Rufeng: Alibaba Cloud Native Gateway Envoy Gatewayの実践

最近、「Envoy Gateway が登場」という記事を読み、Envoy Gateway に基づく Envoy の強力なスケーラビリティと使いやすさに深く感銘を受けました。 Kubernetes アーキテクチャの下で、Envoy はゲートウェイの位置付けと機能を再定義します。これはクラウドネイティブ ゲートウェイとして高く評価されており、次世代ゲートウェイとも呼ばれています。 Alibaba は早くも 2018 年に次世代ゲートウェイの調査を開始しました。この記事では、この調査プロセスについて簡単に紹介します。

アリババは2018年に早くもクラウドネイティブ移行のプロセスを開始し、コンテナとサービスメッシュをコアテクノロジーとして進化させました。 Alibaba と Ant Group は、この技術の進化を通じてミドルウェア技術スタックを統合し、企業がビジネス開発にさらに注力し、基盤となる分散の複雑さを隠蔽できるようにしました。サービスメッシュの重要な方向性として、次世代ゲートウェイの検討を開始しました。

1 Envoy Gateway 1.0 (インキュベーション)

クラウド移行プロセス中に、アプリケーション アーキテクチャ テクノロジ スタックを統合したいと考えました。しかし、Ant と Alibaba の RPC プロトコルは異なっていたため、相互運用性リンクが長く、プロトコル変換の消費量が多く、Tengine Reload アクセスが損失しやすく (高速アクセスには継続的なリロードが必要で、損失が高くなります。リロードの影響を制御するには、リロードの回数を減らす必要があり、アクセス サービスが有効になるまでに時間がかかります)、Nginx カーネル サービスのガバナンス機能が弱くなりました。したがって、将来を見据えたゲートウェイ ソリューションが必要です。

当時、私たちはテクノロジーの進化について 2 つのアイデアを持っていました。1 つは Tengine をベースに最適化すること、もう 1 つは Envoy カーネルをベースにゲートウェイ シナリオを拡張することでした。これらのシナリオを解決するための Tengine のアーキテクチャは大きく変わることを考慮すると、ゲートウェイの 2 番目のオプションである Envoy は、上記の問題点を簡単に解決できます。そのため、私たちは次世代のゲートウェイ進化の方向性として Envoy カーネルを選択しました。 CNCF Ingress プロバイダーの統計によると、Envoy は最も急速に成長しており、コミュニティの受け入れ度も高いです。

2020年5月よりEnvoy Gateway 1.0の研究開発を開始しました。同年、ダブル11プロモーションを成功裏にサポートし、中核かつ重要なビジネスリンクとなりました。

Envoy Gateway 1.0 は主に東西トラフィックの RPC 相互通信に使用されます。アーキテクチャの展開は次のとおりです。

この期間中、私たちは未来を見据えてDubbo3.0のトリプルプロトコルを進化させ、Envoyを基盤としてゲートウェイのサービス管理機能を進化させ、その年のダブルイレブン地方生活キャンペーン期間中の数十万TPSのトラフィックピークをサポートしました。

2 Envoy Gateway 2.0（成長フェーズ）

Alibaba のクラウド移行キャンペーンが進むにつれて、オンクラウドとオフクラウドのビジネス相互接続など、ますます多くのシナリオが私たちにアプローチしてきています。 Tengine のサービス管理が弱いため、Alibaba 内の多数の 2 層マイクロサービス ゲートウェイを統合する必要があります。したがって、ビジネスの観点からは、Tengine + Envoy の 2 層ゲートウェイを進化させて、南北ゲートウェイ トラフィックを処理する必要があります。 2020 年 12 月に、2.0 アーキテクチャの進化を開始しました。次の図は、Youku を例に進化のプロセスを示しています。

Envoy Gateway 2.0 の南北アーキテクチャ図は次のとおりです。

2 層アーキテクチャでは、Envoy ゲートウェイがマイクロサービス ゲートウェイとマイクロサービス ガバナンスのニーズをより多く引き受け、Tengine トラフィック ゲートウェイと統合されます。このプロセスでは、サービス ガバナンスと高可用性機能が向上し、Youku 内の複数のレイヤー 2 マイクロサービス ゲートウェイの統合がサポートされ、パフォーマンスと運用および保守の効率が大幅に向上しました。

