ISTIO, LINKERD UND CO. IM VERGLEICH: WELCHES SERVICE MESH PASST ZU MIR?

Transcript

1. Istio, Linkerd und Co. im Vergleich Welches Service Mesh passt

   zu mir? Jörg Müller @joergm 7.9.2020 Mainz / JAX 2020

2. Jörg Müller Principal Consultant innoQ Deutschland GmbH [email protected] @joergm -

   architecture, development, DevOps - focus on platform & infrastructure

3. Was ist ein Service Mesh?

4. Der Trend zu Microservices Monolith Micro- service Micro- service Micro-

   service Micro- service Micro- service 4 @joergm @INNOQ

5. Microservices sind verteilte Systeme Microservice Timeout Retry Routing und Discovery

   Verschlüsselung Microservice Authentifizierung / Autorisierung Circuit Breaker Metriken Logs 5 @joergm @INNOQ

6. Libraries können helfen Microservice Microservice Lib Lib 6 @joergm @INNOQ

7. Kubernetes Pod Pod Kubernetes hilft auch Microservice Microservice Service 7

   @joergm @INNOQ

8. Service Mesh Ansatz Microservice Proxy Microservice Proxy Control Plane Metriken

   Konfiguration 8 @joergm @INNOQ

9. Infrastruktur-Services Service Mesh Architektur Microservice 1 Microservice 2 Proxy Proxy

   Control Plane App Kubernetes API Anwendung Data Plane Control Plane Infrastruktur @joergm @INNOQ 9

10. Service Mesh Features

11. Service Mesh Features Observability Resilience Routing Security 11 @joergm @INNOQ

12. Service Mesh Features Observability Resilience Routing Security 12 @joergm @INNOQ

13. Routing Instance A Instance B Load Balancing Instance A Instance

    B Pfad-basiertes Routing /a /b Instance A Instance B Blue/Green Deployment Instance A Instance B A/B-Testing 50% 50% Instance A Instance B Canary Releasing Berlin Welt 13 @joergm @INNOQ

14. Routing mit Service Mesh Microservice 1 Microservice 2 Proxy Proxy

    Control Plane App Anwendung Data Plane Control Plane Routing- Regeln 14 @joergm @INNOQ

15. Service Mesh Features Observability Resilience Routing Security 15 @joergm @INNOQ

16. Resilience mit Service Mesh Fault Injection Delay Injection Service 1

    Service 2 Proxy Proxy Timeout Retry Service 1 Service 2 Proxy Proxy 4s 16 Circuit Breaker @joergm @INNOQ

17. Service Mesh Features Observability Resilience Routing Security 17 @joergm @INNOQ

18. Security mit Service Mesh Service 1 Service 2 Proxy Proxy

    "Service 1" Authentifizierung mit mTLS Autorisierung Service 1 Service 2 Proxy Proxy GET /api GET / Autorisierungs-Regel TLS-Zertifikat 18 @joergm @INNOQ

19. Security mit Service Mesh Microservice 1 Microservice 2 Proxy Proxy

    Anwendung Data Plane Control Plane Control Plane App Autorisierungs- Regeln TLS-Zertifikat 19 @joergm @INNOQ

20. Service Mesh Features Observability Resilience Routing Security 20 @joergm @INNOQ

21. Monitoring mit Service Mesh Metriken zum Netzwerkverkehr generieren -> Latenz

    / Antwortzeit -> HTTP Status Codes -> Anfragen pro Sekunde Metriken an ein Monitoring- System senden Metriken mit Dashboards aufbereiten 21 @joergm @INNOQ

22. Metriken in Linkerd 2 22 @joergm @INNOQ

23. Tracing •Beantwortet... •Welcher Aufruf erzeugt welchen Folgeaufruf? •Welchen Anteil hat

    jeder Teilaufruf an der Latenz? •Wo ist ein Fehler entstanden? •Umsetzung: Tracing- Backend B C A 3s Latenz #42 #42 #42 Trace von Aufruf #42 A B C 23 @joergm @INNOQ

24. Tracing mit Service Mesh Tracing-Header an ausgehende Anfragen kopieren Tracing-Daten

    an ein Tracing-Backend senden Tracing-Daten in Dashboard aufbereiten 24 @joergm @INNOQ

