今天，我们很高兴能提供一个新的解决方案来绑定azurekubernetes服务（AKS）和应用程序网关。新的解决方案为Kubernetes提供了一个开源的应用程序网关入口控制器（AGIC），这使得AKS的客户能够利用applicationgateway将他们的云软件暴露在互联网上。L7负载平衡器集Azure Kubernetes服务（我们的托管Kubernetes服务）的优点于一身，它使高级Kubernetes环境和Azure Application Gateway（我们的本机、可扩展和高可用性）的优势于一身，受到客户的高度要求。它是如何工作的？Application Gateway Ingress Controller在客户AKS上自己的机架中运行。入口控制器监控Kubernetes资源的一个子集以进行更改。AKS集群的状态被转换为特定于应用程序网关的配置，并应用于Azure资源管理器。应用网关的持续重新配置确保了到AKS服务的流量不间断地流动。下图说明了从kubernetesapi，通过applicationgatewayingrescontroller，到资源管理器，再到applicationgateway的状态和配置更改流。与最流行的Kubernetes入口控制器非常相似，applicationgateway入口控制器提供了几个特性，利用了Azure的原生应用网关L7负载平衡器。举几个例子：URL路由基于Cookie的亲和力安全套接字层（SSL）终端端到端SSL支持公共、私有和混合网站集成web应用防火墙应用网关入口控制器的体系结构不同于传统的集群内L7负载平衡器。架构差异如下图所示：集群内负载平衡器利用Kubernetes集群的计算资源执行所有数据路径操作。它与它的前沿业务应用程序争夺资源。集群入口控制器创建Kubernetes服务资源并利用kubenet进行网络通信。与入口控制器相比，流量通过一个额外的跃点流动。入口控制器利用AKS的高级网络，它从与应用网关共享的子网为每个pod分配一个IP地址。应用程序网关可以直接访问所有Kubernetes pod。这样就不需要数据通过kubenet。有关此主题的更多信息，请参阅我们的"azurekubernetes服务中应用程序的网络概念"一文，特别是"比较网络模型"部分。解决方案性能由于应用网关可以直接连接到Kubernetes pods，因此与集群内的入口控制器相比，应用网关入口控制器可以实现高达50%的网络延迟。应用程序网关是一个托管服务，由Azure虚拟机规模集支持。因此，应用程序网关不使用AKS计算资源进行数据路径处理。它不共享或干扰分配给Kubernetes部署的资源。在高峰时期自动调整应用程序网关，与集群内的入口不同，它不会妨碍快速扩展应用程序的能力。当然，从集群内的L7入口切换到applicationgateway将立即减少AKS使用的计算负载。我们比较了三节点AKS集群上的集群内入口控制器和应用程序网关入口控制器的性能，以及每个节点运行22个pod的简单web应用程序。共有66个web应用程序pods共享资源，其中3个在集群中进入，每个节点一个。我们将应用程序网关配置为两个实例。我们使用apachebench创建了总共100K个请求，并发设置为3K个请求。我们启动了两次apachebench：一次指向集群内入口控制器前面的SLB，第二次连接到应用网关的公共IP。在这个非常繁忙的AKS集群上，我们记录了所有请求的平均延迟：应用程序网关：每个请求480ms集群内进入：每个请求710ms正如上面收集的数据所证明的，在高负载下，集群内入口控制器的每个请求延迟比应用程序网关入口高48%。在同一个集群上运行相同的基准测试，但是每个节点有两个web应用程序pod，总共6个pod，我们观察到集群内入口控制器的性能比applicationgateway高出大约17%。下一步是什么？应用程序网关入口控制器现在是稳定的，可以在生产环境中使用。该项目正在迅速成熟，我们正在积极努力增加新的能力。我们正致力于使用客户一直要求的功能来增强产品，例如使用存储在应用程序网关上的证书、相互TLS身份验证、gRPC和HTTP/2。我们邀请您试用AKS的新应用程序网关入口控制器，跟踪我们的进展，最重要的是，给我们关于GitHub的反馈。