3 Consejos para Implementar APISIX en Kubernetes (Parte 1)

March 14, 2024

Technology

La era de la computación nativa en la nube ha visto una adopción generalizada de Kubernetes como plataforma de orquestación de contenedores, con Apache APISIX emergiendo como una puerta de enlace dinámica de API de alto rendimiento y nativa en la nube. Desplegar Apache APISIX en Kubernetes se ha vuelto cada vez más común. Sin embargo, a pesar de que el proceso de despliegue de Apache APISIX en Kubernetes es relativamente sencillo, todavía hay algunos problemas clave que considerar. En esta serie de artículos, profundizaremos en los siguientes temas:

  1. Consideraciones sobre los métodos de despliegue
  2. Verificaciones de salud, registro y monitoreo
  3. Manejo de plugins y configuraciones personalizadas

En este artículo, nos centraremos en el primer punto, que son las consideraciones sobre los métodos de despliegue al implementar Apache APISIX en Kubernetes.

Métodos de Despliegue para APISIX en Kubernetes

Para desplegar y gestionar APISIX en Kubernetes de manera fluida, asegurando la estabilidad y confiabilidad del sistema, es necesario considerar varios factores en los métodos de despliegue.

1. Separación del Plano de Datos y el Plano de Control

Al desplegar en Kubernetes, es crucial mantener separado el plano de datos de APISIX (nodos que manejan el tráfico real) de su plano de control (nodos que gestionan configuraciones y procesan llamadas API). Esta separación ofrece varios beneficios:

  • Escalabilidad Elástica: El plano de datos maneja el procesamiento real de solicitudes, mientras que el plano de control gestiona la distribución de configuraciones y políticas. Con la separación, el sistema puede escalar horizontalmente de manera independiente los planos de datos y control, ajustando dinámicamente el sistema según las demandas de carga de trabajo reales. Esto facilita la escalabilidad elástica, mejorando la escalabilidad general del sistema.

  • Aislamiento de Fallos: Separar los planos de datos y control ayuda a lograr el aislamiento de fallos. Si el plano de control falla, el plano de datos puede continuar procesando solicitudes, asegurando la disponibilidad del servicio, y viceversa. Esta separación ayuda a evitar que fallos de un solo punto afecten a todo el sistema, mejorando así la tolerancia a fallos y la estabilidad.

  • Mayor Seguridad: Separar los planos de datos y control mejora la seguridad del sistema. El plano de control generalmente contiene información sensible como políticas de control de acceso y configuraciones de autenticación, mientras que el plano de datos procesa solicitudes reales. Al desplegarlos por separado, se puede proteger mejor la seguridad del plano de control, reduciendo los riesgos potenciales de ataques.

Arquitectura de Apache APISIX

2. Solución de Despliegue Persistente con etcd

Apache APISIX ofrece varios modos de configuración, como el modo standalone y el modo de centro de configuración etcd. Si optas por un clúster etcd como centro de configuración para Apache APISIX, hay varias consideraciones a tener en cuenta:

  • Uso de StatefulSet: En Kubernetes, StatefulSet se utiliza comúnmente para desplegar etcd. StatefulSet proporciona identificadores de red estables y despliegues ordenados de Pods, cruciales para un sistema distribuido. Cada nodo etcd puede tener un identificador único y mantener almacenamiento persistente para garantizar la seguridad de los datos.

  • Límites de recursos adecuados: Establece límites de recursos apropiados para los Pods de etcd para asegurar que funcionen sin problemas en el clúster. Ajusta según el tamaño del clúster y la carga de trabajo para evitar escasez o desperdicio de recursos.

  • Configuración de almacenamiento persistente: Para garantizar la persistencia y confiabilidad de los datos, se recomienda almacenar los datos de etcd en almacenamiento persistente. Los Volúmenes Persistentes (PV) y las Reclamaciones de Volumen Persistente (PVC) de Kubernetes pueden utilizarse para este propósito.

