Hållbar utvecklingsväg för uppkoppling mellan finansinstitut

Finansiella institut, som vill dra nytta av ekosystembaserade möjligheter, kräver robusta system och tjänster som hanterar krav på säkerhet, resiliens, skalbarhet och smidighet. Modern molnbaserad arkitektur försöker lösa dessa problem genom att utnyttja API-hantering, mikrotjänster, automatisering och molnfunktioner.

Finansiella institut implementerar i allt större utsträckning domänanpassade mikrotjänster för att förbättra kraven på skalbarhet, affärs- och operativa agilitet. Mikrotjänster har blivit en viktig byggsten i finansinstitutets ekosystemintegrering.

Kommunikation mellan tjänster mellan mikrotjänster har dock många övergripande problem såsom upptäckt av tjänster, säkerhet, policyhantering och observerbarhet som måste åtgärdas. Det finns flera tillvägagångssätt som har utvecklats för att ta itu med övergripande problem med mikroservicearkitektur, från vanliga bibliotek till olika varianter av servicenät.

När antalet mikrotjänster i ett finansinstitut ökar är det absolut nödvändigt att identifiera en optimal väg för att hantera övergripande problem. Få alternativ som utvecklas lyfts fram tillsammans med lämpliga överväganden.

Vanliga bibliotek:

För att undvika dubblering av kod utnyttjade initiala finansiella institutimplementeringar av mikrotjänster vanliga bibliotek som inkapslade tvärgående funktioner. Dessa vanliga bibliotek är dock beroende av programmeringsspråk.

Servicenät med sidovagnar:

Ett servicenät tillhandahåller applikationsnätverksfunktionalitet som inkluderar tjänsteupptäckt, observerbarhet, trafikdirigering och säkerhet. Servicenät via sidovagnar tillhandahåller denna funktionalitet via konceptet kontrollplan och ett programmerbart dataplan. Kontrollplanet hjälper till med central hantering och policykonfiguration av nätet. Runtime-tjänsten till tjänstkommunikation skulle dirigeras genom dataplans sidovagnsproxies.

Få av de populära servicenätprodukterna inkluderar Istio, Linkerd, Consul och Kuma. Istio använder envoy-baserat dataplan och Linkerd använder sin egen anpassade mikroproxy med riktade servicemesh-funktioner som dataplan.

Det finns dock få utmaningar med sidovagnsbaserad servicenätsmetod.

Även om servicenät med sidovagnsmetod ger ren åtskillnad av affärslogik och nätverksfunktionalitet såväl som granulär säkerhet, kräver de att det är nödvändigt att injicera en sidovagnsproxy i varje Kubernetes-programpod. Sidecar-proxy måste vara tillgänglig först för att nätverkskommunikation ska kunna ske. Bearbetning av HTTP-trafik av sidovagnar är beräkningsmässigt dyrt. Således tenderar ett sidovagnsbaserat tillvägagångssätt att resultera i högre resursförbrukning, driftskostnader och kostnader.

 Sidovagnslöst servicenät:

Medan dataplan som involverar sidvagnar ger värde, för att mildra dess begränsningar, provar flera industrienheter olika innovativa alternativ som sidovagnslösa dataplan.

Ett sådant sidovagnslöst servicenätalternativ är Cilium servicenät som använder sig av eBPF (Extended Berkeley Pocket Filter) och envoy proxy. Cilium är också ett CNI (Container Networking Interface) som hjälper till med nätverks-, säkerhets- och observerbarhetskrav för behållare i ett Kubernetes-kluster genom att använda eBPF-funktionalitet på kärnnivå.

eBPF underlättar anpassade program att köras inuti kärnan baserat på händelser. Eftersom eBPF hanterar nätverksfickor kan det hjälpa till med observerbarhet, säkerhet och nätverksstatistik. Vägen för nätverksfickor som passerar skulle vara kortare med eBPF och resultera i lägre latens eftersom vägen inte skulle innebära att gå igenom iptable-regler. eBPF kan också hjälpa till med kryptering av nätverkslager på nodnivå. eBPF-verifieraren säkerställer att eBPF-programmet är säkert att köra i en kärna.