25. Ist ein Service Mesh überhaupt sinnvoll?

26. Oft lautet die Antwort: Nein

27. Service Mesh oder nicht? Wie viele Services? wenige viele(>~10) nur

    wenn bestimmte Features anders schwer zu realisieren sind (siehe weiter unten) 27 @joergm @INNOQ

28. Service Mesh oder nicht? Vielfalt der Technologien? niedrig Hoch Libraries

    können ein gute Alternative sein 28 @joergm @INNOQ

29. Service Mesh oder nicht? Überwiegend synchrone Kommunikation? Nein Ja Wahrscheinlich

    bringt ein Service Mesh wenig Mehrwert 29 @joergm @INNOQ

30. Service Mesh oder nicht? Ist Kubernetes im Einsatz? Nein Ja

    Die Auswahl der Lösungen wird erheblich eingeschränkt 30 @joergm @INNOQ

31. Service Mesh oder nicht? Wie dynamisch ändern sich Services? (Versionen

    & Skalierung) selten häufig Statische Konfiguration kann ausreichend sein & Service Meshes sollten vermutlich nicht der Fokus sein 31 @joergm @INNOQ

32. Service Mesh oder nicht? Werden bestimmte Features benötigt? Ja •

    mTLS • Tracing • Routing • spezielle Rollouts 32 @joergm @INNOQ

33. Aktuelle Implementierungen

34. Service Mesh Implementierungen Istio 34 Open Service Mesh @joergm @INNOQ

35. 35 @joergm @INNOQ

36. Eine Implementierung wählen

37. Vorhandene Umgebung • Welche Infrastruktur habe ich im Einsatz? •

    Gibt es präferierte Cloudanbieter? • Welches Wissen ist vorhanden? • Wie flexibel wollen wir sein? 37 @joergm @INNOQ

38. Kubernetes nur auf Kubernetes auch ohne Kubernetes Istio Open Service

    Mesh 38 @joergm @INNOQ

39. Service Mesh Interface Support voll ohne Istio Open Service Mesh

    teilweise 39 @joergm @INNOQ

40. Cloud Anbieter • Der Einfluss ist gering, so lange Kubernetes

    zum Einsatz kommt • Viele AWS Services (insbesondere Fargate/ECS) können ein Indikator für AWS App Mesh sein • Google Cloud hat sehr guten Istio Support • Microsoft Azure wird sich vermutlich in Richtung OSM bewegen 40 @joergm @INNOQ

41. Der Proxy Envoy anderer Proxy Istio Open Service Mesh 41

    @joergm @INNOQ

42. Welche Features benötigt? • Welche Probleme sollen durch das Service

    Mesh gelöst werden? • Gibt es Must-Haves? • Welcher Aufwand soll betrieben werden? 42 @joergm @INNOQ

43. Unterschiede zwischen den Meshes Observability Resilience Routing Security 43 @joergm

    @INNOQ

44. Proxy & Ingress 44 @joergm @INNOQ

45. Routing Service oder Pfad-basiert Service A Service B Service A

    HEADER xyz POST /order GET /invoice/42 Service B Istio Open Service Mesh 45 @joergm @INNOQ Service C Service D

46. Unterschiede zwischen den Meshes Observability Resilience Routing Security 46 @joergm

    @INNOQ

47. Resilience Unterschiede • Circuit Breaking funktioniert nur bei Istio, Consul

    und Maesh • Retrys und Timeouts funktionieren nur teilweise Pfad- Basiert (bei manchen auch garnicht) 47 @joergm @INNOQ Timeout Retry Service 1 Service 2 Proxy Proxy 4s Circuit Breaker

48. Fault/Delay Injection • Unterstützung für Fault und Delay-Injection sind eher

    selten 48 @joergm @INNOQ Fault Injection Delay Injection Service 1 Service 2 Proxy Proxy

49. Unterschiede zwischen den Meshes Observability Resilience Routing Security 49 @joergm

    @INNOQ

50. Security Unterschiede • Abgesehen von Maesh ist mTLS generell unterstützt

    • gleiches gilt für Zertifikatsmanagement 50 @joergm @INNOQ Service 1 Service 2 Proxy Proxy "Service 1" Authentifizierung mit mTLS

