:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/d0/52/d05265b738654350e7d819867affca43/0109507650.jpeg "Die Minimierung der Speichernutzung von Smart Contracts kann zu massiven Einsparungen führen. (Bild: <a href=https://pixabay.com/users/jievani-21902109/>Jievani Weerasinghe</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/89/8089a443255acb4adc657bb0e64a0d69/0111553974.jpeg "Erster Blick auf Parasoft Jtest 2023.1. (Bild: Parasoft)")
:quality(80)/p7i.vogel.de/wcms/ff/f8/fff8d58054f9546032349bcfd610f977/0110367136.jpeg "Agile Softwareentwicklung lebt unter anderem vom ständigen Austausch aller Beteiligten. (Bild: <a href=https://unsplash.com/de/@jasongoodman_youxventures>Jason Goodman</a>)")
:quality(80)/p7i.vogel.de/wcms/3e/61/3e61a6ad22070f1d8239744aa90462ad/0111352868.jpeg "Der sogenannte „Renovate Bot“ aktualisiert nicht selbst, sondern stellt Merge-Requests an das Development Team. (Bild: <a href=https://pixabay.com/de/users/mohamed_hassan-5229782/>Mohamed Hassan</a>)")
:quality(80)/p7i.vogel.de/wcms/ce/99/ce994c9dce9fac6c16e96a2871e6c3be/0110414706.jpeg "Nur im Zuge einer umfangreichen Security-Strategie lässt sich ein heterogenes Endpoint-Universum vor Bedrohungen zu schützen. (Bild: <a href=https://pixabay.com/users/coolvid-shows-18646168/>CoolVid-Shows</a>)")
:quality(80)/p7i.vogel.de/wcms/dd/8b/dd8bdf45a5452802972c54a0c54d85d6/0111382050.jpeg "Für DevOps-Teams stellt der Übergang zu modernen, Cloud-basierten Anwendungsumgebungen eine große Herausforderung dar. (Bild: <a href=https://pixabay.com/users/williamscreativity-17210051/>WilliamsCreativity</a>)")
:quality(80)/p7i.vogel.de/wcms/4e/27/4e270de1acbf69555c6f8a44762de945/0111260221.jpeg "„Zabbix“ ist ein Open-Source-tool für das Monitoring von IT, egal ob diese sich im eigenen Rechenzentrum und in der Cloud. (Bild: frei lizenziert: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/3f/b1/3fb157d253e806b0b0c38112c2a0f4af/0111495434.jpeg "CockroachDB Dedicated ist jetzt bei Microsoft Azure und damit bei den drei großen Cloud-Anbietern verfügbar. (Bild: Cockroach Labs)")
:quality(80)/p7i.vogel.de/wcms/a1/2b/a12b814d8d4e1d5ae4d9817d12f5a2d5/0110227353.jpeg "BPMN ist ein intuitives Tool, das sich zu einem Standardverfahren für die Visualisierung von Geschäftsprozess-Workflows entwickelt hat. (© NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/d5/c4d5f080ecab3d2f47e56105ea3de667/0111155618.jpeg "Unabhängig von der Debatte um das GPL-SaaS-Schlupfloch sollten Software-Anbieter die Lizenzen von OSS-Komponenten genau im Blick behalten. (Bild: <a href=https://pixabay.com/users/prettysleepy-2973588/>Amy</a>)")
:quality(80)/p7i.vogel.de/wcms/c4/34/c43470f304961a9a4bbd656c663c03ea/0111545788.jpeg "Der API Protection Report befasst sich mit den größten Bedrohungen für Programmierschnittstellen. (Bild: Cequence Security)")
:quality(80)/p7i.vogel.de/wcms/78/f4/78f40b9b4101d4d69308cd0d67db1ff0/0110956704.jpeg "Hobby-Entwickler? Von wegen! Open-Source-User sind meist IT-Experten aus, die Software professionell nutzen. (Bild: A.B./peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/1e/501e67c0fb83d75fc4e0959b137e349b/0111403157.jpeg "Large Language Models verstehen natürliche Sprache, können übersetzen, auf Basis ihrer Daten neuen Text generieren und vieles mehr. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/ce/f6/cef6df5753a9b7f094deae13f2886740/0111581858.jpeg "Software zur Automatisierung von Aufgaben, die auf Basis von Low-Code entwickelt wurde, kann schnell in Betrieb genommen werden. Etwaige Anpassungen sind auch im Anschluss noch möglich. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b9/b7/b9b77f53b197fc0fe1f8d288e40e4093/0111181006.jpeg "Das Ergebnis einer einzelnen Anweisung – nicht einmal schlecht. (Bild: Lang)")
:quality(80)/p7i.vogel.de/wcms/19/31/1931878346987d5f61c5ed1b967599ae/0104711006.jpeg "Datenstrukturen werden in der Regel auf die Verarbeitung durch Algorithmen hin optimiert. (Bild: Kittiphat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/67/e96797cf34887ed47068092a4289a884/0111209876.jpeg "Effizienten Code zu schreiben, ist eine große Herausforderung, der sich etliche Unternehmen gerade stellen. (Bild: <a href=https://pixabay.com/de/users/insspirito-1851261/>Garik Barseghyan</a>)")
:quality(80)/p7i.vogel.de/wcms/3f/9c/3f9cf4dfd209864515495e8e95c93d4f/0111156776.jpeg "Je nach Editor oder IDE kann die Code Completion recht mächtig sein. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
Komplexe Microservice-Architekturen vereinfachen 7 „Service Mesh“-Lösungen im Überblick
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Die lose Kopplung unabhängiger Microservices birgt Herausforderungen. Daher resultiert die Idee des Service Mesh, um gemeinsame Funktionalitäten von der Anwendungs- in die Infrastrukturschicht auszulagern. Doch wie ist der aktuelle Stand der Technik?
