K8S网关选择初始判断：NGINX还是Envoy？

　　简介：本文将比较两个主要的开源实施，从性能和成本，可靠性和安全性方面进行比较。我希望向K8S Gateway选择的公司学习。

　　作者：张提亚尼（成坦）为了避免混乱，我们首先澄清了一些关键定义：

　　本文将比较两种主要的开源实施，从性能和成本，可靠性和安全性方面进行比较。我希望从K8S Gateway选择的公司那里学习。绩效和成本MSE Yunya高级门户的吞吐量几乎是Nginx Ingress Controller的两倍。尤其是在传输小文本时，性能优势将更加明显。如下图所示，网关CPU的吞吐量使用30％：

　　编辑

　　切换到中心

　　添加图片注释，不超过140个字（可选）

　　网关规范：16个核32 g * 4节点ECS模型：ECS.C7.8XLARGE当CPU负载增加时，吞吐量差距将更加明显。下图是CPU使用何时达到70％：

　　编辑

　　切换到中心

　　添加图片注释，不超过140个字（可选）

　　在高负载下，NGINX入口控制器下降的原因是POD重新启动发生。有关详细信息，请参阅以下部分中的“可靠性”中的分析。网络安全越来越有价值，HTTPS通常在Internet上用于传输和加密。在网络的侧面，用于实现HTTPS的TLS不对称加密算法是占用CPU资源的重要头脑。在对此场景的回应中，MSE Yunyaogen Gateway使用CPU SIMD技术来实现TLS Plus TLS Plus Secret Plus Secret Plus Secret Plus秘密加速算法：

　　编辑

　　切换到中心

　　添加图片注释，不超过140个字（可选）

　　从上面的测试数据可以看出，使用TLS硬件加速度，与普通的HTTPS请求TLS握手延迟相比，使用MSE Yunyaogen Gateway，极限QPS在上述数据上增加了80％以上。资源可以达到NGINX入口控制器的吞吐量。在加速了硬件优化的HTTPS方案中，可以进一步改善吞吐量。在高负负载下，NGINX Ingress Controller将进行POD重新启动并导致POD重新启动。POD重新启动有两个主要原因：有两个主要原因：

　　这两个问题本质上是由Nginx Ingress Controller的不合理部署结构引起的。ITS控制表面（Controlller）和数据表面（NGINX）过程混合在容器中。在高负载下，数据表面过程和控制表面过程已经出现。控制表面过程负责收集健康检查和监视指标，因为没有足够的CPU引起请求的积压以引起OOM和健康结帐。这种情况极为危险，雪崩效应将导致高负载下的网关，这将严重影响业务。MSEYunyaogen门使用数据表面和控制表面的体系结构，在体系结构中具有可靠性的优势：

　　编辑

　　切换到中心

　　添加图片注释，不超过140个字（可选）

　　从上图可以看出，MSE Yunyaogen网关未部署在用户的K8S群集中，而是纯粹的监护模型。该模型在可靠性方面具有更大的优势：

　　如果您使用NGINX Ingress Controller实现高可靠的部署，则通常需要独家ECS节点，并且需要部署多个ECS节点以避免单个点失败。在这种情况下，资源成本将直接上升。此外，由于NGINX INGRESS控制器部署在用户群集中，因此无法为网关可用性提供SLA保证。SAFETYNGINX INGRESS INGRESS控制器具有CVE漏洞的一些隐藏危险。特定影响版本如下表：

　　编辑

　　切换到中心

　　添加图片注释，不超过140个字（可选）

　　从NGINX入口控制器迁移到MSE Yunyaogen网关后，所有CVE漏洞将一次修复；而且，MSE Yunyaogen门提供了平滑的升级解决方案。一旦发生了新的安全漏洞，就可以快速升级网关版本，并确保同时确保升级过程最大程度地减少对业务的影响。），比传统的WAF用户请求链接和较低的RT短，Nginx Ingress Controller可以实现良好的路由 - 级别的保护。使用成本是使用成本。阿里巴巴云网络目前正在使用2/3的防火墙体系结构。

　　编辑

　　切换到中心

　　添加图片注释，不超过140个字（可选）

　　阿里巴巴云容器服务应用市场已在MSE Yunyaogen网关上启动，该网关可用于替换默认网关组件NGINX Ingress Controller。

　　编辑

　　切换到中心

　　添加图片注释，不超过140个字（可选）

　　MSE Yunyaogen网关已大规模使用作为Ali组的网关的中间件，其强大的性能和可靠的稳定性已通过年度双重11卷进行了验证。在K8S容器服务方案中，与默认安装相比，主要具有以下优点：

　　同时，它在路由策略，灰度治理，观察等方面提供了更丰富的功能，并支持使用多种语言开发自定义扩展插头。有关详细信息，请参阅：https：//help.aliyun.com/document_detail/424833.html平滑迁移计划MSE Yunyaogen网关的部署不会直接影响原始网关流。通过DNS重量配置，它可以实现业务流量的平稳迁移。这是后端业务完全未知的。

　　编辑

　　切换到中心

　　添加图片注释，不超过140个字（可选）

　　完整的步骤如下：

　　单击此处以了解有关云原始网关产品信息的更多信息?

　　原始链接：http：//click.aliyun.com/m/1000345146/

　　本文是阿里巴巴云的原始内容，未经许可就无法重印。

　　原始：https：//juejin.cn/post/7107165656310611981