Fale conosco
Kong Mesh

Kong Mesh

O Kong Mesh se destaca em segurança e escalabilidade para microsserviços.

Informações básicas

O Kong Mesh é uma malha de serviços de nível empresarial construída sobre o Kuma e o Envoy da CNCF, projetada para simplicidade, segurança e escalabilidade em qualquer nuvem ou ambiente. Ela fornece conectividade de serviços pronta para uso, descoberta, segurança de confiança zero, confiabilidade de tráfego e observabilidade global para microsserviços.

  • Modelo: Kong Mesh (baseado em Kuma e Envoy)
  • Versão: A versão estável mais recente é a 2.12.x, com atualizações recentes incluindo as versões 2.12.3 e 2.11.6.
  • Data de lançamento: O Kong Mesh 2.0 foi lançado em outubro de 2022. O Kong Mesh 2.9 foi anunciado para meados de setembro de 2024. O Kong Mesh 2.12 foi anunciado recentemente.
  • Requisitos mínimos:
    • Plano de controle: 4 vCPUs e 2 GB de memória para acomodar mais de 1000 planos de dados.
    • Proxy do Plano de Dados: Aproximadamente 1 MB de memória por plano de dados.
    • Contêiner Sidecar do Kubernetes: Solicita 50m de CPU e 64Mi de memória; limita-se a 1000m de CPU e 512Mi de memória.
  • Sistemas operacionais suportados: Suporte universal para Kubernetes e serviços baseados em máquinas virtuais. Isso inclui Red Hat OpenShift, Red Hat Enterprise Linux e Amazon ECS.
  • Última versão estável: Kong Mesh 2.12.x.
  • Data de Fim do Suporte: O Kong Mesh segue uma política de suporte por versão que define seu ciclo de vida, do lançamento ao encerramento do suporte. As datas específicas de fim de suporte não são detalhadas explicitamente nos resultados de buscas públicas, mas são regidas por esta política.
  • Data de fim de vida útil: Não especificada explicitamente nos resultados de buscas públicas.
  • Data de expiração da atualização automática: Não especificada explicitamente nos resultados de pesquisa públicos.
  • Tipo de licença: Licença comercial empresarial. Uma licença de demonstração pré-configurada permite até 5 Proxies de Plano de Dados e expira em 30 dias. As licenças completas são baseadas no número total de Proxies de Plano de Dados conectados e na data de expiração de cada um.
  • Modelo de Implantação: Pode ser implantado em topologias de zona única ou multizona, suportando ambientes multicloud e multicluster com modos de plano de controle global/remoto. É executado em Kubernetes, VMs e servidores físicos.

Requisitos técnicos

O Kong Mesh foi projetado para oferecer flexibilidade em diversas infraestruturas.

  • BATER:
    • Plano de controle: mínimo de 2 GB para gerenciar mais de 1000 planos de dados.
    • Proxy de plano de dados: Aproximadamente 1 MB por plano de dados.
    • Sidecar do Kubernetes: Requisições de 64Mi, limites de 512Mi.
  • Processador:
    • Plano de Controle: Mínimo de 4 vCPUs para gerenciar mais de 1000 planos de dados; beneficia-se de mais CPUs para uma propagação mais rápida de alterações devido ao excelente paralelismo.
    • Arquitetura: Suporta arquiteturas x86_64 e arm64.
    • Sidecar do Kubernetes: Solicita 50m de CPU, limita-se a 1000m de CPU.
  • Armazenamento: Não detalhado explicitamente, mas requer armazenamento persistente para o plano de controle, especialmente para configurações e atualizações de status, frequentemente utilizando um banco de dados PostgreSQL.
  • Exibição: Não aplicável à funcionalidade principal, mas uma interface web está disponível para gerenciamento.
  • Portas: Os proxies do Plano de Controle e do Plano de Dados comunicam-se através de diversas portas, com criptografia TLS para comunicação segura.
  • Sistema Operacional: Kubernetes (qualquer distribuição, incluindo OpenShift), Máquinas Virtuais (VMs) e servidores físicos (bare metal).