Viele unterschiedliche Anforderungen an eine Microservice-Architektur werden oft in den einzelnen Microservice-Anwendungen implementiert. Dies betrifft unter anderem Security, Logging, Tracing, Circuit Breaking oder Monitoring. Dies geht allerdings zu Lasten der Kommunikation.
Zwar kann man sich hierbei bestimmten Bibliotheken oder Frameworks bedienen. Dennoch schafft es unnötigen Mehraufwand für die Entwickler eines Projekts. Außerdem würde man sich an bestimmte Programmiersprachen oder Technologien binden, was dem eigentlichen Gedanken einer technologieoffenen Microservice-Architektur widerspricht.
Was ist ein Service Mesh?
Hier setzt das Service Mesh an, dessen generelle Architektur aus zwei Teilen oder der wortgetreuen Übersetzung nach aus zwei Ebenen besteht: der Control Plane und der Data Plane.
Die Data Plane besteht aus Proxies, welche ebenso als Reverse-Proxies fungieren. Die gesamte Kommunikation der einzelnen Microservices läuft über diese Proxies, welche z.B. in einem Kubernetes Cluster als Sidecar in einem Docker Container eines Pods „neben“ dem Container des Microservices laufen.
Deshalb wird das Service Mesh auch oft als eine Erweiterung des Sidecar-Patterns bezeichnet. Dabei vermitteln die Proxies die Kommunikation sowohl zwischen den einzelnen Microservices, als auch mit der Control Plane.
Die Control Plane besteht aus unterschiedlichen Managementkomponenten, die sich je nach Service Mesh Implementierung unterscheiden. Diese Komponenten bieten jeweils bestimmte Funktionalitäten wie z.B. Service Discovery an, oder greifen Daten von den Proxies aus der Data Plane ab. Diese Daten werden dann aufbereitet, und dem Anwender über eine API oder GUI zur Verfügung gestellt.
Was sind die Vorteile?
Ein Service Mesh verspricht viele Vorteile, um der Komplexität von Microservice-Architekturen entgegenzuwirken. Somit wird versucht, Komplexität von der Anwendungs- auf die Infrastrukturebene zu verschieben. Insbesondere in folgenden Bereichen werden Verbesserungen bzw. Vereinfachungen erwartet:
- Routing: Service Discovery, Load Balancing, Routing Konfiguration
- Observability: Monitoring, Metriken, Tracing, Logging
- Resilienz: Timeout, Retry, Circuit Breaker
- Security: Verschlüsselung der Kommunikation zwischen den Microservicen mit mTLS, Ausstellung von Zertifikaten mit eigener CA
Die genauen Features eines Service Mesh unterscheiden sich natürlich zwischen den jeweiligen Implementierungen. Auch die Art und Weise, wie die einzelnen Techniken umgesetzt und welche Tools dafür genutzt werden, ist unterschiedlich.
Gibt es auch Nachteile?
Wo viel Licht ist, ist natürlich auch Schatten. Durch den massiven Einsatz von Proxies, wodurch jedem Aufruf zwei Hops auf den Proxies hinzugefügt werden, erhöht sich die Latenz entsprechend bei der Kommunikation zwischen den Microservices. Deshalb ist es entscheidend, dass die Proxies möglichst schnell sind, dabei allerdings auch klein und leichtgewichtig. Denn jeder Proxy und jede Komponente der Control Plane verbrauchen Speicher- und CPU-Ressourcen, was wiederum zusätzliche Kosten verursacht.
