נתיב אבולוציה בר קיימא עבור קישוריות בין שירותים של מוסד פיננסי

מוסדות פיננסיים, המחפשים לנצל הזדמנויות מבוססות-מערכת אקולוגיות, דורשים מערכות ושירותים חזקים המתייחסים לדרישות אבטחה, גמישות, מדרגיות וזריזות. ארכיטקטורת ענן מודרנית מנסה להתמודד עם החששות הללו על ידי מינוף ניהול API, שירותי מיקרו, אוטומציה ויכולות ענן.

מוסדות פיננסיים מיישמים יותר ויותר שירותי מיקרו מיושרים לתחום כדי לשפר את דרישות המדרגיות, העסקיות והתפעוליות. שירותי מיקרו הפכו לאבן בניין מפתח במארג אינטגרציה של מערכות אקולוגיות של מוסד פיננסי.

עם זאת, לתקשורת בין שירותים בין מיקרו-שירותים יש חששות רוחביים רבים כמו גילוי שירות, אבטחה, ניהול מדיניות וצפיות שיש לטפל בהם. ישנן גישות מרובות שהתפתחו כדי לתת מענה לבעיות חוצות ארכיטקטורת מיקרו-שירותים, החל מספריות נפוצות ועד לטעמים שונים של רשת שירות.

ככל שמספר שירותי המיקרו במכון פיננסי גדל, הכרחי לזהות נתיב אופטימלי לטיפול בבעיות צולבות. מעט אפשרויות מתפתחות מודגשות יחד עם שיקולים מתאימים.

ספריות נפוצות:

כדי למנוע כפילות של קוד, הטמעות ראשוניות של שירותי מיקרו במוסדות פיננסיים מינפו ספריות נפוצות שעטפו תכונות צולבות. עם זאת, לספריות הנפוצות הללו יש תלות בשפת התכנות.

רשת שירות עם קרונות צד:

רשת שירות מספקת פונקציונליות של רשת יישומים הכוללת גילוי שירות, צפייה, ניתוב תעבורה ואבטחה. רשת שירות באמצעות גישת צדדיות מספקת פונקציונליות זו באמצעות קונספט של מישור בקרה ומישור נתונים הניתן לתכנות. מישור הבקרה מסייע בניהול מרכזי ותצורת מדיניות של הרשת. שירות זמן הריצה לתקשורת השירות ינותב דרך פרוקסי מטוסי נתונים צדדיים.

מעטים ממוצרי רשת השירות הפופולריים כוללים את Istio, Linkerd, Consul ו-Kuma. Istio משתמשת במטוס נתונים מבוסס שליחים ו-Linkerd משתמשת במיקרו פרוקסי מותאם אישית משלה עם תכונות רשת שירות ממוקדות כמישור נתונים.

עם זאת, יש מעט אתגרים עם גישת רשת שירות מבוססת רכב צד.

בעוד רשת שירות עם גישת צד צד מספקת הפרדה נקייה בין ההיגיון העסקי לבין פונקציונליות הרשת, כמו גם אבטחה פרטנית, הם מטילים צורך בהחדרת פרוקסי צדדי לכל תרמיל יישום Kubernetes. Proxy Sidecar צריך להיות זמין תחילה כדי שתקשורת רשת תתקיים. עיבוד תעבורת HTTP על ידי מכוניות צד הוא יקר מבחינה חישובית. לפיכך, גישה מבוססת רכב צד נוטה לגרום לצריכת משאבים גבוהה יותר, תקורה תפעולית ועלות גבוהה יותר.

 רשת שירות ללא קרניים:

בעוד שמישור נתונים המעורבים רכבים צדדיים מספק ערך, כדי להפחית את מגבלותיו, ישויות תעשייה מרובות מנסות אפשרויות חדשניות שונות כגון מישור נתונים ללא קרניים.

אפשרות אחת כזו של רשת שירות ללא גלגלים היא רשת שירות Cilium שעושה שימוש ב-eBPF (מסנן כיס מורחב של Berkeley) ובפרוקסי של שליחים. Cilium הוא גם CNI (Container Networking Interface) המסייע בדרישות רשת, אבטחה וצפייה של קונטיינרים באשכול Kubernetes על ידי שימוש בפונקציונליות eBPF ברמת הקרנל.

eBPF מאפשר להפעיל תוכניות מותאמות אישית בתוך הקרנל בהתבסס על אירועים. מכיוון ש-eBPF עוסק בכיסי רשת, הוא יכול לעזור עם מדדי צפייה, אבטחה ומדדי רשת. הנתיב של מעבר כיסי רשת יהיה קצר יותר עם eBPF ויגרום להשהיה נמוכה יותר מכיוון שהנתיב לא יכלול מעבר דרך חוקי iptable. eBPF יכול גם לעזור בהצפנת שכבת הרשת ברמת הצומת. מאמת eBPF מבטיח שתוכנית eBPF בטוחה להפעלה בליבה.