Análise dos Requisitos Técnicos

Os requisitos técnicos do Kong Mesh são escaláveis, permitindo uma implantação eficiente em ambientes corporativos de pequeno a grande porte. A capacidade do plano de controle de lidar com mais de 1000 planos de dados com recursos modestos de CPU e memória destaca sua eficiência. A pegada mínima de memória para proxies do plano de dados (1 MB) e sidecars do Kubernetes (64 Mi solicitados) o torna adequado para arquiteturas de microsserviços onde a otimização de recursos é crucial. O suporte para arquiteturas x86_64 e arm64 garante ampla compatibilidade com hardware moderno. O sistema foi projetado para ser flexível, executando em diversas plataformas, incluindo Kubernetes, VMs e servidores físicos, acomodando diversas estratégias de infraestrutura.

Suporte e compatibilidade

O Kong Mesh oferece suporte abrangente e compatibilidade em diversos ambientes, além de se integrar com outros produtos da Kong.

  • Última versão: Kong Mesh 2.12.x.
  • Suporte a sistemas operacionais: Kubernetes (incluindo Red Hat OpenShift), máquinas virtuais e ambientes bare metal.
  • Data de fim do suporte: Definida pela política de suporte de versões da Kong Mesh.
  • Localização: A documentação está principalmente em inglês, com algumas páginas indicando que a tradução está em andamento (por exemplo, para japonês).
  • Drivers disponíveis: O Kong Mesh utiliza o Envoy como plano de dados, que é altamente compatível com diversos drivers e configurações de rede. Ele também suporta eBPF para redirecionamento de tráfego, melhorando o desempenho.

Análise do estado geral de suporte e compatibilidade

O Kong Mesh demonstra forte suporte e compatibilidade, especialmente para ambientes corporativos. Sua base no Kuma e no Envoy, ambos projetos de código aberto amplamente adotados, garante um núcleo robusto e bem mantido. O suporte universal para Kubernetes e máquinas virtuais, incluindo integrações específicas com Red Hat OpenShift e Amazon ECS, torna-o altamente adaptável a diversas estratégias de implantação. A Kong oferece suporte e manutenção 24 horas por dia, 7 dias por semana, de nível empresarial para seus produtos licenciados. O ciclo de lançamento contínuo, com versões como a 2.12.x, indica desenvolvimento ativo e melhorias constantes. A compatibilidade com versões secundárias anteriores do Envoy também é mantida.

Estado de segurança

O Kong Mesh prioriza a segurança de confiança zero para microsserviços com um conjunto robusto de recursos.

  • Recursos de segurança:
    • Criptografia TLS mútua (mTLS): gerenciamento automático de certificados, autenticação bidirecional e criptografia de ponta a ponta para todo o tráfego dentro da malha, transparente para os aplicativos.
    • Permissões de tráfego: restringir a comunicação entre serviços.
    • Integração com o Open Policy Agent (OPA): Autorização precisa de solicitações de serviço e aplicação de políticas.
    • Controle de Acesso Baseado em Funções (RBAC): Restringe o acesso a recursos e ações com base nas funções do usuário, com recursos de auditoria.
    • Suporte ao FIPS 140-2: Conformidade para agências governamentais, implementada através do modo BoringSSL compatível com FIPS do Envoy.
    • Autenticação multizona: Autenticação segura dos planos de controle de zona no plano de controle global.
    • Rotação da Autoridade Certificadora: Comunicação segura entre aplicações com mTLS.
    • Gerenciamento de segredos: Integração com os serviços de gerenciamento de segredos Hashicorp Vault, AWS e GCP.
    • Política MeshTLS: Configuração granular dos comportamentos TLS, incluindo versões e cifras, direcionada a serviços específicos.
  • Vulnerabilidades conhecidas: Não detalhadas explicitamente nos resultados de buscas públicas, mas atualizações regulares e recursos de segurança sugerem um gerenciamento ativo de possíveis vulnerabilidades.
  • Status na lista negra: Sem indicação de status na lista negra.
  • Certificações: Conformidade com FIPS 140-2. Certificado no ecossistema Red Hat para imagens UBI.
  • Suporte à criptografia: TLS mútuo (mTLS) para toda a comunicação dentro da malha, TLS para comunicação do plano de controle.
  • Métodos de autenticação: TLS mútuo, autenticação multizona e integração com provedores de identidade externos via OPA.
  • Recomendações gerais: Implemente princípios de confiança zero, utilize mTLS, permissões de tráfego e políticas OPA para uma segurança robusta de microsserviços. Atualize regularmente para as versões mais recentes para aproveitar os aprimoramentos de segurança.

