的最小配置，仅需提供一个交换机 ID。

更多的配置项阐明参考《通过 MSE Ingress 拜访容器服务》：https://help.aliyun.com/docum…

留神：交换机所属的 VPC 必须与指标集群应用的 VPC 保持一致

阐明：配置 ingressclass 时会主动创立 IngressClass 资源并与网关实例进行关联，用户也可手工创立 IngressClass

apiVersion: mse.alibabacloud.com/v1alpha1
kind: MseIngressConfig
metadata:
  name: test
spec:
  ingress:
    local:
      ingressclass: mse
  common:
    network:
      vSwitches:
        - "vsw-xxxx"

2. 执行以下命令，创立 MseIngressConfig

kubectl apply -f mse-ingress-test.yaml

3. 查问 MseIngressConfig 的状态，并期待状态为 Listenning，示意云原生网关创立胜利且处于监听集群中 Ingress 资源的运行状态。

kubectl get MseIngressConfig test

输入后果
NAME   STATUS      AGE
test   Listening   3m15s

状态阐明：

• Pending：示意云原生网关正在创立中，需期待 3 min 左右
• Running：示意云原生网关创立胜利，并处于运行状态
• Listening：示意云原生处于运行状态，并监听集群中 Ingress 资源
• Failed：示意云原生网关处于非法状态，能够查看 Status 字段中 Message 来进一步明确起因 
• 测试

路由测试可能每个用户的办法不尽相同，这里举荐应用本地绑 host 到 MSE 云原生网关 SLB 的形式测试路由正确性。例如以后有如下 Ingress 配置：

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: ingress
spec:
  ingressClassName: mse
  rules:
  - host: "foo.bar.com"
    http:
      paths:
      - backend:
          service:
            name: go-httpbin
            port:
              number: 80
        path: /version
        pathType: Prefix

绑定 host 测试如下：

curl http://foo.bar.com/version --resolve foo.bar.com:80:114.55.243.37

输入后果
version:v1

• 切流

首先，须要在 SLB 控制台将须要迁徙的 SLB 的调度算法改为“加权轮询”（对于从未设置过权重值的用户批改调度算法对流量没有任何影响，如您曾经应用了“加权轮询”算法请疏忽该操作），如下：

其次，在 MSE 云原生网关控制台中应用“SLB 迁徙”性能，将网关节点增加到用户 SLB 的虚构服务器组中，并设置新节点总的权重值，具体操作是在 MSE 云原生网关控制台中单击根本概览，在页面的网关入口区域，单击 SLB 迁徙，设置流量迁徙权重值，首次编辑倡议权重值设置为小于 5，行将 5% 以内的流量迁徙到 MSE 云原生网关，如下：

对于“SLB 迁徙”的更具体操作步骤，请参考应用文档《SLB 迁徙》。

https://help.aliyun.com/docum…

最初，在 MSE 云原生网关控制台中逐渐增大权重值直至 100 即可实现最终的切流。具体操作是在 MSE 云原生网关控制台中单击根本概览，在页面的网关入口区域，抉择须要编辑的 SLB 迁徙配置，单击指标配置操作列下方的编辑按钮，在弹出页面中设置权重值即可。

微服务网关迁徙到 MSE 云原生网关

在 K8s 重塑运维体系的云时代，Spring Cloud Gateway 和 Zuul 欠缺发现容器服务的能力，性能上不如 Nginx Ingress，可观测、平安等方面都须要二次开发再集成，在上云、混合云等场景中可能呈现 Ingress 和 Spring Cloud Gateway 和 Zuul 的两层网络架构，这不仅多了层网络和资源耗费，也徒增了运维老本。以下将介绍如何将 Spring Cloud Gateway 和 Zuul 迁徙到云原生网关。

• 迁徙 Spring Cloud Gateway：https://help.aliyun.com/docum…
• 迁徙 Zuul：https://help.aliyun.com/docum… 

以上就是两类常见场景下的云原生网关迁徙实际，也欢送理解更多对于 MSE 云原生网关的个性与介绍。

MSE 云原生网关、注册配置核心首购 8 折优惠，首购 1 年及以上 7 折优惠。

扫码理解更多产品信息~