阿里云服务网格 ASM(Service Mesh)提供一个全托管式的服务网格平台,基于Kubernetes构建,兼容社区Istio开源服务网格,用于简化服务的治理,包括服务调用之间的流量路由与拆分管理、服务间通信的认证安全以及网格可观测性能力,从而极大地减轻开发与运维的工作负担。
产品介绍
ASM主要提供以下基础功能:
使用双向TLS、基于身份的授权和认证来保护服务之间的通信。
提供HTTP/HTTPS、gRPC、WebSocket和TCP流量的自动负载均衡。
使用丰富的路由规则、重试、故障转移和故障注入对流量行为进行细粒度控制。
支持强大的访问控制、限流以及其他可扩展机制。
集群内所有流量(包括集群入口和出口)的可观测性,包括默认指标、日志收集和链路追踪。
产品架构
ASM分为控制面和数据面两部分。
控制面负责读取用户配置,控制数据面对流量进行处理。控制面由ASM托管,相比自建服务网格更加稳定、高效。
数据面由多个网络代理组成,会拦截您所有的网络流量,并按照控制面的意图进行处理。数据面代理部署在您的集群中。
数据面形态和模式
ASM支持多种数据面形态,包括ACK托管集群、容器计算服务 ACS(Container Compute Service)、ACK Serverless集群、ACK Edge集群以及ACK One注册集群等,您可以使用ASM管理多种异构基础设施中的流量。
从2025年02月17日起,阿里云容器服务 Serverless 版将对尚未创建过集群的新用户关闭创建集群的入口。关于此次调整的详细内容,请参见【产品变更】关于ACK Serverless集群对新用户关闭新建入口的公告。
目前ASM支持两种数据面模式:
Sidecar模式:此模式下,您的每个业务Pod中会被ASM自动注入一个Envoy代理,这个Envoy代理会管理进出Pod的所有流量。
Ambient模式:此模式下,每个节点会部署一个四层代理,并且您可以通过为命名空间或者指定服务部署Envoy代理实现七层代理功能。
关于如何选择适合您的数据面模式,请参见选择Ambient模式还是Sidecar模式?。
版本介绍
ASM按照不同的功能及支撑能力划分为标准版、企业版和旗舰版。商业版在标准版的基础上,增强了多协议支持以及动态扩展能力,提供精细化服务治理,完善零信任安全体系,并持续提升性能及大规模集群支持能力,降低在生产环境落地服务网格的门槛,适用于有多语言互通、服务精细治理需求、在生产环境大规模使用服务网格的场景。
版本 | 说明 | |
免费版 | 标准版 | 面向功能测试体验,支持50以内Pod数规模,无企业级增强能力,不推荐用于生产环境。 |
商业版 | 企业版 | 面向中小规模生产,支持1000以内Pod数规模,具备企业级增强能力,有SLA保障。 |
旗舰版 | 面向大规模生产,支持10000以内Pod数规模,具备企业级增强能力,有SLA保障。 |
核心功能
ASM的核心功能说明如下。更多信息,请参见功能特性。
功能项 | 说明 | 相关文档 |
网格实例的全生命周期管理 | 控制面全托管,兼容Istio社区规范,支持一键部署、升级和删除等管理操作,降低使用及运维门槛。 | |
多种基础设施应用的支持 | 支持ACK、ACK Serverless、ACS集群和边缘集群及ACK One注册集群上的应用。 | |
统一的流量入口与出口网关 | 为网格内应用提供统一的流量入口和出口,支持一键启用或禁用mTLS,实现端到端安全加密和流量控制。 | |
多种类型的流量管理 | 支持多协议流量管理、全链路灰度、熔断降级、本地限流、慢启动预热及流量回退等能力。 | |
兼容多种可观测能力 | 提供网格诊断能力,集成托管式跟踪、监控和日志服务,以实现端到端的可见性。 | |
无侵入的零信任安全体系 | 提供开箱即用、动态可配的零信任安全方案,包括身份认证、安全证书、策略执行及可视化分析。 | |
面向自定义逻辑的可扩展性 | 插件市场内置多种开箱即用的扩展插件,同时支持自定义EnvoyFilter。 | |
完善的生态集成 | 支持常见的GitOps工具,支持对Knative、KServe等Serverless及AI服务的支持。 |
产品计费
ASM按照不同的功能及支撑能力划分为标准版、企业版和旗舰版,其中标准版为免费版本,其他两个版本为商业版,不同的版本计费标准不同。关于ASM的计费详情,请参见计费说明。
配额限制
使用ASM之前,您需要了解以下限制:
API支持
目前ASM同时支持Gateway API和Istio API。
Gateway API未来会作为服务网格的默认API。如果您对Istio API并不熟悉,建议您优先使用Gateway API。如果您已经有使用Istio API的经验,可以继续使用Istio API。
Gateway API与Istio API有诸多相似之处,开始之前请注意以下几点:
Istio API中的
Gateway
代表网关规则,并不负责部署网关Deployment/Service。而Gateway API中,Gateway
资源不仅可以配置网关,还会同步部署Deployment/Service。Istio API的
VirtualService
中,所有协议都在单一资源中配置。而Gateway API中,每种协议类型都有自己的资源,例如HTTPRoute
和GRPCRoute
。Gateway API尚未完全涵盖Istio的全部特性。
ASM用户交流群
如果您对于ASM有任何疑问,欢迎搜索群号30421250加入钉钉交流群。