Technical Tracking
              技术追踪






                                                                                  云原生微分段是一种在PaaS容
                                                                              器环境下的微分段解决方案，通过
                                                                              K8S+ServiceMesh实现了基于“定

                                                                              制化代理”的分布式微服务访问关
                                                                              系管控，它利用Sidecar形式在每个
                                                                              Pod中部署一个代理容器，作为所有
                                                                              微服务的统一网络出入口，纳管所有

                                                                              通信、安全功能。分布式的定制化代
                                                                              理和K8S的统一管理平面对应了零
                                                                              信任的“代理网关”和“控制中心”，
            工作负载级的细粒度访问控制。主机微分段由两部分组成：作为                                      实现了容器化的微分段，在部分金

            零信任控制中心的可视化操作台和作为应用级代理网关的轻量                                       融行业向微服务数字化转型中提供
            级Agent，操作台负责汇总和展示，Agent负责采集和管控。与                                  了额外的安全保障。
            SDN网络微分段不同，主机微分段采用纯软件方式实现，不依靠
            任何硬件设备，这使它能更好适配各种类型、规模的基础环境，                                          三种微分段各有特色，它们在结

            如缺少SDN的传统网络、IaaS-+PaaS的混合环境等，具有更好                                 构、支持性和改造难度等各方面的
            的实用性和灵活性。                                                         对比如表。






                                                   表   三种微分段的对比

                                        网络微分段                     主机微分段                    云原生微分段


                 代理网关实现                    交换机                      Agent                  Sidecar代理


               零信任控制中心实现                 SDN控制器                   可视化控制台                 K8S集成控制中心


                   支持范围                 物理机、虚拟机                物理机、虚拟机、容器                     仅容器


                   管控范围              SDN控制器纳管范围             与控制台网络可达的全部范围                  单个K8S集群


                                                           仅需软件部署但Agent数量大，          有开源解决方案，对云原生环境
                   改造成本           需引入SDN技术，改造成本较高
                                                                   成本适中                       成本小

                 管理维护成本            网络、SDN技术水平要求高           可视化程度高，人员能力要求较低               云原生管理人员兼职


                                 思科、华为等具备SDN技术的网络
               代表厂商或解决方案                                    蔷薇灵动、llumio、Akamai等      Istio、Linkerd2、SOFAMesh
                                                                   i
                                          设备厂商

            26  金融科技视界