Zumindest initial kommt es außerdem zu einem erhöhten Konfigurationsaufwand: Ein Service Mesh einzurichten, zu konfigurieren und das Deployment zu automatisieren, ist in der Regel keine triviale Angelegenheit. Dazu kommt noch der kognitive Lernaufwand, um die neuen Technologien zu beherrschen.
Welche Implementierungen gibt es?
Der Markt für Service-Mesh-Implementierungen wird zunehmend unübersichtlicher. Aufgrund der gestiegenen Popularität und des Potenzials, das in Service Meshes liegt, versuchen immer mehr große Firmen eigene Lösungen zu entwickeln oder beteiligen sich an der Definition von Schnittstellen.
Istio
Istio ist das wohl bekannteste und am weitesten verbreitete Service Mesh. Von Google, IBM und Lyft als Open Source Projekt entwickelt, wird es vor allem von Google stark beworben. Istio kann in einem Kubernetes Cluster verwendet werden, ist aber nicht darauf beschränkt.
Als Proxy in der Data Plane kommt eine weiterentwickelte Version von Envoy zum Einsatz, was viele Features ermöglicht:
- Dynamic Service Discovery
- Load Balancing
- TLS termination
- HTTP/2 und gRPC Proxies
- Circuit Breaking
- Health Checks
- Fault Injection
- Metriken
In der Data Plane wird Istiod verwendet, welches die Proxies konfiguriert und die Kommunikation zwischen ihnen steuert. Istiod unterstützt unterschiedliche Service Discovery Umgebungen wie Kubernetes, Consul oder einzelne VMs. Darüber hinaus bringt Istiod sein eigenes Identity Management mit, wodurch sich eine Lösung für die Authentifizierung und Autorisierung umsetzen lässt.
Über eine Zertifizierungsstelle können auch eigene Zertifikate erstellt werden, wodurch sich eine komplett verschlüsselte mTLS Kommunikation zwischen den einzelnen Microservices erreichen lässt. Grafana Dashboards, Monitoring mit Prometheus und Jaeger als Tracing-Lösung runden die sehr umfangreichen Features ab.
Linkerd
Linkerd gilt als das erste zur Verfügung stehende Service Mesh und wird von der Cloud Native Computing Foundation (CNCF) als Open-Source-Projekt bereitgestellt. Ab der Version 2 wurde Linkerd komplett für Kubernetes optimiert und kann nur noch zusammen mit Kubernetes betrieben werden.
Es umfasst eine Proxy-Eigenentwicklung in der Programmiersprache Rust, welche eine höhere Geschwindigkeit verspricht als Envoy-basierte Proxies. Auch wenn Linkerd bewusst leichtgewichtig und auf Performanz ausgelegt entwickelt wurde, ist die Featureliste lang und braucht sich kaum noch vor Istio verstecken:
- HTTP, HTTP/2 und gRPC Proxying
- Retries und Timeouts
- Automatisches mTLS
- Telemetrie und Monitoring
- Load Balancing
- Automatische Proxy Injection
- Fault Injection
- Distributed Tracing
- Traffic Split (canaries, blue/green deploys)
- Dashboard und Grafana
Zusätzlich zu Grafana Dashboards bietet Linkerd auch ein eigenes Dashboard zum Überwachen der Metriken an. Außerdem unterstützt es jetzt auch Distributed Tracing, wofür allerdings Änderungen am Code nötig wären.
Consul Connect
Ursprünglich als Service-Discovery-Lösung entwickelt, bezeichnet sich Consul von HashiCorp mittlerweile als kompletten Service Mesh. Dabei bringt Consul Connect zwar seine eigene Proxy-Implementierung mit, diese ist aber vergleichsweise einfach gehalten und unterstützt nur Layer 4 TCP Verbindungen. Allerdings ist es auch möglich, z.B. Envoy oder andere Lösungen als Proxy zu verwenden, da die Data Plane bei Consul austauschbar ist. Consul umfasst u.a. folgende Features:
- Service Discovery
- Health Checking
- Key Value Store
- Secure Service Communication (mTLS)
- Multi Datacenter
Auch wenn sich Consul Connect als vollwertiges Service Mesh versteht, fehlen hier doch einige wichtige Features, vor allem was Resilienz betrifft. Observability-Features lassen sich z.B. mit Envoy Proxies und Prometheus nachrüsten.
