← Назад к базе знаний← Предыдущий вопросСледующий вопрос →
Архитектура системСистемный архитектор

Представьте себе федерацию сервисной сетки на планетарном масштабе, объединяющую управление трафиком, взаимную аутентификацию с помощью **TLS** и наблюдаемость между **Kubernetes** кластерами, работающими на **AWS**, **Azure** и **GCP**, обеспечивая задержку восток-запад менее 50 мс для межсервисных вызовов, проходящих через границы облаков, поддерживая политику нулевого доверия во время ассиметричных сетевых разделений и реализуя бесшовное расширение сетки для эфемерных узлов края вычислений без общих управляющих плоскостей?

Проходите собеседования с ИИ помощником Hintsage

История вопроса

Архитектуры сервисных сетей развивались от монолитных API шлюзов к решениям на основе сайдкаров, таким как Istio и Linkerd, чтобы решить сложность коммуникации микросервисов. С ростом принятия многоклаудных стратегий предприятиями, чтобы избежать зависимости от поставщика и повысить устойчивость, необходимость федерации этих сетей между разными облачными провайдерами стала первоочередной. Ранние попытки опирались на централизованные управляющие плоскости или модели VPN хаба и спиц, которые вводили неприемлемую задержку и единые точки отказа для глобальных приложений. Этот вопрос синтезирует задачи, с которыми сталкиваются финансовые торговые платформы и развертывания IoT, требующие строгих сроков SLA по задержке и возможности работы офлайн для узлов края вычислений.

Проблема

Федерация сервисных сетей между AWS, Azure и GCP представляет собой уникальные препятствия из-за несовместимых сетевых абстракций, различных реализаций CNI и собственных систем идентификации. Трафик между облаками обычно проходит через публичный интернет или дорогие выделенные соединения, вводя переменную задержку и потери пакетов, которые нарушают требования менее 50 мс. Во время ассиметричных разделений сети, когда AWS us-east-1 может достичь GCP europe-west1, но не может связаться с Azure southeast-asia, поддержание взаимной аутентификации mTLS становится невозможным, если рабочие нагрузки зависят от централизованного поставщика OIDC. Более того, эфемерные узлы края (такие как устройства 5G MEC или автономные транспортные единицы) лишены постоянных идентификаторов и не могут поддерживать длительные соединения с централизованными управляющими плоскостями, но требуют немедленного включения в периметр безопасности без ручного вмешательства.

Решение

Реализовать децентрализованную Istio топологию первичной-первичной федерации, используя SPIFFE/SPIRE для идентификации рабочих нагрузок, которая не зависит от сетевой топологии.

Развернуть региональные шлюзы для входящего трафика у каждого облачного провайдера, настроенные как прокси Envoy с фильтрами WASM для маршрутизации, учитывающей задержку, и балансировки нагрузки между кластерами. Установить туннели WireGuard или IPsec между региональными шлюзами для шифрования трафика на транспортном уровне, позволяя прямую связь между сайдкарами для сервисного уровня mTLS. Настроить серверы SPIRE в каждом регионе с федеративными наборами доверия, опубликованными в S3 бакетах с распределением через CloudFront, что позволяет выполнять проверку SVID во время разделений. Для узлов края использовать агенты ztunnel окружения Istio, которые начинают работу через конфигурации, размещенные в S3, и временные учетные данные STS, устанавливая взаимный TLS с ближайшим региональным шлюзом без необходимости постоянного подключения к управляющей плоскости.

Ситуация из жизни

Глобальная платформа высокочастотной торговли требовала подключения сервисов исполнения заказов в AWS us-east-1 с микросервисами анализа рисков в GCP europe-west1 и данными клиентских портфелей в Azure southeast-asia. Коммерческое предписание требовало добиться задержки в 50 мс или меньше для межоблачных вызовов оценки рисков, чтобы предотвратить убытки от арбитража. Во время имитации обрыва подводного кабеля между Северной Америкой и Европой существующий IPSec VPN хаб в локальном центре обработки данных компании стал узким местом, увеличив задержку до 180 мс и вызвав тайм-ауты TCP, что остановило торговлю на 12 минут.