Análise da classificação geral de segurança

O Kong Mesh oferece uma postura de segurança robusta, especialmente para ambientes de microsserviços corporativos. Seu princípio fundamental de segurança de confiança zero, aplicado por meio de mTLS automático, políticas de tráfego e integração com OPA, reduz significativamente a superfície de ataque. A inclusão do suporte ao FIPS 140-2 e recursos robustos de RBAC o tornam adequado para setores altamente regulamentados. O desenvolvimento contínuo de recursos de segurança, como a política MeshTLS granular na versão 2.9, demonstra um compromisso em atender às necessidades de segurança em constante evolução. Embora listas específicas de vulnerabilidades não sejam detalhadas publicamente, o conjunto abrangente de segurança e as atualizações regulares sugerem uma abordagem proativa para manter uma plataforma segura.

Desempenho e indicadores de desempenho

O Kong Mesh foi desenvolvido para oferecer desempenho e escalabilidade, aproveitando a arquitetura do Envoy e do Kuma.

  • Resultados de benchmarks: Embora os resultados de benchmarks específicos para o Kong Mesh não sejam amplamente detalhados em pesquisas públicas, seus componentes subjacentes (Kuma e Envoy) são conhecidos pelo alto desempenho. O Kong Gateway, que pode ser integrado ao Kong Mesh, possui resultados de desempenho publicados, mostrando um desempenho sólido até o 99º percentil, embora a latência possa aumentar em percentis mais altos em comparação com alternativas como o NGINX.
  • Métricas de desempenho no mundo real:
    • Plano de controle: Um plano de controle com 4 vCPUs e 2 GB de memória pode gerenciar mais de 1000 planos de dados.
    • Proxy do Plano de Dados: Aproximadamente 1 MB de memória por plano de dados.
    • Latência: O Kong Mesh 2.0 introduziu suporte a eBPF, resultando em uma melhoria de até 12% na latência para o desempenho do sidecar.
    • Escalabilidade: Projetado para escalar horizontalmente para inúmeros planos de dados e suportar múltiplos clusters ou malhas de serviço híbridas.
  • Consumo de energia: Não detalhado explicitamente, mas a utilização eficiente de recursos (pouca memória por plano de dados, uso otimizado da CPU para o plano de controle) sugere um foco na eficiência operacional.
  • Pegada de carbono: Não detalhada explicitamente.
  • Comparação com ativos semelhantes:
    • Frequentemente comparado a outras soluções de service mesh como VMware Tanzu Platform, HAProxy, Red Hat OpenShift Service Mesh, NGINX Service Mesh e Linkerd.
    • Os usuários classificam o Kong Mesh como superior ao NGINX Service Mesh (Legado) e ao Linkerd em termos de serviço e suporte, além de oferecer integração e implantação mais fáceis do que o Linkerd.
    • Alguns usuários consideram outras malhas de serviço, como o Istio, excessivamente complexas, enquanto o Kuma (base do Kong Mesh) parece mais simples.

Análise do Estado Geral de Desempenho

O Kong Mesh foi projetado para alto desempenho e escalabilidade em ambientes de microsserviços. Sua arquitetura, baseada em Envoy e Kuma, é otimizada para gerenciamento eficiente de tráfego e baixa latência. A capacidade do plano de controle de gerenciar um grande número de planos de dados com recursos relativamente modestos, aliada à baixa pegada de memória dos proxies de plano de dados individuais, reforça sua eficiência. Melhorias de desempenho, como o suporte a eBPF, reduzem ainda mais a latência. Embora benchmarks comparativos diretos com todos os concorrentes não estejam prontamente disponíveis, o feedback dos usuários e as comparações com outras malhas de serviço sugerem uma posição favorável em termos de facilidade de uso e integração, o que contribui indiretamente para o desempenho operacional. Opções de ajuste fino de desempenho, como otimização de conexões de banco de dados e configuração de serviços acessíveis, permitem maior personalização para atender às demandas específicas de cada carga de trabalho.

Avaliações e comentários dos usuários

As avaliações dos usuários destacam os pontos fortes do Kong Mesh em recursos corporativos, segurança e escalabilidade, ao mesmo tempo que apontam áreas para melhoria na documentação e na complexidade inicial.

