Lộ trình phát triển bền vững cho kết nối liên dịch vụ của viện tài chính

Lộ trình phát triển bền vững cho kết nối liên dịch vụ của viện tài chính

Dấu thời gian: ngày 8 tháng 2024 năm 5 29:XNUMX sáng
Con đường phát triển bền vững cho kết nối liên dịch vụ của viện tài chính PlatoBlockchain Data Intelligence. Tìm kiếm dọc. Ái.

Các tổ chức tài chính đang tìm cách tận dụng các cơ hội dựa trên hệ sinh thái, đòi hỏi các hệ thống và dịch vụ mạnh mẽ đáp ứng các yêu cầu về bảo mật, khả năng phục hồi, khả năng mở rộng và tính linh hoạt. Kiến trúc gốc đám mây hiện đại cố gắng giải quyết những mối lo ngại này bằng cách tận dụng khả năng quản lý API, vi dịch vụ, tự động hóa và đám mây.

Các tổ chức tài chính đang ngày càng triển khai các dịch vụ vi mô liên kết theo miền để cải thiện các yêu cầu về khả năng mở rộng, kinh doanh và vận hành linh hoạt. Dịch vụ vi mô đã trở thành một khối xây dựng quan trọng trong cơ cấu tích hợp hệ sinh thái của viện tài chính.

Tuy nhiên, giao tiếp liên dịch vụ giữa các vi dịch vụ có nhiều mối quan tâm xuyên suốt như khám phá dịch vụ, bảo mật, quản lý chính sách và khả năng quan sát cần được giải quyết. Có nhiều cách tiếp cận đang được phát triển để giải quyết các mối quan tâm xuyên suốt về kiến ​​trúc microservice, bắt đầu từ các thư viện chung cho đến các loại lưới dịch vụ khác nhau.

Khi số lượng dịch vụ vi mô trong viện tài chính tăng lên, bắt buộc phải xác định một lộ trình tối ưu để xử lý các mối quan tâm xuyên suốt. Một số lựa chọn đang phát triển được nêu bật cùng với những cân nhắc thích hợp.

Thư viện chung:

Để tránh trùng lặp mã, việc triển khai các dịch vụ vi mô ban đầu của viện tài chính đã tận dụng các thư viện chung gói gọn các tính năng xuyên suốt. Tuy nhiên, những thư viện chung này có sự phụ thuộc vào ngôn ngữ lập trình.

Lưới dịch vụ với xe sidecar:

Lưới dịch vụ cung cấp chức năng mạng ứng dụng bao gồm khám phá dịch vụ, khả năng quan sát, định tuyến lưu lượng và bảo mật. Lưới dịch vụ thông qua phương pháp sidecar cung cấp chức năng này thông qua khái niệm về mặt phẳng điều khiển và mặt phẳng dữ liệu có thể lập trình. Mặt phẳng điều khiển giúp quản lý trung tâm và cấu hình chính sách của lưới. Dịch vụ thời gian chạy đến giao tiếp dịch vụ sẽ được định tuyến thông qua proxy sidecar mặt phẳng dữ liệu.

Một số sản phẩm lưới dịch vụ phổ biến bao gồm Istio, Linkerd, Consul và Kuma. Istio sử dụng mặt phẳng dữ liệu dựa trên đặc phái viên và Linkerd sử dụng proxy vi mô tùy chỉnh của riêng mình với các tính năng lưới dịch vụ được nhắm mục tiêu làm mặt phẳng dữ liệu.

Tuy nhiên, có một số thách thức với cách tiếp cận lưới dịch vụ dựa trên sidecar.

Mặc dù lưới dịch vụ với phương pháp sidecar cung cấp sự tách biệt rõ ràng giữa logic nghiệp vụ và chức năng mạng cũng như bảo mật chi tiết, nhưng chúng buộc phải đưa proxy sidecar vào mỗi nhóm ứng dụng Kubernetes. Proxy Sidecar cần phải có sẵn trước để giao tiếp mạng diễn ra. Việc xử lý lưu lượng HTTP bằng sidecar rất tốn kém về mặt tính toán. Do đó, cách tiếp cận dựa trên sidecar có xu hướng dẫn đến mức tiêu thụ tài nguyên, chi phí hoạt động và chi phí cao hơn.

 Lưới dịch vụ không có xe bên:

Trong khi mặt phẳng dữ liệu liên quan đến sidecar đang mang lại giá trị, để giảm thiểu những hạn chế của nó, nhiều đơn vị trong ngành đang thử nghiệm nhiều tùy chọn cải tiến khác nhau, chẳng hạn như mặt phẳng dữ liệu không có sidecar.

Một trong những tùy chọn lưới dịch vụ không cần xe chở hàng như vậy là lưới dịch vụ Cilium sử dụng eBPF (Bộ lọc bỏ túi Berkeley mở rộng) và proxy đại diện. Cilium cũng là một CNI (Giao diện mạng vùng chứa) hỗ trợ các yêu cầu về kết nối mạng, bảo mật và khả năng quan sát của các vùng chứa trong cụm Kubernetes bằng cách sử dụng chức năng eBPF ở cấp hạt nhân.

eBPF tạo điều kiện cho các chương trình tùy chỉnh chạy bên trong kernel dựa trên các sự kiện. Khi eBPF xử lý các túi mạng, nó có thể trợ giúp về các số liệu về khả năng quan sát, bảo mật và mạng. Đường dẫn của các túi mạng đi qua sẽ ngắn hơn với eBPF và dẫn đến độ trễ thấp hơn vì đường dẫn sẽ không liên quan đến việc phải tuân theo các quy tắc iptable. eBPF cũng có thể giúp mã hóa lớp mạng ở cấp độ nút. Trình xác minh eBPF đảm bảo rằng chương trình eBPF an toàn để chạy trong kernel.