תכונות רשת שירות נוספות מתווספות ל-Cilium והיא משתמשת ב-eBPF עבור חששות קישוריות L4 של רשת שירות ו-proxy של שליחים עבור יכולות ניהול תעבורה בשכבה 7 כגון השקות קנריות וניסיונות חוזרים. זה עובד עם מטוסי בקרה פופולריים רבים בתעשייה כגון Istio.

במקרה של Istio, רשת הסביבה של Istio מתפתחת כמישור נתונים המיושר לגישה ללא גלגל צד. Istio ambient mesh נותנת מענה לתקשורת שירות לשירות על ידי פיצול לתכונות מאובטחות של שכבה 4 ולמדיניות והתנהגות של שכבה 7.

Istio ambient mesh מטפל בבעיות של קישוריות שכבה 4 בין שני שירותים באמצעות סוכן משותף בשם ztunnel, שכבת שכבת-על מאובטחת הפועלת כ-pod בכל צומת של אשכול kubernetes. Ztunnel דואגת להרשאת שירות שכבה 4, אבטחה באמצעות mTLS, צפייה באמצעות יומני TCP וניהול תעבורה של TCP.  

תכונות רשת הסביבה של Istio שכבה 7 מטופלות על ידי פרוקסי של נקודת ציון. פרוקסי נקודת ציון, המבוסס על שליח, מאבטח באמצעות מדיניות הרשאה עשירה של layer7, מסייע בצפייה באמצעות מדדי http ומעקב וכן מדיניות ניהול תעבורה כגון מבחן קנרי ומבחן כאוס. עיבוד שכבה 7 מתרחש ב-proxy של נקודות ציון, בפודים מתוזמנים בנפרד כמשאב מרחב שמות משותף וניתן לשנות אותם באופן אוטומטי.

מטוס הבקרה של Istio נותן מענה גם למטוס צדדי וגם למישור נתוני רשת סביבתי חסר צד, ובכך מספק אופציונליות. בעוד רשת סביבתית תהיה שימושית עבור מקרים רבים של שימוש ברשת שירות, ישנם תרחישים שבהם רכבי צד עדיין יהיו שימושיים כגון תאימות וכוונון ביצועים.

 השפעה על התפעול:

מוסדות פיננסיים צריכים לקחת בחשבון את מספר המיקרו-שירותים, כישורי הצוות ודרישות שונות של איכות השירות כדי לזהות פשרות מתאימות לאפשרויות רשת שירות. 

בעוד שהטיפול בחששות רוחביים של שירותי מיקרו באמצעות גישת ספריות נפוצה מספק קלות שימוש, יש לה תלות בשפות התכנות ולוקח מאמץ תפעולי כדי לעמוד בקצב השדרוגים. גישה מבוססת Car Sidecar מסייעת בתרחישים של שירותים מיקרו-רבים ומטפחת תצורה עקבית על פני שטח גדול של שירותי מיקרו. זה אכן כרוך בצריכת משאבים גבוהה יותר ובתקורה תפעולית עקב רכבות צד. אפשרות Sidecarless מספקת את היתרון של עיבוד ברמת L4 ברמת הצומת ועיבוד L7 ברמת מרחב השמות עבור תכונות ניתוב התעבורה. לאופציה ללא Sidecarless יש פוטנציאל לפשט את המאמץ התפעולי עם קנה מידה, יחד עם צריכת משאבים פחותה יחסית.

עם המספר ההולך וגדל של שירותי מיקרו ילידים בענן פוליגלוט במוסדות פיננסיים, המדרגיות התפעולית תגדל בהדרגה מגישת ספריות נפוצות לגישת רשת שירות עם גישת צדדית ולרשת שירות עם גישה ללא גלגלי צד.

סיכום:

בעוד שיישומי רשת שירות עם ספריות נפוצות וגישה מבוססת גלגלי צד מאומצים על ידי יוזמות מקוריות בענן גדולות של מוסדות פיננסיים, אפשרויות נטולות צד מתפתחות במהירות כדי לצמצם את החסרונות שלהן.

לפיכך, מוסדות פיננסיים חדשניים, תוך פיתוח גישת אינטגרציית השירות שלהם, צריכים להתנסות עם אפשרויות חדשות מבוססות eBPF שירות כדי לממש את היתרונות האופטימליים של יעילות תפעולית טובה יותר, אבטחה ו-TCO (עלות כוללת של בעלות). מיושם נכון, רשת שירות חסרת צד עם טכנולוגיית eBPF תסייע במיצוב תשתית השירות של המוסד הפיננסי בנתיב בר קיימא.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.finextra.com/blogposting/25482/sustainable-evolution-path-for-financial-institute-inter-service-connectivity?utm_medium=rssfinextra&utm_source=finextrablogs