阿里云-李艷林-Higress-云原生網關的技術演進過程和落地實踐-1.0.pdf

《阿里云-李艷林-Higress-云原生網關的技術演進過程和落地實踐-1.0.pdf》由會員分享，可在線閱讀，更多相關《阿里云-李艷林-Higress-云原生網關的技術演進過程和落地實踐-1.0.pdf（19頁珍藏版）》請在三個皮匠報告上搜索。

1、李艷林 云原生網關的技術演進過程和落地實踐Higress 創始人個人簡介李艷林李艷林 （花名：彥林）（花名：彥林）Higress&Nacos 創始人&阿里云微服務技術負責人履歷：履歷：作品：作品：十年微服務研發經驗，參與阿里異地多活架構演進全鏈路壓測，百萬實例架構演進，全面上云，開源等關鍵戰役Nacos架構與原理電子書發起人云原生應用架構白皮書微服務部分作者0102030405傳統網關演進過程云原生網關產生背景云原生網關定義云原生網關實踐云原生網關規劃目錄購物車交易商品支付 網關（網關（TengineTengine）網元（網元（LVSLVS）2C2C網關網關2B2B網關網關入口網關入口網關內部

2、網關內部網關傳統網關演進過程流量網關IngressAPI 網關Kong微服務網關SCG/Zuul集成網關CSB云原生網關產生背景跨域互通云邊一體多端，多協議，連接穩定性要求越來越高后端從單體到微服務到FC，運行時類型多，接入點分化BrowserBrowser手機手機APPAPPIOTIOT App1App1（單體應用）（單體應用）App2App2（微服務應用）（微服務應用）App3App3（服務網格）（服務網格）FunctionFunction（ServerlessServerless）網關（流量/微服務/安全/API管理）證書管理認證登錄三方認證WAF防護限流熔斷風險預警插件市場流量調度入口

3、網關安全威脅大，穩定性要求越來越高入口網關安全威脅大，穩定性要求越來越高云下云下VPC/VPC/多云多云VPCVPC邊緣邊緣VPCVPC網關網關GitHub：https:/ 官網：http:/higress.io/HigressHigress 是標準化、高集成、易擴展、熱更新的云原生網關是標準化、高集成、易擴展、熱更新的云原生網關云原生網關定義手機手機APPAPPBrowserBrowserIOTIOT App1App1（單體應用）（單體應用）App2App2（微服務應用）（微服務應用）App3App3（服務網格）（服務網格）FunctionFunction（ServerlessServerl

4、ess）Higress CRDOpenKruiseService MeshAPI-ServerPrometheusOpenTelemetryNacosSkywalkingWAF防護認證鑒權黑白名單WASM插件LUA插件進程外插件API標準IngressGateway API 數據面控制面多 K8s 集群灰度協議轉換限流降級多注冊中心安全類插件安全類插件 內核（數據面內核（數據面+控制面）控制面）自定義插件自定義插件服務管理插件服務管理插件K8s K8s 生態生態微服務生態微服務生態 最全面實現 Ingress/Gateway API 標準 支持 Higress CRD 管理網關生命周期 支持

5、OpenKruise Rollout 灰度發布標準化標準化 首次將流量、微服務、安全三合一 支持 K8s/Nacos 等主流服務發現 支持 Sentinel 服務級限流高集成高集成 提供最豐富插件機制（WASM/LUA/進程外插件）提供最全面多語言擴展能力（Go/Rust/Cpp/AS等）支持豐富的安全、服務管理默認插件易擴展易擴展 規則變更毫秒級生效且業務無感知 路由/安全規則熱更新 WASM 插件熱更新熱更新熱更新云原生網關實踐（三合一）流量網關、微服務網關安全網關三合一統一東西南北流量深度集成 WAF Higress Higress（云原生網關）（云原生網關）K8sPodPodK8sPo

6、dPod南北向流量東西向流量流量流量網關網關 IngressIngress微服務網關微服務網關負責南北向流量調度負責東西向流量調度及服務治理WAF 流量防護K8sPodPodK8sK8s下傳統網關模式下傳統網關模式K8sK8s下新一代網關模式下新一代網關模式云原生網關實踐（統一東西南北流量）VPC 2VPC 2VPC 1VPC 1 K8s（API-Server）Nacos（業務域1）Higress云原生網關Higress云原生網關跨域互通1、網絡不通2、業務邊緣部署3、協議不同4、安全域不同5、跨region App3（服務網格）Fuction（Serverless）App2（微服務）App1

7、（單體應用）Higress云原生網關證書管理認證登錄三方認證WAF防護Higress云原生網關限流熔斷風險預警插件市場流量調度時速云使用 Higress 替換 Ngnix Ingress+Spring Cloud Gateway 的生產實踐https:/ Console Console（HigressHigress/NacosNacos/Sentinel/Dubbo-admin/Sentinel/Dubbo-admin）易用、標準化、語言無關、可擴展、可持續的架構易用、標準化、語言無關、可擴展、可持續的架構云原生網關實踐（K8s Ingress+應用多活）Higress Higress 監聽多

