什么是云原生网关

MSE云原生网关兼容K8s Ingress标准,将传统的流量网关和微服务网关功能合并,能降低50%的资源开销,支持ACK容器服务和Nacos等多种服务发现方式,支持多种认证登录方式快速构建安全防线。

什么场景使用云原生网关

微服务架构中的通信管理:提供服务间流量的负载均衡和路由,确保高效分配和高可用性。

API接入控制:统一管理外部API访问,进行流量控制、身份认证和权限管理。

发布与流量管理:支持灰度发布和流量打标,实现平滑的应用升级和稳定运行

流量治理:提供限流、熔断、降级等流量治理功能,提升服务的稳定性和高可用性。

灰度发布与流量管理:支持灰度发布和流量打标,实现平滑的应用升级和稳定运行。

安全防护:提供DDoS防护、HTTPS加密和IP黑白名单管理,保障服务安全。

跨地域部署:支持跨地域流量调度,实现全球化的服务部署和管理。

为什么要使用云原生网关

  • 低成本

    MSE云原生网关将流量网关(K8s Ingress、Nginx)和微服务网关(Spring Cloud Gateway、Zuul网关等)功能合并,降低50%资源开销,同时缩短了请求时间,降低运维复杂度。

  • 安全

    • 支持常规的JWT认证。

    • 支持基于授权开放网络标准OAuth 2.0的OIDC认证。

    • 接入阿里云的应用身份服务IDaaS,快速实现支付宝、淘宝、天猫等第三方认证、登录能力。

  • 高集成

    • 无缝集成容器和微服务体系,支持Nacos、ZooKeeper、K8s等多种服务发现方式。

    • 率先支持Dubbo3.0协议,支持无损下线。

    • 无缝集成日志和监控服务,一览网关核心指标和风险指标,高效排查问题。

    • 无缝集成证书体系,轻松管理证书。

  • 高可用

    MSE云原生网关孵化于阿里巴巴内部产品,并且历经2020双11考验,每秒承载数十万笔请求,目前已经在支付宝、钉钉、淘宝、天猫、优酷、飞猪、口碑等阿里巴巴各业务系统中使用。

功能特性

流量治理

支持限流降级、服务发现、服务路由、多注册中心、流量打标、超时配置等服务治理功能,确保流量在多服务间的高效、稳定分配。

安全管理

集成认证登录系统,让业务快速构建安全屏障,支持HTTPS证书、IP黑/白名单、认证授权(包含JWT、OIDC和IDaaS)、异常流量清洗。

可观测性

支持全局看板、网关实例监控、日志检索、业务TOP榜、日志投递、链路追踪以及报警管理等功能。

高可用与可扩展

  • 高可用:采用Envoy内核,将K8s Ingress和微服务网关合二为一,支持过载保护、无损上下线、多可用区容灾、弹性扩缩、故障自愈,SLA保障率高达99.95%。

  • 可扩展:内置认证鉴权、流量管控、安全防护等多种功能扩展插件,支持用户上传自定义插件,可对网关进行灵活、个性化的能力扩展。

使用限制

限制项

限制值

TLS硬件加速开通地域

由于底层硬件限制,目前仅如下地域支持开通TLS硬件加速。

  • 华东1(杭州)

  • 华东2(上海)

  • 华北2(北京)

  • 华南1(深圳)

  • 中国香港

  • 新加坡

  • 德国(法兰克福)

WAF 3.0集成功能开通地域

云原生网关可通过CNAME等传统方式接入WAF 2.0,但集成功能需要使用WAF 3.0,目前仅如下地域支持使用WAF 3.0集成功能。

  • 华东1(杭州)

  • 华东2(上海)

  • 华北2(北京)

  • 华北3(张家口)

  • 华北6(乌兰察布)

  • 华南1(深圳)

  • 中国香港

  • 日本(东京)

  • 新加坡

  • 马来西亚(吉隆坡)

  • 德国(法兰克福)

  • 美国(硅谷)

插件市场开通地域

支持已开服的地域使用插件市场,详情可参见开服地域

说明

自定义插件最大限制上传50MB。

开始体验云原生网关

如果您想要快速体验云原生网关的相关功能,请参见通过云原生网关访问容器服务ACK中的应用

相关文档