Microservices: Kong Gateway 2.1 erweitert Unterstützung des gRPC-Protokolls

Inhaltsverzeichnis

Das Unternehmen Kong hat Version 2.1 des gleichnamigen Microservices-Gateway veröffentlicht. Das quelloffene API-Gateway umfasst zwei neue Plug-ins für gRPC-Dienste und aktualisiert seine Speicherstrukturen für Router und Dienste nun in einem asynchronen Modus, um die Lastverteilung besser auszugleichen. Auch bei den Veröffentlichungszyklen gibt es Neuigkeiten: Die Community- und die Enterprise-Version sind neuerdings aufeinander abgestimmt, künftig sollen beide Ausgaben immer zeitgleich erscheinen.

Ab dieser Version soll die Rekonfiguration der Load Balancer stets asynchron verlaufen. Konfigurationsänderungen an den Upstream- und Zielentitäten sollen dadurch "keine wahrnehmbaren Latenzspitzen" mehr verursachen, heißt es in den Release Notes. Für Router und Load Balancer bringt die neue Version eine Vereinheitlichung der Konfigurationen durch den asynchronen Modus. Die manuelle Wahl zwischen einem strikten (synchronen) und einem konsistenten (asynchronen) Modus beim Konfigurieren entfällt damit, laut Anbieter zugunsten einer stabileren Gesamtleistung.

Zwei neue Plug-ins für gRPC

Frisch hinzugekommen sind auch zwei neue Plug-ins, die die gRPC-Kommunikation unterstützen. grpc-web soll den Zugriff auf gPRC-Dienste mittels gRPC-Webprotokoll ermöglichen. Das Plug-in ist offenbar auf JavaScript-Anwendungen ausgerichtet, die im Browser laufen und eine gRPC-Bibliothek einbinden. Das zweite Plug-in soll gRPC-Dienste über eine HTTP-REST-Schnittstelle offenlegen: grpc-gateway übersetzt Anfragen in ein JSON-Format und ermöglicht über eine einfache HTTP-Anfrage auch den Zugriff auf vorgelagerte gRPC-Dienste.

Zertifikate in der Public-Key-Infrastruktur des Gateway

Seit Version 2.0 unterstützt Kong einen Hybrid Mode, der die Kontroll- von der Datenschicht trennt (Control Plane und Data Plane). Version 2.1 bietet weitere Neuerungen für den hybriden Einsatz, zum Beispiel indem sie die Authentifizierung über mTLS (mutual TLS Authentication) in der Public-Key-Infrastruktur (PKI) erlaubt. Eine PKI bezeichnet ein System, das digitale Zertifikate ausstellt, verteilt und prüft. Die innerhalb der PKI des Kong Gateway ausgestellten Zertifikate kann das System zur Absicherung der rechnergestützten Kommunikation nutzen, neuerdings eben auch mit mTLS. Im Hybrid-Modus erstellte Zertifikate lassen sich nun auf Einschränkungen und Gültigkeit prüfen.

Auch das deklarative Konfigurationsformat haben die Kong-Entwickler überarbeitet: Der Import von Anmeldedaten soll nun mit oder ohne Hash-Passwörter möglich sein, was Nutzern des DB-less-Modus eine Erleichterung bieten könnte.

Ein Identifikator für alle authentifizierenden Plug-ins

Eine Reihe von Plug-ins für Kong Gateway 2.1 enthält neue Features: Zum Beispiel unterstützt das Monitoringtool Prometheus nun Health Checks aus dem Upstream, OAuth2 kann im neuen Release Refresh Token generieren und AWS Lambda benutzerdefinierte Endpunkte in Testumgebungen. Ein weiteres Plug-in (LDAP) bietet virtuelle Berechtigungsnachweise, mit denen Nutzer Traffic-Raten einschränken können, und Rate-Limiting erlaubt (wie sein Name nahelegt) das Beschränken von Traffic-Raten durch automatische PostgreSQL-Bereinigung und benutzerdefinierte Header. Insgesamt sollen die verschiedenen Plug-ins, die zur Authentifizierung dienen, nun einen konsistenten Header ausgeben (X-Credential-Identifier), wodurch Client-Dienste den verwendeten Identifiaktor unabhängig von der jeweiligen Authentifizierungsmethode prüfen können.

Verteilung des Workload auf PostgreSQL-Replikate

Nutzer, die Kong mit PostgrSQL verwenden, können neuerdings wohl schreibgeschützte Datenbankrepliken anfertigen (read-only). Kong kann dann Lesevorgänge über die schreibgeschützten Replikate ausführen, statt den Weg über die Haupt-Lese- und Schreib-Verbindung zu gehen. Dadurch verteilt sich die Datenbanklast des Kong-Clusters auf schreibgeschützte Replikate, was die Leistung laut Anbieter verbessern soll.

Mehr Informationen lassen sich den Release Notes von Kong entnehmen. Die beiden neuen Plug-ins sind auf GitHub zu finden, wo grpc-web und grpc-gateway mit jeweils eigenen Projektseiten vertreten sind.

(sih)