我需要在我的所有服务前设置 Ambassador API 网关。Ambassador 将执行多种操作,例如速率限制、日志记录、DDoS 保护等。
特别是从 DDoS 保护的角度来看,将 Ambassador API 网关托管在主应用程序 Kubernetes 集群之外是最佳实践吗?或者在单独的命名空间中托管并对其有配额限制?
在同一个 k8s 集群中托管 API 网关可能会因为不需要的流量而导致集群不堪重负,但如果我将 API 网关托管在单独的 k8s 集群应用程序上,那么 k8s 集群可以从这种情况中保存下来。
另外,Ambassador API 网关可以部署在非 k8s 基础架构和 HA 模式下吗?
据我所知有两件事
大使 API 网关和边缘堆栈
大使是开源的,而边缘堆栈是付费版本。
您可以在 VM 和 linux 上安装边缘堆栈,但对于 API 网关,只有 YAML 和 helm 可用。
您可以设置速率限制来保存 DDos。
在同一个 k8s 集群中托管 API 网关可能会因为不需要的流量而导致集群不堪重负,但如果我将 API 网关托管在单独的 k8s 集群应用程序上,那么 k8s 集群可以从这种情况中保存下来。
在这种情况下你是对的,但如果你使用的是 K8s,你可以使用节点亲和性来修复特定节点上 API 网关的 pod 或将其作为daemon set运行。设置亲和性和反亲和性可能有助于分离 POD 或应用程序和 API 网关。