Описание проблемы

Наследственная архитектура полагалась на кластер централизованных балансировщиков нагрузки F5 и Active Directory Domain Services для аутентификации, создавая единую точку отказа. Когда произошло разделение сети, рабочие нагрузки Azure не могли проверить JWT токены против центрального сервера AD, что привело к каскадным сбоям аутентификации. Более того, новые узлы по вычислениям на новом уровне 5G (работающие на устройствах NVIDIA Jetson) должны были присоединиться к сетке для обработки рыночных данных локально, но стандартная модель сайдкара Istio превысила лимит по памяти в 2 ГБ для устройств и потребовала сертификаты VPN, которые занимали 45 минут на ручное создание.

Решение A: Коренное облачное транзитное соединение с централизованным управлением политикой

Этот подход использует пиринговые соединения AWS Transit Gateway с Azure Virtual WAN и GCP Cloud Interconnect, чтобы создать полную сетевую топологию. Весь межоблачный трафик проходит через централизованные корпоративные категории брандмауэров, управляемые устройствами Palo Alto или Fortinet, предоставляя знакомый периметр безопасности. Конфигурация полагается на распространение маршрутов BGP, чтобы поддерживать связь по мере масштабирования облачных регионов.

  • Плюсы: Коренное интеграция обеспечивает высокую пропускную способность до 100 Гбит/с и централизованный обзор для аудита на соответствие через коренные облачные инструменты или контроллеры Aviatrix. Этот подход требует минимальных изменений в существующих рабочих процессах сетевого инжиниринга, знакомых с основами MPLS.
  • Минусы: Затраты на вывоз данных превышают 0,09 долларов за гигабайт для межоблачного трафика, что приводит к ожидаемым ежемесячным счетам более 500 тыс. долларов на уровне объемов торговой платформы. Архитектура вводит точки затора на брандмауэрных кластерах, что добавляет 80-120 мс задержки, нарушая требование менее 50 мс. Она не предлагает жизнеспособного пути для регистрации эфемерных узлов края, которым не удалось бы получить статические IP адреса или возможности пиринга BGP.

Решение B: Cilium кластерная сетка с eBPF dataplane

Эта архитектура развертывает Cilium по всем кластерам Kubernetes, используя eBPF для балансировки нагрузки на уровне ядра и шифрования WireGuard. Cilium ClusterMesh позволяет выполнять многооблачное обнаружение сервисов, синхронизируя Kubernetes Endpoints через кластеры etcd в каждом облаке. Dataplane обеспечивает обход iptables полностью, снижая накладные расходы на обработку до уровня менее миллисекунды и обеспечивая наблюдаемость через Hubble без сайдкаров.

  • Плюсы: eBPF обеспечивает исключительную производительность с минимальными накладными расходами на ЦП и устраняет необходимость в сайдкарах Envoy для трафика уровня 4. Решение предлагает отличную безопасность через прозрачное шифрование и детализированные сетевые политики.
  • Минусы: Cilium требует однородных конфигураций CNI, несовместимых с режимом наложения Azure CNI и существующими реализациями политик Calico. Пиринг BGP через облачные границы требует сложной координации с командами сетевого облака и не имеет детализированной маршрутизации уровня методов gRPC, необходимой для торговых протоколов. Поддержка узлов края остается ограниченной, поскольку Cilium предполагает постоянные идентификаторы узлов Kubernetes, что неподходяще для устройств, которые часто перезагружаются.

Решение C: Децентрализованная федерация Istio с SPIFFE и ambient mesh

Применить первично-первичную федерацию Istio, где каждое облако поддерживает свою собственную управляющую плоскость istiod, синхронизированную через GitOps пайплайны с использованием Flux или ArgoCD. Реализовать SPIRE для аттестации рабочих нагрузок, сохраняя федеративные наборы доверия в S3 бакетах с кэшированием на краях через CloudFront для устойчивости к разделениям. Использовать агентов ztunnel ambient mesh на узлах края вместо сайдкаров для экономии ресурсов. Региональные шлюзы устанавливают туннели WireGuard между облаками, позволяя сайдкарам Envoy общаться напрямую без хираппинга через центральные хабы.

  • Плюсы: Сайдкары Envoy обеспечивают сложное управление трафиком, включая маршрутизацию gRPC, разрыв цепей и политику повторных попыток, необходимые для финансовых протоколов. Данные идентичности SPIFFE, кэшированные локально, выживают во время разделений сети, так как SVID проверяются против наборов, опубликованных в S3, а не запрашиваются у активных серверов. Ztunnel потребляет всего 50 МБ оперативной памяти на узел против 100 МБ на под, позволяя устройствам NVIDIA Jetson полноценно участвовать.
  • Минусы: Операционная сложность значительно увеличивается, поскольку командам необходимо управлять тремя независимыми управляющими плоскостями и обеспечивать совместимость версий CRD между EKS, AKS и GKE. Начальная настройка требует тщательной конфигурации IAM для кросс-облачного доступа к S3.