Kuma
Kuma ist noch ein relativ junges Open Source Sandbox-Projekt der CNCF und wurde ursprünglich von der Kong Inc. ins Leben gerufen. Es kann in Kubernetes, VMs oder Bare Metal Umgebungen eingesetzt werden. Kuma benutzt auch Envoy Proxies, implementiert aber eine eigene Control Plane mit einer selbst entwickelten graphischen Oberfläche.
Kuma bietet folgende Features:
Security: Identity, Encryption, Compliance
- Mesh / Multi-Mesh
- mTLS
- Traffic Permissions
Traffic Control: Routing, Ingress Failover
- Traffic Route
- Health Check
- Circuit Breaker
- Fault Injection
- Kong Gateway
Observability: Metrics, Logs, Traces
- Traffic Metrics
- Traffic Trace
- Traffic Log
Kuma ist auch im Kong Mesh 1.0 als Teil der Kong Enterprise Distribution enthalten.
OpenShift Service Mesh
Red Hat bietet unter dem Namen Red Hat OpenShift Service Mesh eine Erweiterung von Istio an. Zusätzlich zu den Features von Istio kommen hier folgende Eigenschaften hinzu:
- Eine Mehrmandanten-Kontrollschicht wird standardmäßig installiert
- Die Role Base Access Control wird erweitert
- BoringSSl wird durch OpenSSL ersetzt
- Kiali und Jaeger sind standardmäßig aktiviert
AWS App Mesh
Auch Amazon bietet mit dem AWS App Mesh eine Service Mesh Lösung an, die sich mit einer Vielzahl an AWS-Services integrieren lässt. Dabei setzt auch Amazon auf Envoy in der Data Plane, lässt sich also auch mit kompatiblen Tools wie Prometheus, Grafana oder Zipkin kombinieren.
Service Mesh Interface (SMI)
Ein weiteres Sandbox-Projekt der CNCF ist das „Service Mesh Interface“. Dabei handelt es sich nicht um eine Service-Mesh-Implementierung an sich, sondern um eine offene API-Spezifikation für Service-Mesh-Implementierungen auf Kubernetes. Es soll eine bessere Interoperabilität zwischen verschiedenen Service-Mesh-Technologien wie Istio, Linkerd und Consul Connect sicherstellen. Der Fokus liegt auf der Definition von APIs für die häufigsten Anwendungsszenarien von Service Meshes:
- Traffic Policy
- Traffic Telemetry
- Traffic Management
Fazit
Ein Service Mesh ergibt in vielerlei Hinsicht Sinn. Die Vorteile durch die erhöhte Transparenz und Kontrolle über eine Microservice-Architektur sind unbestritten und lassen sich auch in bereits bestehende Systeme integrieren. Die Entkopplung der operativen Funktionen von der Anwendung reduziert den Overhead bei der Microservice-Entwicklung, wodurch man sich in den Microservices auf die Businesslogik konzentrieren kann.
Man sollte allerdings auch die Nachteile wie die erhöhte Latenz und den erhöhten Hardwareverbrauch nicht außer Acht lassen. Zudem bedeutet ein reduzierter Aufwand auf der Entwicklerseite in diesem Fall auch ein erhöhter Aufwand für den Betrieb und die Konfiguration.
Schließlich muss man abwägen, für welche der zur Verfügung stehenden Service Mesh Implementierungen man sich entscheidet. Die meisten Implementierungen lassen sich sicherlich auch in Produktion bedenkenlos einsetzen, der Reifegrad vor allem der bekannteren Exemplare spielt zunehmend kaum noch eine Rolle. So kann man sich bei der Auswahl auf die wichtigsten Features beschränken, die die Anforderungen der jeweiligen Architektur erfüllen.
Aus dem anfänglichen Hype scheint also mittlerweile Realität zu werden. Der nächste Schritt nach der Containerisierung von Anwendungen mit Docker und ihrer Orchestrierung mit Kubernetes, scheint mit einem Service Mesh gemacht zu werden.
* Nico Westerheide arbeitet als Senior Full Stack Developer bei Ultra Tendency. Nach seinem Informatikstudium in Paderborn hat er sich auf den Entwurf und die Entwicklung von Microservice-Architekturen auf Basis von Java-Technologien spezialisiert. Er verfügt über langjährige Projekterfahrung im internationalen Umfeld und beschäftigt sich gerne mit Technologien rund um das Thema Microservices.
(ID:46835298)