  • Pontos fortes:
    • Funcionalidade e suporte de nível empresarial para Kubernetes e máquinas virtuais em qualquer nuvem.
    • Baseado em projetos de código aberto amplamente utilizados (Envoy e Kuma).
    • Facilidade de compreensão, segurança e bom desempenho proporcionados pelo balanceador de carga.
    • Integração perfeita com o Kong Enterprise para uma plataforma de conectividade completa.
    • Funcionalidades robustas como controle de tráfego preciso, ferramentas de observabilidade e mecanismos de segurança abrangentes (autenticação, criptografia).
    • Suporte a múltiplas zonas e múltiplas malhas para implantações distribuídas.
    • Simplifica a gestão de microsserviços, aumenta a segurança, melhora o desempenho e garante uma comunicação perfeita.
    • Fácil de instalar, configurar e gerenciar.
  • Pontos fracos:
    • A implementação de uma malha de serviços pode ser complexa no início.
    • Desejo por mais exemplos e tutoriais na documentação oficial.
    • A interface gráfica do usuário (GUI) poderia se beneficiar de mais opções de personalização e filtragem.
    • A configuração inicial pode ser complicada, especialmente ao integrar com ferramentas de automação existentes, como o Helm, em vez da CLI do Kuma.
    • As atualizações podem ser complicadas e a documentação, por vezes, é deficiente.
    • Gerar certificados para TLS pode ser um processo complicado.
  • Casos de uso recomendados:
    • Estabelecer a comunicação entre serviços em arquiteturas de microsserviços.
    • Organizações que buscam uma implementação simplificada de malha de serviços com recursos robustos.
    • Empresas focadas em segurança de confiança zero e conformidade com o GDPR.
    • Implantação de uma malha de serviços distribuída em Kubernetes e máquinas virtuais em qualquer ambiente.
    • Modernizar o foco do desenvolvedor na resolução de problemas do cliente, alcançando alta disponibilidade e segurança de ponta a ponta.

Resumo

O Kong Mesh é uma solução de service mesh robusta e de nível empresarial, construída sobre as bases sólidas do Kuma e do Envoy da CNCF. Ele se destaca por fornecer uma plataforma unificada para o gerenciamento de microsserviços em diversos ambientes, incluindo Kubernetes, máquinas virtuais e servidores físicos, suportando implantações de zona única e multizona. Seus pontos fortes residem em seus recursos abrangentes de segurança, particularmente suas capacidades nativas de confiança zero com criptografia mTLS automática, permissões de tráfego granulares e profunda integração com o Open Policy Agent (OPA) para autorização refinada. A plataforma também oferece alta observabilidade, confiabilidade de tráfego e escalabilidade, com um plano de controle capaz de gerenciar um grande número de planos de dados com eficiência. Os usuários apreciam seu suporte de nível empresarial e a integração perfeita com outros produtos Kong, formando uma plataforma de conectividade completa.

No entanto, o Kong Mesh apresenta alguns desafios. A configuração e implementação iniciais podem ser complexas, e os usuários expressaram o desejo de tutoriais e documentação mais abrangentes, principalmente em relação a casos de uso avançados e integração com fluxos de trabalho de automação existentes. Embora seu desempenho seja geralmente sólido, benchmarks específicos e detalhados nem sempre estão prontamente disponíveis, e alguns usuários relataram dificuldades com atualizações e gerenciamento de certificados TLS.

De modo geral, o Kong Mesh é altamente recomendado para empresas que buscam uma malha de serviços segura, escalável e rica em recursos para gerenciar arquiteturas complexas de microsserviços. Seus pontos fortes em segurança, ampla compatibilidade e suporte corporativo o tornam um forte concorrente para aplicações críticas. As organizações devem estar preparadas para uma curva de aprendizado durante a implementação inicial e aproveitar os recursos de suporte do Kong para lidar com as complexidades. O contato contínuo com a documentação oficial e os fóruns da comunidade é aconselhável para otimizar a implantação e as operações.

As informações fornecidas são baseadas em dados disponíveis publicamente e podem variar dependendo das configurações específicas do dispositivo. Para obter informações atualizadas, consulte os recursos oficiais do fabricante.

Simplifique o seu ecossistema IT com InvGate Asset Management

30 dias de teste gratuito - Não é necessário cartão de crédito

Comece

Preços claros

Sem surpresas nem taxas ocultas: somente preços claros que atendam às suas necessidades.

Ver Preços

Migração fácil

Nossa equipe garante que sua transição para a InvGate seja rápida, tranquila e sem complicações.

Ver Customer Experience