Nhiều tính năng lưới dịch vụ hơn đang được thêm vào Cilium và nó sử dụng eBPF cho các mối quan tâm về kết nối L4 của lưới dịch vụ và proxy đặc phái viên cho các khả năng quản lý lưu lượng lớp 7 như triển khai và thử lại canary. Nó hoạt động với nhiều mặt phẳng điều khiển phổ biến trong ngành như Istio.

Trong trường hợp của Istio, lưới môi trường xung quanh Istio đang phát triển như một mặt phẳng dữ liệu được điều chỉnh theo phương pháp không cần xe bên. Mạng xung quanh Istio giải quyết dịch vụ liên lạc dịch vụ bằng cách chia nó thành các tính năng bảo mật của lớp 4 cũng như chính sách và hành vi của lớp 7.

Lưới xung quanh Istio xử lý các mối quan tâm về kết nối lớp 4 giữa hai dịch vụ thông qua một tác nhân dùng chung có tên là ztunnel, một lớp phủ an toàn chạy dưới dạng nhóm trong mỗi nút của cụm kubernetes. Ztunnel đảm nhiệm việc ủy ​​quyền dịch vụ lớp 4, bảo mật thông qua mTLS, khả năng quan sát thông qua nhật ký TCP và quản lý lưu lượng TCP.  

Các tính năng của lớp lưới xung quanh Istio 7 được xử lý bằng proxy điểm. Proxy điểm tham chiếu, dựa trên đặc phái viên, bảo mật thông qua các chính sách ủy quyền lớp 7 phong phú, hỗ trợ khả năng quan sát thông qua các chỉ số http và theo dõi cũng như các chính sách quản lý lưu lượng như kiểm tra canary và kiểm tra hỗn loạn. Quá trình xử lý lớp 7 diễn ra trong proxy điểm tham chiếu, trong các nhóm được lên lịch riêng biệt dưới dạng tài nguyên không gian tên được chia sẻ và chúng có thể được tự động điều chỉnh tỷ lệ.

Mặt phẳng điều khiển Istio phục vụ cho cả mặt phẳng dữ liệu lưới xung quanh sidecar và sidecarless, do đó cung cấp tùy chọn. Mặc dù lưới môi trường xung quanh sẽ hữu ích cho nhiều trường hợp sử dụng lưới dịch vụ, nhưng có những trường hợp mà sidecar vẫn sẽ hữu ích, chẳng hạn như việc tuân thủ và điều chỉnh hiệu suất.

 Tác động đến hoạt động:

Các tổ chức tài chính cần xem xét số lượng dịch vụ vi mô, kỹ năng của nhóm và các yêu cầu về chất lượng dịch vụ khác nhau để xác định sự cân bằng phù hợp cho các lựa chọn lưới dịch vụ. 

Mặc dù việc xử lý các mối quan tâm xuyên suốt của vi dịch vụ thông qua phương pháp tiếp cận thư viện phổ biến mang lại sự dễ sử dụng nhưng nó phụ thuộc vào ngôn ngữ lập trình và cần nỗ lực vận hành để theo kịp các bản nâng cấp. Cách tiếp cận dựa trên Sidecar giúp ích trong kịch bản dịch vụ vi mô đa ngôn ngữ và thúc đẩy cấu hình nhất quán trên một lượng lớn dịch vụ vi mô. Nó đòi hỏi mức tiêu thụ tài nguyên cao hơn và chi phí hoạt động cao hơn do xe phụ. Tùy chọn Sidecarless cung cấp lợi ích của việc xử lý cấp L4 ở cấp nút và xử lý L7 ở cấp không gian tên cho các tính năng định tuyến lưu lượng. Tùy chọn Sidecarless có khả năng đơn giản hóa nỗ lực vận hành với quy mô lớn, cùng với mức tiêu thụ tài nguyên tương đối ít hơn.

Với số lượng dịch vụ vi mô gốc đám mây đa ngôn ngữ ngày càng tăng trong viện tài chính, khả năng mở rộng hoạt động sẽ tăng dần từ cách tiếp cận thư viện chung sang lưới dịch vụ với phương pháp tiếp cận sidecar và đến lưới dịch vụ với phương pháp sidecarless.

Kết luận:

Trong khi việc triển khai lưới dịch vụ với các thư viện chung và cách tiếp cận dựa trên sidecar đang được áp dụng bởi các sáng kiến ​​gốc đám mây lớn của các tổ chức tài chính, thì các tùy chọn sidecarless đang phát triển nhanh chóng để giảm thiểu những thiếu sót của chúng.

Do đó, các tổ chức tài chính đổi mới, trong khi phát triển phương pháp tích hợp dịch vụ của mình, cần thử nghiệm các tùy chọn lưới dịch vụ dựa trên eBPF mới để nhận ra lợi ích tối ưu về hiệu quả hoạt động, bảo mật và TCO (tổng chi phí sở hữu) tốt hơn. Được triển khai đúng cách, lưới dịch vụ không cần xe chở hàng với công nghệ eBPF sẽ giúp định vị cơ sở hạ tầng dịch vụ của viện tài chính theo hướng bền vững.

Dấu thời gian:

Thêm từ tài chính