宣布引入了一种新的数据平面模式 Ambient Mesh,该模式取消了以 sidecar 为中心的架构,取而代之的是无 sidecar 的方法,同时保留了 Istio 的零信任安全、遥测和流量管理的核心功能。
Istio 方面认为,虽然自创立以来,Istio 架构的关键特征之一就是使用 Sidecar,但 sidecar 模式并没有在应用程序和 Istio 数据平面之间提供完美的隔离,这导致侵入性较高、资源利用不足、流量中断等问题,用户需要有一个侵入性更低、更容易使用的选择。
根据介绍,在之前的模式中,Istio 在单一的架构组件 sidecar 中实现了从基本的加密到高级的 L7 策略的所有数据平面功能。这使得 sidecar 成为一个要么全选、要么全无的组件。即使工作负载只需要简单的传输安全,管理员仍然需要付出部署和维护 sidecar 的运营成本。sidecar 对每个工作负载都有固定的运维成本,无法根据用例的复杂性进行扩展。
Ambient mesh 采用了不同的方法,它则将 Istio 的功能分成了两层。在底层,有一个安全覆盖层来处理流量的路由和零信任安全。在这之上,用户需要时可以通过启用 L7 处理来获得 Istio 的全部能力。L7 处理模式虽然比安全覆盖层更重,但仍然作为一个 ambient 组件运行,不需要对应用 pod 进行修改。
这种分层方法允许用户以增量的方式使用 Istio,从完全没有 mesh 到安全覆盖,再到完整的 L7 处理,用户可以根据需要以 namespace 为操作单位进行平滑过渡。此外,ambient 模式和 sidecar 模式下运行的工作负载可以无缝地进行交互,用户可以根据不断变化的需求混合使用不同的模式。
Istio 官方认为,Ambient mesh 将是许多网格用户未来的最佳选择,但对于那些需要专用数据平面资源的场景,例如合规要求、性能调优等,sidecar 仍然是不错的选择。Istio 将继续支持 sidecar,而且支持 sidecar 与 Ambient mesh 无缝互通。
据悉,这个新框架由 Google 和 Solo 团队共同开发。
“在很多环境中,每个人都在疯狂使用 Istio,但我们想弄清楚如何提高采用率。”Solo.io 首席执行官 Idit Levine 接受TechCrunch采访时候说道,“我们从客户那里学到的是,要让 Istio 在运营上变得更好。现在还不错,但我们想让它变得更好。我们希望性能会变得更好,与成本相关的任何事情都得到改进。”
谷歌和 Solo 分别开始做了自己的项目来解决这些问题,但很快意识到他们都在朝着同一个目标努力,随后决定整合他们的资源。
谷歌首席工程师 Louis Ryan指出,谷歌在开始开发这个项目时,非常重视新解决方案的安全问题。“服务网格很大一部分是为人们解决安全问题。我们想帮助客户解决的这种运营摩擦,我们还要确保在这样做时不会丢失系统的任何安全属性。”
关于 Ambient Mesh 的安全问题,官方也发布了博客解释:
的 Levine 同时强调,她的团队专注于 Ambient Mesh 的运营方面,包括安装、更新以及日常运营。在将 Ambient 安装到集群中时,现有应用程序会继续运行。
“采用 Service Mesh 的最大敌人一直是复杂性,”T-Mobile 技术人员 Joe Searcy 说道。“即使像 Istio 这样的项目已经在努力降低复杂性,但为大型企业管理 Service Mesh 的资源和运营开销仍然使 Service Mesh 的采用变得很麻烦。Ambient Mesh 的出现非常令人兴奋。”
Ambient Mesh 现在作为测试版提供给 Solo 用户,在该公司推出 Gloo Mesh 2.1 后,其将普遍可用。当然,它也是 Istio 开源项目的一部分。