2.0 ステージでは、Envoy Gateway が東西および南北のグローバル トラフィックのディスパッチと配信を完了します。東西方向は、ビジネスドメイン間の Ant RPC 相互通信をサポートするだけでなく、DingTalk Documents、Alibaba Video Cloud、DAMO Academy の Dian Xiaomi、Smart Digital Human など、ハイブリッド クラウドのオンクラウドおよびオフクラウド RPC 相互通信シナリオにも拡張されます。 2.0 段階のビジネス図は次のとおりです (オンクラウドとオフクラウドの相互通信シナリオ、DingTalk を例に挙げます)。

Envoy Gateway 事業の急速な拡大に伴い、Youku との継続的な協力において、誰もが同じ疑問を抱きました。Tengine Gateway (トラフィック ゲートウェイとして) + Envoy Gateway (マイクロサービス ゲートウェイとして) の 2 層ゲートウェイを統合して Envoy Gateway を使用できるかどうかです。答えは「はい」です。私たちは協力して、次のように新しいアーキテクチャ図を設計しました。

このソリューションの進化により、特に Kubernetes が主流となっているコンテナ化のコンテキストにおいて、ゲートウェイの新しい開発トレンドが見られるようになりました。 Kubernetes クラスターの内外のネットワークは自然に分離されているため、ユーザーには、高いパフォーマンスとセキュリティ、そして強力なサービス ガバナンス機能の両方を考慮したエントリ ゲートウェイも必要です。これは、3.0 に向けて進むための良い蓄積にもなります。

3 Envoy Gateway 3.0 (成熟)

Alibaba の多数のシナリオの洗練により、Envoy ゲートウェイのパフォーマンスと安定性は大きく向上しました。 2021年、アリババはクラウド製品でグループのビジネスをサポートするミドルウェアトリニティキャンペーンを開始しました。したがって、MSE クラウドネイティブ ゲートウェイを通じてグループにサービスを提供するための成熟したテクノロジーも育成していきます。

今回、Envoy を利用してトラフィック ゲートウェイ + マイクロサービス ゲートウェイを 1 つに統合し、さらにハードウェア アクセラレーション、カーネル最適化などの手段を使用して、パフォーマンスを損なうことなくゲートウェイのリソース展開コストを継続的に最適化します。

技術的なアーキテクチャによって技術的な利点が決まります。 Envoy の自然なスケーラビリティは、豊富なセキュリティ認証とマイクロサービス ガバナンス機能を統合することもでき、次のようなクラウド ネイティブ ゲートウェイの高度な集約の利点を反映しています。

• ゲートウェイは従来のクラスタIPを経由せずにサービスPodIPに直接接続するため、RTが低くなります。
• HTTPS ハードウェア アクセラレーションをサポートし、QPS が 80% 増加
• Wasmプラグインマーケット、プラグインのホットロードをサポートし、多言語カスタムプラグインのニーズを満たします。
• 自社開発のマルチイングレス コントローラ コンポーネントは、複数のクラスタ イングレスをサポートし、同じゲートウェイ インスタンスを再利用します。
• Kubernetes Ingress仕様とネイティブに互換性があり、Nginx Ingressコア関数アノテーションのシームレスな変換をサポートします。

4. 地域社会に貢献する

Envoy Gateway を進化させる過程で、dubbo_proxy、wasm、cryptomb など、多くのコミュニティの問題も発生しました。今後もコミュニティへの還元を続け、さらなる貢献を行い、コミュニティと協力して次世代のゲートウェイを構築していきます。

著者について

Alibaba Cloud の研究開発エンジニアである Geng Leilei (Rufeng) は、2020 年 5 月から 3.0 のリリースまで Envoy Gateway の構築を担当してきました。彼女は技術リーダーとして進化のプロセス全体を主導し、クラウドネイティブゲートウェイの分野で豊富な経験を持っています。