51. Security Unterschiede • Autorisierung wird nur von Istio, Consul, Kuma

    und OSM unterstützt 51 @joergm @INNOQ Autorisierung Service 1 Service 2 Proxy Proxy GET /api GET /

52. Unterschiede zwischen den Meshes Observability Resilience Routing Security 52 @joergm

    @INNOQ

53. Observability Unterschiede • Prometheus / Grafana vorkonfiguriert? (alle außer Consul

    und AWS App Mesh) • Access Logs • Tap bei Linkerd • Logs spezifisch nach Routen/HTTP Endpoints 53 @joergm @INNOQ

54. Tracing Backends 54 @joergm @INNOQ Istio Open Service Mesh Jaeger

    Zipkin Solarwinds All supporting OpenCensus All supporting OpenTracing AWS X-Ray Datadog Jaeger Zipkin Honeycomb OpenTracing Jaeger Zipkin

55. Produktionsreife Sehr neu Spitzengruppe Istio Open Service Mesh Verfolgerfeld 55

    @joergm @INNOQ

56. Usability • Achtung: Ab hier viel Subjektivität! • Wie komplex

    ist die Installation? • Fügt sich die Bedienung in vorhandene Systeme ein? • Kommen alle Beteiligten gut damit zurecht? 56 @joergm @INNOQ

57. Installation • Eigenes Binary (Istio, Linkerd, OSM, Kuma) • Helm

    Chart (Maesh, Consul) • Operator (AWS App Mesh, Istio alternativ) 57 @joergm @INNOQ brew install linkerd linkerd check —pre linkerd install | kubectl apply -f linkerd check

58. Komplexität der Konfiguration 58 @joergm @INNOQ Newsservice A Newsservice B

    Beispiel Traffic Split 90% 10%

59. Traffic Split Istio apiVersion: networking.istio.io/ v1alpha3 kind: DestinationRule metadata: name:

    newsservice-istio spec: host: newsservice subsets: - name: vA labels: version: "A" - name: vB labels: version: "B" apiVersion: networking.istio.io/ v1alpha3 kind: VirtualService metadata: name: newsservice-istio spec: hosts: - newsservice http: - route: - destination: host: newsservice subset: vA weight: 90 - destination: host: newsservice subset: vB weight: 10 59 @joergm @INNOQ

60. Traffic Split SMI apiVersion: split.smi-spec.io/v1alpha1 kind: TrafficSplit metadata: name: newsservice-smi

    spec: service: newsservice backends: - service: newsservice-a weight: 90 - service: newsservice-b weight: 10 60 @joergm @INNOQ

61. Weitere Themen • Dashboards (inkl. Monitoring) • Debugging • Performance

    und Ressourcenverbrauch 61 @joergm @INNOQ

62. Fazit

63. Schritte zum Service Mesh • Ist ein Service Mesh der

    sinnvolle nächste Schritt? • Welche Rahmenbedingungen existieren? • Gibt es notwendige Features, die Kandidaten ausschließen? • Passt das Service Mesh subjektiv? 63 @joergm @INNOQ

64. Mehr Mesh • Artikel Service Meshes im Vergleich: Features und

    Usability • Artikel Brauchen asynchrone Microservices und Self-Contained-Systems ein Service Mesh? • Artikel Alle 11 Minuten verliebt sich ein Microservice in Linkerd • Service Mesh Vergleich auf servicemesh.es • Podcast zu Service Meshes • Tutorial von Linkerd • Tutorial von Istio 64 @joergm @INNOQ

65. innoQ Deutschland GmbH innoQ Schweiz GmbH www.innoq.com Danke! Fragen? Jörg

    Müller [email protected] @joergm Icons made by srip, Smashicons, Nikita Golubev, Freepik, surang and Darius Dan from www.flaticon.com and licensed by CC 3.0 BY Kostenloser Service Mesh Primer Auf leanpub.com/service-mesh-primer Krischerstr. 100 40789 Monheim am Rhein Germany +49 2173 3366-0 Ohlauer Str. 43 10999 Berlin Germany +49 2173 3366-0 Ludwigstr. 180E 63067 Offenbach Germany +49 2173 3366-0 Kreuzstr. 16 80331 München Germany +49 2173 3366-0 Hermannstrasse 13 20095 Hamburg Germany +49 2173 3366-0 Gewerbestr. 11 CH-6330 Cham Switzerland +41 41 743 0116