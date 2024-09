Os principais benefícios de uma malha de serviços incluem recursos para a melhoria da depuração, do monitoramento, do roteamento, da segurança e da utilização. Ou seja, com o Istio, será necessário menos esforço para gerenciar um grupo mais amplo de serviços.

Depuração melhorada

Digamos, por exemplo, que um serviço tenha diversas dependências. O serviço pay_claim em uma companhia de seguros chama o serviço deductible_amt, que chama o serviço is_member_covered e assim por diante. Uma cadeia de dependência complexa pode ter 10 ou 12 chamadas de serviço. Quando uma dessas 12 falha, ocorre um conjunto de falhas em cascata que resultam em algum tipo de erro 500 ou 400 ou, possivelmente, em nenhuma resposta.

Para depurar esse conjunto de chamadas, é possível usar algo como um rastreio de pilha. No front-end, os desenvolvedores do lado do cliente podem ver quais elementos são retirados dos servidores da web, em qual ordem e examiná-los. Os programadores front-end podem obter um diagrama em cascata para auxiliar na depuração.

O que o exemplo não mostra é o que acontece no data center, ou seja, como o callback=parselLotamaAudiences chama outros quatro serviços da web e quais deles respondem mais lentamente. Em seguida, veremos como o Istio oferece ferramentas para rastrear chamadas de função em um diagrama muito parecido com este.

Monitoramento e observabilidade

Equipes do DevOps e administração de TI poderão observar o tráfego para avaliar a latência, o tempo de serviço, os erros como uma porcentagem de tráfego e assim por diante. Muitas vezes, elas querem ver um dashboard. Um dashboard oferece uma visualização da soma, da média ou dessas métricas ao longo do tempo, potencialmente com a capacidade de efetuar "drill down" para um nó, serviço ou pod específico. O Kubernetes não oferece essa funcionalidade nativamente.

Política

Por padrão, o Kubernetes permite que todos os pods enviem tráfegos para os outros pods. Istio permite que os administradores criem uma política para restringir quais serviços podem funcionar em conjunto. Portanto, por exemplo, os serviços poderão chamar somente outros serviços que sejam dependências verdadeiras. Outra política para manter os serviços ativos é um limite de taxa, que impede que o tráfego excessivo obstrua um serviço e evita ataques de recusa de serviço.

Roteamento e balanceamento de carga

Por padrão, o Kubernetes oferece round-robin e balanceamento de carga. Se houver seis pods fornecendo um microsserviço, o Kubernetes fornecerá um balanceador de carga, ou um "serviço", que enviará solicitações para cada pod em ordem crescente e, em seguida, será reiniciado. No entanto, uma empresa pode implementar versões diferentes do mesmo serviço na produção.

O exemplo mais simples disso pode ser uma implementação azul/verde. Nesse caso, o software pode criar uma versão totalmente nova do aplicativo para produção sem enviar os usuários de produção para ele. Após promover a nova versão, a empresa pode manter os servidores antigos para retornar novamente de forma rápida em caso de falhas.

Com o Istio, isso é tão simples quanto usar tags em um arquivo de configuração. Os administradores também podem usar rótulos para indicar o tipo de serviço ao qual desejam se conectar e criar regras com base em cabeçalhos. Assim, por exemplo, os usuários beta podem realizar o roteamento para um pod "canary" com a versão mais recente e melhor, enquanto os usuários regulares acessam a compilação estável da produção.

Efeito disjuntor

Se um serviço estiver sobrecarregado ou inativo, novas solicitações falharão e continuarão sobrecarregando o sistema. Como o Istio está rastreando erros e atrasos, ele pode forçar uma pausa, o que permite a recuperação de um serviço, após um número específico de solicitações definido pela política. É possível aplicar essa política em todo o cluster criando um pequeno arquivo de texto e instruindo o Istio a usá-lo como uma nova política.

Segurança

O Istio fornece identidade, política e criptografia por padrão, além de autenticação, autorização e auditoria (AAA). Quaisquer pods sob o gerenciamento que se comuniquem com outros usarão o tráfego criptografado, que impedirá quaisquer observações. O serviço de identidade, combinado à criptografia, garante que nenhum usuário não autorizado falsifique uma chamada de serviço. A abordagem AAA oferece aos profissionais de segurança e às operações as ferramentas necessárias para o monitoramento com menos sobrecarga.

Administração simplificada

Os aplicativos tradicionais ainda precisam dos recursos de identificação, política e segurança oferecidos pelo Istio. Isso faz com que programadores e administradores trabalhem no nível errado de abstração, reimplementando as mesmas regras de segurança repetidamente para cada serviço. Istio permite que eles trabalhem no nível certo, configurando a política para o cluster através de um único painel de controle.