  • Habilitación de cifrado TLS: Habilita el cifrado TLS en el clúster etcd para proteger la transmisión de datos. Utiliza certificados y claves privadas para autenticar el clúster etcd y cifrar la comunicación entre nodos. Esto se puede lograr creando y utilizando certificados autofirmados o certificados emitidos por autoridades de certificación (CA) confiables.

  • Habilitación de autenticación y autorización: etcd admite autenticación basada en nombres de usuario y contraseñas, así como autorización basada en roles. Es recomendable habilitar estas funciones en un entorno de producción para asegurar que solo los usuarios autorizados puedan acceder y modificar datos en etcd. Al conectar el plano de control y el plano de datos de Apache APISIX a etcd, se recomienda asignar roles diferentes, como otorgar capacidades de lectura y escritura al plano de control y capacidades de solo lectura al plano de datos.

  • Copias de seguridad regulares: Realiza copias de seguridad regulares de los datos de etcd para prevenir la pérdida o corrupción de datos. Utiliza herramientas de copia de seguridad proporcionadas por etcd y almacena las copias de seguridad en un lugar seguro para su recuperación cuando sea necesario. Los métodos de copia de seguridad incluyen métodos de copia de seguridad en caliente y en frío. Para la seguridad de los datos, se recomienda utilizar el método de aprendizaje de etcd para copias de seguridad en caliente y combinarlo con métodos de copia de seguridad en frío mediante instantáneas para maximizar las capacidades de recuperación de datos.

  • Monitoreo y alertas: Despliega herramientas de monitoreo para monitorear el estado de salud del clúster etcd en tiempo real. Prometheus es una herramienta de monitoreo comúnmente utilizada que puede integrarse con etcd. Configura reglas de alerta para tomar medidas oportunas cuando ocurran problemas.

  • Manejo adecuado de cambios de nodos: Pueden ocurrir adiciones, eliminaciones o reemplazos de nodos en el clúster etcd. Asegúrate de manejar adecuadamente los cambios de nodos para evitar inconsistencias de datos e interrupciones del servicio.

3. Uso de APISIX Ingress Controller en lugar de K8s Ingress Controller

APISIX Ingress Controller es una herramienta enfocada en la gestión de API, que ofrece alto rendimiento y opciones de configuración flexibles. Si necesitas reglas de enrutamiento más complejas, limitación de tasa, interrupción de circuito y otras características avanzadas, APISIX Ingress Controller puede ser una mejor opción. Proporciona un sistema de plugins rico, permitiendo la integración de plugins a través de APISIX Ingress CRD utilizando configuración declarativa para manejar autenticación, autorización, monitoreo, registro y otras funcionalidades. Esto enriquece las capacidades de APISIX Ingress Controller y simplifica la configuración.

APISIX Ingress Controller

Si necesitas una interfaz de configuración completa y una integración profunda con Kubernetes, considera la Plataforma de Gestión del Ciclo de Vida Completo de API API7 Enterprise basada en Apache APISIX. API7 Enterprise proporciona una solución completa para automatización avanzada, monitoreo y resolución de problemas, ofreciendo un soporte más confiable para los negocios.

Conclusión

Al desplegar APISIX en Kubernetes, es necesario prestar atención a varios aspectos. En primer lugar, enfócate en la separación del plano de datos y el plano de control para lograr escalabilidad elástica, aislamiento de fallos y mayor seguridad. En segundo lugar, adopta un esquema de despliegue persistente basado en etcd para garantizar la persistencia y confiabilidad de las configuraciones. Además, considera utilizar un APISIX Ingress Controller más adecuado en lugar del K8s Ingress Controller para obtener funcionalidades más ricas y una configuración más simple. Solo siguiendo estas mejores prácticas se puede asegurar la estabilidad y confiabilidad del sistema.

Tags:
Kubernetes
APISIX Basics