Cómo el Modo Ambient de ASM Revoluciona la Gestión del Tráfico Saliente en Kubernetes
El modo Ambient de ASM simplifica notablemente la gestión del tráfico saliente en Kubernetes mediante proxies Waypoint, reduciendo drásticamente la complejidad de configuración. En entornos de Kubernetes, gestionar eficientemente el tráfico saliente de las aplicaciones es un tema crucial que requiere atención. Los controles de seguridad básicos pueden implementarse a través de grupos de seguridad en la nube o políticas de red nativas de Kubernetes, pero estos métodos generalmente operan a nivel de red (Capa 3 o 4), lo que significa que imponen el control de acceso basado en direcciones IP y puertos.
Sin embargo, estas prácticas tradicionales son insuficientes cuando se requiere una gestión más granular. Por ejemplo, no son adecuadas para restringir el acceso de una aplicación a solo ciertas rutas de una API externa o para monitorear el rendimiento del acceso a servicios externos, como el QPS y la latencia. Para lograr un control de tráfico más fino a nivel de Capa 7 (L7), un número creciente de empresas están recurriendo a mallas de servicios para la gestión del tráfico saliente. A pesar de la potencia del modo Sidecar, su configuración para la gestión del tráfico saliente es relativamente compleja.
Desafíos de la Configuración en Modo Sidecar
En el modo Sidecar, para permitir que los servicios dentro del clúster accedan de manera segura a un dominio externo a través de un gateway de salida, generalmente es necesario configurar manualmente múltiples recursos, como ServiceEntry, Gateway, VirtualService y DestinationRule, asegurándose de su correcta asociación. Este proceso no solo requiere un cierto nivel de conocimiento sobre Istio, sino que también es propenso a errores debido a omisiones en la configuración.
Para simplificar este proceso, ASM ha introducido ASMEgressTrafficPolicy, un recurso de política diseñado para empaquetar configuraciones complejas. Sin embargo, aún implica un costo de comprensión para los usuarios.
Modo Ambient: Una Nueva Perspectiva en la Gestión del Tráfico Saliente
El modo Ambient presentado por ASM ofrece una solución más sencilla. Aprovechando el componente Waypoint, el modo Ambient transforma fundamentalmente la situación y simplifica significativamente el proceso de gestión del tráfico saliente. En este modo, los pasos clave para gestionar el tráfico saliente se reducen drásticamente:
– Definir ServiceEntry: Al igual que en el modo Sidecar, primero se debe crear un recurso ServiceEntry y registrar el servicio externo (por ejemplo, api.externalservice.com) que se va a acceder en la malla de servicios. Este paso permite que la malla reconozca este objetivo externo.
– Habilitar el proxy Waypoint: A continuación, simplemente puede añadir una etiqueta al ServiceEntry que represente un servicio externo para que su tráfico sea gestionado por el proxy Waypoint.
Con estos dos pasos simples, se establece la cadena de control para el tráfico saliente a nivel L7. En lugar de configurar manualmente un gateway de salida especializado o reglas de enrutamiento complejas, los proxies Waypoint asumen automáticamente las tareas que anteriormente requerían una combinación de múltiples recursos.
Comparación de Configuración: Simplicidad Esencial
Para ilustrar la diferencia en la complejidad de configuración entre el modo Sidecar y el modo Ambient, consideremos la gestión de un servicio HTTP externo común:
Configuración en modo Sidecar:
yaml
apiVersion: networking.istio.io/v1beta1
kind: ServiceEntry
metadata:
name: external-svc-http
spec:
hosts:
– aliyun.com
location: MESH_EXTERNAL
ports:
– number: 80
name: http
protocol: HTTP
resolution: DNS
Configuración en modo Ambient:
yaml
apiVersion: networking.istio.io/v1beta1
kind: ServiceEntry
metadata:
name: external-svc-http
labels:
istio.io/use-waypoint: waypoint
spec:
hosts:
– aliyun.com
location: MESH_EXTERNAL
ports:
– number: 80
name: http
protocol: HTTP
resolution: DNS
Con solo una etiqueta, la lógica de enrutamiento complejo del tráfico saliente se delega al Waypoint, logrando la máxima simplificación de la configuración.
Beneficios Prácticos del Modo Ambient
Este flujo de trabajo simplificado proporciona beneficios tangibles para la gestión del tráfico saliente:
– Simplicidad en la configuración: Tareas complejas que anteriormente requerían la configuración de múltiples recursos asociados se han simplificado a «una». Esto reduce considerablemente la barrera de uso de la malla de servicios y disminuye la sobrecarga operativa.
– Sin compromisos en la funcionalidad: A pesar de la configuración simplificada, las robustas capacidades de control L7 se mantienen intactas. Se pueden utilizar políticas como AuthorizationPolicy, DestinationRule y VirtualService para controlar con precisión qué servicios internos pueden acceder a qué rutas de las APIs externas.
– Observabilidad integral: Todo el tráfico saliente enrutado a través del proxy Waypoint se registra automáticamente. Se pueden obtener métricas clave, como QPS, latencia P99 y tasa de éxito de solicitudes para el acceso a servicios externos sin modificar ningún código de aplicación.
El modo Ambient de ASM facilita la gestión del tráfico saliente L7 complejo. Al delegar los detalles de configuración engorrosos a través del proxy Waypoint, permite a los equipos de desarrollo y operaciones concentrarse más en implementar las políticas de seguridad y observabilidad requeridas por el negocio en lugar de construir la infraestructura subyacente. ASM ha respaldado oficialmente el modo Ambient en la versión 1.25. Los usuarios están invitados a actualizar su experiencia y entrar juntos en la era minimalista de la malla de servicios. Para más información, consulte la [Documentación Oficial de ASM](https://www.alibabacloud.com/help/en/asm/product-overview/choose-ambient-mode-or-sidecar-mode).
Nota: Este contenido original ha sido modificado con IA y revisado por un especialista.
