云原生微服务网关构建：Ambassador篇

2023-12-06 02:34:15

云原生微服务网关：揭秘 Ambassador

在当今蓬勃发展的云原生环境中，微服务架构已成为构建敏捷、可扩展且弹性的应用程序的基石。API网关作为微服务架构的关键组件，负责处理流量、提供安全性和实现可观察性。在众多网关产品中，Ambassador 以其轻量级、可扩展性和丰富的功能而脱颖而出。

什么是 Ambassador？

Ambassador 是一款基于 Envoy 代理的强大 API 网关，专为 Kubernetes 环境量身打造。它提供了一系列全面且易于使用的功能，包括：

反向代理： 将传入流量路由到后端微服务
流量管理： 实施流量控制、熔断器和负载均衡策略
安全性： 提供 TLS 加密、身份验证和授权机制
可观察性： 记录流量指标和日志，用于监控和故障排除

Ambassador 的架构概述

Ambassador 的架构包含以下核心组件：

Ambassador 代理： 在 Kubernetes 集群中运行的无状态 Pod，充当实际的 API 网关。
控制平面： 管理和配置 Ambassador 代理的 Kubernetes Deployment。
自定义资源定义 (CRD)： 用于通过声明性配置定义和管理网关规则和策略的 Kubernetes 资源。

如何使用 Ambassador？

部署 Ambassador

通过 Helm Chart 在 Kubernetes 集群中轻松部署 Ambassador：

helm install ambassador datawire/ambassador

创建网关

定义一个简单的网关，将流量路由到名为 "my-service" 的后端服务：

apiVersion: getambassador.io/v3alpha1
kind: Mapping
metadata:
  name: my-mapping
spec:
  prefix: /my-service
  service: my-service

配置流量管理

使用限流规则限制对后端服务的并发请求数：

apiVersion: getambassador.io/v3alpha1
kind: RateLimitService
metadata:
  name: my-rate-limit
spec:
  hosts:
    - "*"
  methods:
    - GET
  limits:
    - hosts: 0
      clients: 10

增强安全性

使用 TLS 加密保护网关流量：

apiVersion: getambassador.io/v3alpha1
kind: AmbassadorMapping
metadata:
  name: tls-mapping
spec:
  ambassador_id: [default]
  gateway: ambassador
  hostname: "*"
  tls:
    server_name: "*"