什么是服务网格ASM?

阿里云服务网格 ASM(Service Mesh)提供一个全托管式的服务网格平台,基于Kubernetes构建,兼容社区Istio开源服务网格,用于简化服务的治理,包括服务调用之间的流量路由与拆分管理、服务间通信的认证安全以及网格可观测性能力,从而极大地减轻开发与运维的工作负担。

产品介绍

ASM主要提供以下基础功能:

  • 使用双向TLS、基于身份的授权和认证来保护服务之间的通信。

  • 提供HTTP/HTTPS、gRPC、WebSocketTCP流量的自动负载均衡。

  • 使用丰富的路由规则、重试、故障转移和故障注入对流量行为进行细粒度控制。

  • 支持强大的访问控制、限流以及其他可扩展机制。

  • 集群内所有流量(包括集群入口和出口)的可观测性,包括默认指标、日志收集和链路追踪。

产品架构

image

ASM分为控制面和数据面两部分。

  • 控制面负责读取用户配置,控制数据面对流量进行处理。控制面由ASM托管,相比自建服务网格更加稳定、高效。

  • 数据面由多个网络代理组成,会拦截您所有的网络流量,并按照控制面的意图进行处理。数据面代理部署在您的集群中。

数据面形态和模式

ASM支持多种数据面形态,包括ACK托管集群容器计算服务 ACS(Container Compute Service)ACK Serverless集群ACK Edge集群以及ACK One注册集群等,您可以使用ASM管理多种异构基础设施中的流量。

重要

20250217日起,阿里云容器服务 Serverless 版将对尚未创建过集群的新用户关闭创建集群的入口。关于此次调整的详细内容,请参见【产品变更】关于ACK Serverless集群对新用户关闭新建入口的公告

目前ASM支持两种数据面模式:

  • Sidecar模式:此模式下,您的每个业务Pod中会被ASM自动注入一个Envoy代理,这个Envoy代理会管理进出Pod的所有流量。

  • Ambient模式:此模式下,每个节点会部署一个四层代理,并且您可以通过为命名空间或者指定服务部署Envoy代理实现七层代理功能。

关于如何选择适合您的数据面模式,请参见选择Ambient模式还是Sidecar模式?

版本介绍

ASM按照不同的功能及支撑能力划分为标准版、企业版和旗舰版。商业版在标准版的基础上,增强了多协议支持以及动态扩展能力,提供精细化服务治理,完善零信任安全体系,并持续提升性能及大规模集群支持能力,降低在生产环境落地服务网格的门槛,适用于有多语言互通、服务精细治理需求、在生产环境大规模使用服务网格的场景。

版本

说明

免费版

标准版

面向功能测试体验,支持50以内Pod数规模,无企业级增强能力,不推荐用于生产环境。

商业版

企业版

面向中小规模生产,支持1000以内Pod数规模,具备企业级增强能力,有SLA保障。

旗舰版

面向大规模生产,支持10000以内Pod数规模,具备企业级增强能力,有SLA保障。

核心功能

ASM的核心功能说明如下。更多信息,请参见功能特性

功能项

说明

相关文档

网格实例的全生命周期管理

控制面全托管,兼容Istio社区规范,支持一键部署、升级和删除等管理操作,降低使用及运维门槛。

实例管理

多种基础设施应用的支持

支持ACK、ACK Serverless、ACS集群和边缘集群及ACK One注册集群上的应用。

多类型集群应用管理

统一的流量入口与出口网关

为网格内应用提供统一的流量入口和出口,支持一键启用或禁用mTLS,实现端到端安全加密和流量控制。

ASM网关概述

多种类型的流量管理

支持多协议流量管理、全链路灰度、熔断降级、本地限流、慢启动预热及流量回退等能力。

流量管理

兼容多种可观测能力

提供网格诊断能力,集成托管式跟踪、监控和日志服务,以实现端到端的可见性。

可观测性管理

无侵入的零信任安全体系

提供开箱即用、动态可配的零信任安全方案,包括身份认证、安全证书、策略执行及可视化分析。

零信任安全概述

面向自定义逻辑的可扩展性

插件市场内置多种开箱即用的扩展插件,同时支持自定义EnvoyFilter。

扩展中心

完善的生态集成

支持常见的GitOps工具,支持对Knative、KServeServerlessAI服务的支持。

生态集成

产品计费

ASM按照不同的功能及支撑能力划分为标准版、企业版和旗舰版,其中标准版为免费版本,其他两个版本为商业版,不同的版本计费标准不同。关于ASM的计费详情,请参见计费说明

配额限制

使用ASM之前,您需要了解以下限制:

  • 可创建的标准版+实验室实例数最大为10,企业版/旗舰版没有配额限制。如果您需要扩大配额,请提交工单

  • 每个网格实例的Pod数,根据不同的ASM实例规格有不同的承载规模,详情请参见配额

说明

使用ASM之前需要确保已开通容器服务ACK。关于使用阿里云容器服务Kubernetes集群过程中的相关限制,请参见配额与限制

API支持

目前ASM同时支持Gateway APIIstio API。

Gateway API未来会作为服务网格的默认API。如果您对Istio API并不熟悉,建议您优先使用Gateway API。如果您已经有使用Istio API的经验,可以继续使用Istio API。

Gateway APIIstio API有诸多相似之处,开始之前请注意以下几点:

  • Istio API中的Gateway代表网关规则,并不负责部署网关Deployment/Service。而Gateway API中,Gateway资源不仅可以配置网关,还会同步部署Deployment/Service。

  • Istio APIVirtualService中,所有协议都在单一资源中配置。而Gateway API中,每种协议类型都有自己的资源,例如HTTPRouteGRPCRoute

  • Gateway API尚未完全涵盖Istio的全部特性。

ASM用户交流群

如果您对于ASM有任何疑问,欢迎搜索群号30421250加入钉钉交流群。