8、個監聽多個 K8s K8s 集群，集群，自動聚合多集群服務自動聚合多集群服務數據流網關管控流PodAPI-ServerPodAPI-ServerList-watch:Ingress/IngressClass/Service/Endpoint支持 K8s 集群內服務的自動同步支持多 K8s 集群復用一個網關實例支持 K8s Ingress 規范支持 Nginx Ingress 核心注解擴展支持 Istio CRD 擴展支持 Gateway API 標準（待發布）HigressHigress Multi-Multi-IngressIngress ControllerControllerHigres

9、sHigress K8s（AZ1）K8s（AZ2）云原生網關最佳實踐（安全防護）支持JWT/OIDC/自定義多種認證登錄機制 支持黑白名單登錄認證登錄認證數據流網關管控流DNS10.x.x.xRouterClusterWAF FilterAuth FiltersRatelimit FiltersCustom FiltersPodmTLS 雙向認證后端 mTLS 雙向認證優勢 支持應用級和服務級流量控制流量防護流量防護 更短用戶的請求鏈路 支持路由級防護能力WebWeb應用防火墻（應用防火墻（WAFWAF）支持多語言自定義擴展 支持插件熱更新自定義插件自定義插件 采用數據面+控制面分離架構，防止

10、控制面風險外溢到數據面 采用WASM擴展機制，控制操作范圍 采用Envoy內核安全規則熱更新內核優勢內核優勢登錄認證流量防護Web應用防火墻自定義安全插件云原生網關實踐（自定義擴展）借助WASM特性支持多語言擴展網關Wasm插件與開源Envoy 100%兼容，不存在鎖定提供插件市場，網關的二次擴展功能均通過插件提供給用戶按需使用插件采用熱更新機制，在沙盒中執行，對網關自身穩定性無影響安裝與配置插件數據流網關管控流Higress VPCAuth FiltersRatelimit FiltersPre-Built Filters Custom FiltersRouterClusterHigress

11、 控制臺配置Higress 控制面插件市場用戶 VPCPod網關插件編程挑戰賽https:/ dubbo/http 兩個接口，研發成本高，另一種方法是開發 http 轉 dubbo 網關研發和運維成本高優勢：符合 HTTP 到 Dubbo 協議社區標準高性能（內核支持轉換+調優）易用性（白屏/自動補全）支持從 Nacos 訂閱 Dubbo 服務支持從 Zookeeper 訂閱 Dubbo 服務HigressDubboDubbo注冊中心Nacos/ZookeeperHTTPHTTP協議協議DubboDubbo 協議協議云原生網關實踐（Soul 落地案例）Soul 云原生網關最佳實踐：https:

12、/ Ingress 穩定性、安全性風險高業務發布抖動，熬夜變更結果結果RT從500ms下降到50ms內502/499 錯誤碼降低到0可用性高于99.95%阿里云兜底安全和穩定性問題 無損上下線，服務預熱啟動數據流網關管控流Node 2Node 1PodPodSoul ACK集群-APodAPI-Server編輯Ingress資源nginx-ingress-controllernginx監聽IngressSLBHigress Ingress ControllerPodAPI-ServerList-watch:List-watch:Ingress/IngressClass/Service/Endp

13、oint編輯Ingress資源SLB一鍵平滑遷移Soul VPCSoul VPC Nginx Ingress（Pod）HigressHigress VPCVPCSoulSoul VPCVPCSoul ACK集群-A彈性網卡云原生網關實踐（阿里云生態）Github:https:/ NacosHigress云原生網關SentinelTracingPrometheusACK/ASKACK/ASK調度+彈性Dubbo/Spring-Cloud-Alibaba/Envoy服務框架+服務網格用戶容器 提供完整微服務產品矩陣 通過 MSE 解決微服務高可用 通過 ACK 解決運維成本 通過 ARMS 解決定

14、位成本 通過 AHAS 解決技術風險 通過 PTS 解決容量風險解決方案解決方案 開源、自研、商業化三位一體 開源微服務事實標準，生態完善 十多年雙十一洪峰考驗，默認高可用 阿里云成千上萬用戶的選擇，簡單易用 專業的微服務團隊保障優勢優勢用戶用戶PODPODMSEMSE 微服務引擎微服務引擎ARMSARMSMSEMSE 微服務引擎微服務引擎MSEMSE 微服務引擎微服務引擎云原生網關實踐（集成 Serverless）基于ASK輕松部署企業級Stable Diffusion：https:/ APPBrowserIOTHigress云原生網關限流自適應多租戶灰度云上VPC（統一接入：極致彈性）統一

15、負載/路由，支持多種運行時云原生網關實踐（集成 AIGC）云原生網關規劃業務數字化業務數字化（從單體到微服務到函數計算，需要統一暴露服務到北向的能力）數據智能數據智能（把數據/AI/APP能力更高效和標準方式輸出到端和生態）釘釘高德聚石塔ECS容器WEB 1.0業務架構WEB 2.0WEB 3.0單體應用微服務函數網關安全網關高防網元網關SLBALBAPI 網關云原生網關SaaS生態集成瀏覽器端移動端IOT 自適應 限流 灰度 多租ServerlessServerless時代時代 標準化 高集成 熱更新 易擴展云原生時代云原生時代 集成 限流 API管理 熱更新AI AI 時代時代加入 Higress，定義一代網關Higress 微信公眾號了解更多技術實踐案例