Выбранное решение и обоснование

Решение C было выбрано, так как оно уникально удовлетворяло строгому требованию по задержке менее 50 мс за счет прямой связи между сайдкарами Envoy через туннели WireGuard. Оно сохраняло гарантии нулевого доверия во время разделений через идентичности на основе SPIFFE, которые не зависят от централизованных поставщиков OIDC. Архитектура учитывала ресурсоемкие узлы края через ambient mesh ztunnel, в то время как решения A и B провалились по причинам стоимости, задержки или ограничений краевых узлов.

Результат

После реализации межоблачная задержка стабилизировалась на уровне 38 мс P99, что значительно ниже 50 мс SLA. Во время последующего незапланированного разделения между AWS и Azure система поддерживала 94% пропускной способности транзакций, используя кэшированные SVID и устаревшие, но безопасные правила маршрутизации. Время развертывания узлов края снизилось с 45 минут до 90 секунд за счет автоматизированных скриптов инициализации S3. Ежемесячные затраты на сети снизились на 60% по сравнению с оценками затрат на пиринг через корневой шлюз, что позволило сэкономить примерно 300 тыс. долларов в месяц.

Что часто упускают кандидаты

Вопрос: Как SPIRE предотвращает имитацию рабочих нагрузок, когда региональный сервер SPIRE недоступен во время разделения сети?

Ответ: SPIRE агенты, работающие на каждом узле, поддерживают локальные кэши сертификатов X.509 SVID и публичных ключей наборов доверия. Когда рабочая нагрузка пытается установить mTLS, сосед проверяет SVID по локально кэшированному набору, а не запрашивая активный сервер, что обеспечивает успешную аутентификацию при разделениях. SVID содержат короткие TTL (обычно 5 минут) и привязаны к конкретному закрытому ключу рабочей нагрузки, что предотвращает атаки повторной аутентификации, даже если злоумышленник перехватит кэшированный сертификат. Новые рабочие нагрузки, присоединяющиеся во время разделения, аттестуются локальным агентом с использованием аттестаторов на уровне узла, таких как документы идентичности экземпляра AWS IAM или сертификаты TPM EK, которые не требуют кросс-облачной связи.

Вопрос: Почему ambient mesh Istio снижает потребление ресурсов для эфемерных узлов края по сравнению с традиционной инъекцией сайдкара?

Ответ: Традиционный Istio развертывает контейнер сайдкара Envoy в каждом поде приложения, используя примерно 100 МБ оперативной памяти и 0,5 vCPU на экземпляр, что исчерпывает ресурсы ограниченных по ресурсам узлов края, таких как NVIDIA Jetson. Ambient mesh разворачивает ztunnel в виде DaemonSet на самом узле, разделяя завершение mTLS и маршрутизацию на уровне 4 среди всех подов на этом хосте, эффективно снижая накладные расходы на каждую рабочую нагрузку до практически нуля. Ztunnel использует eBPF для эффективной перенаправления пакетов на уровне ядра, избегая затрат на прохождение через iptables. Для эфемерных узлов края, которые часто присоединяются и выходят из сети, ztunnel поддерживает единственный постоянный пул соединений с региональным шлюзом, устраняя шторма установления соединений и всплески памяти, связанные с одновременной инициализацией сотен индивидуальных сайдкаров.

Вопрос: Как вы предотвращаете отклонение конфигурации между независимыми управляющими плоскостями Istio в многоклаудной федерации?

Ответ: Реализуйте обычный GitOps пайплайн, используя Flux или ArgoCD, который рассматривает манифесты VirtualService и AuthorizationPolicy как единственный источник правды, хранившийся в федеративном Git репозитории. Каждая региональная управляющая плоскость берет конфигурации из этого репозитория, который реплицируется через облака с использованием AWS CodeCommit кросс-региональной репликации или GitLab Geo. Используйте вебхуки для поступления OPA (Open Policy Agent) для отклонения любых локальных изменений, которые отклоняются от состояния репозитория. Регулярно выполняйте инструменты анализа конфигурации Istio в CI/CD пайплайнах, чтобы обнаружить несоответствие версий CRD между кластерами EKS, AKS и GKE перед развертыванием, обеспечивая строгую согласованность.