Fler servicemesh-funktioner läggs till i Cilium och den använder eBPF för L4-anslutningsproblem av servicemesh och envoy-proxy för lager 7-trafikhanteringsfunktioner som kanariefågelutrullningar och återförsök. Det fungerar med många populära kontrollplan inom industrin som Istio.

När det gäller Istio utvecklas Istio ambient mesh som ett dataplan som är anpassat till sidovagnslös inflygning. Istio ambient mesh adresserar tjänst till tjänst-kommunikation genom att dela upp den i säkra lager 4-funktioner och lager 7-policy och beteende.

Istio ambient mesh hanterar lager 4 anslutningsproblem mellan två tjänster via en delad agent som kallas ztunnel, ett säkert överlagringslager som körs som en pod i varje nod i kubernetes-klustret. Ztunnel tar hand om lager 4-tjänstauktorisering, säkerhet via mTLS, observerbarhet via TCP-loggar och trafikhantering av TCP.  

Istio ambient mesh layer 7 funktioner hanteras av waypoint proxy. Waypoint-proxy, baserad på envoy, säkrar via rika lager7-auktoriseringspolicyer, hjälper till med observerbarhet via http-statistik och spårning samt trafikledningspolicyer som kanariefågeltest och kaostest. Bearbetning av lager 7 sker i waypoint-proxy, i separat schemalagda pods som en delad namnområdesresurs och de kan skalas automatiskt.

Istio-kontrollplanet vänder sig till både sidvagns- och sidovagnslösa omgivande mesh-dataplan, vilket ger tillval. Även om ambient mesh kommer att vara användbart för många användningsfall för service mesh, finns det scenarier där sidovagnar fortfarande kommer att vara användbara, såsom efterlevnad och prestandajustering.

 Påverkan på verksamheten:

Finansiella institut måste ta hänsyn till antalet mikrotjänster, teamets kompetens och olika kvalitetskrav på tjänsten för att identifiera lämpliga avvägningar för tjänstenätalternativ. 

Samtidigt som hantering av övergripande problem med mikrotjänster via gemensamma biblioteksstrategier ger enkel användning, är den beroende av programmeringsspråken och kräver operativa ansträngningar för att hålla jämna steg med uppgraderingar. Sidecar-baserad tillvägagångssätt hjälper till i scenarier för polyglot-mikrotjänster och främjar konsekvent konfiguration över stora mikrotjänster. Det innebär högre resursförbrukning och driftskostnader på grund av sidvagnar. Sidecarless-alternativet ger fördelen med L4-nivåbearbetning på nodnivå och L7-bearbetning på namnområdesnivå för trafikdirigeringsfunktionerna. Sidovagnslöst alternativ har potential att förenkla operativa ansträngningar med skala, i kombination med relativt mindre resursförbrukning.

Med det ökande antalet polyglotbaserade molnbaserade mikrotjänster i finansiella institut, kommer den operativa skalbarheten successivt att öka från vanliga biblioteksmetoder till servicenät med sidovagnar och till servicenät med sidovagnslöst tillvägagångssätt.

Slutsats:

Medan implementeringar av servicenät med vanliga bibliotek och sidovagnsbaserad tillvägagångssätt antas av stora molnbaserade initiativ från finansiella institut, utvecklas sidovagnslösa alternativ snabbt för att mildra deras brister.

Sålunda måste innovativa finansiella institut, samtidigt som de utvecklar sin serviceintegrationsmetod, experimentera med nya eBPF-baserade servicenätalternativ för att inse de optimala fördelarna med bättre operativ effektivitet, säkerhet och TCO (total cost of ownership). Implementerat rätt, sidovagnslöst servicenät med eBPF-teknik kommer att hjälpa till att positionera finansinstitutets serviceinfrastruktur på en hållbar väg.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.finextra.com/blogposting/25482/sustainable-evolution-path-for-financial-institute-inter-service-connectivity?utm_medium=rssfinextra&utm_source=finextrablogs