Panoramica tecnica di GKE Enterprise (Anthos)

GKE Enterprise è la piattaforma di container basata su cloud di Google per l'esecuzione coerente di app moderne ovunque e su vasta scala. Questa guida fornisce una panoramica sul funzionamento di GKE Enterprise e su come può aiutarti a fornire applicazioni gestibili, scalabili e affidabili.

Perché GKE Enterprise?

In genere, man mano che le organizzazioni adottano tecnologie cloud-native come container, orchestrazione di container e mesh di servizi, raggiungono un punto in cui l'esecuzione di un singolo cluster non è più sufficiente. Esistono vari motivi per cui le organizzazioni scelgono di eseguire il deployment di più cluster per raggiungere i propri obiettivi tecnici e aziendali, ad esempio separando gli ambienti di produzione da quelli non di produzione, le varie restrizioni normative o separando i servizi tra livelli, impostazioni internazionali o team. Tuttavia, l'utilizzo di più cluster ha le proprie difficoltà e i suoi costi generali in termini di configurazione, sicurezza e gestione coerenti: ad esempio, configurare manualmente un cluster alla volta rischia di subire interruzioni e può essere difficile capire esattamente dove si verificano errori.

Le cose possono diventare ancora più complesse (e costose) quando i cluster non sono tutti in un unico posto. Molte organizzazioni che utilizzano Google Cloud vogliono o devono eseguire carichi di lavoro nei propri data center, negli stabilimenti, nei negozi al dettaglio e persino in altri cloud pubblici, ma non vogliono creare da sole nuove piattaforme di container in tutte queste località o ripensare il modo in cui configurano, proteggono, monitorano e ottimizzano i carichi di lavoro dei container in base a dove sono in esecuzione, con la possibilità di ambienti incoerenti, rischi di sicurezza e di configurazione errata e lavoro operativo.

Ad esempio:

  • Un istituto finanziario sta creando una piattaforma di digital banking su Google Cloud e richiede configurazioni coerenti, una rigorosa applicazione dei criteri di sicurezza e una visibilità approfondita sulle modalità di comunicazione di più app. Una grande azienda di vendita al dettaglio che crea una piattaforma di e-commerce moderna ha gli stessi requisiti. Entrambe le aziende gestiscono più cluster in più regioni in Google Cloud utilizzando GKE.
  • Un altro istituto finanziario globale sta creando complesse app di gestione del rischio, app per trasferimenti interbancari e molti altri carichi di lavoro sensibili, alcuni dei quali devono rimanere dietro il firewall aziendale e altri vengono sottoposti a deployment su GKE su Google Cloud.
  • Un importante retailer di prodotti farmaceutici sta creando nuove app per la programmazione dei vaccini, la messaggistica per i clienti e il coinvolgimento digitale per modernizzare le operazioni farmaceutiche e creare un'esperienza in negozio più personalizzata. Queste app richiedono piattaforme di container in negozio integrate con servizi ospitati su Google Cloud come BigQuery e Retail Search
  • Un'azienda di media e intrattenimento richiede un ambiente container coerente in 30 campi da baseball, tutti collegati e gestiti da Google Cloud, per raccogliere e analizzare terabyte di statistiche di gioco e alimentare il coinvolgimento dei fan sia all'interno dello stadio che virtualmente.
  • Un'azienda produttrice di hardware deve testare e ottimizzare la qualità dei prodotti e la sicurezza dei lavoratori analizzando i dati con latenza molto bassa per prendere decisioni quasi in tempo reale e consolidando al contempo i dati in Google Cloud per analisi a lungo termine.
  • Una azienda di software e internet che offre una piattaforma di integrazione in un modello Software as a Service (SaaS) deve offrire la propria piattaforma su diversi principali cloud pubblici da utilizzare dove i clienti hanno bisogno di vicinanza a servizi cloud nativi. L’azienda ha bisogno di un modo unificato e coerente per eseguire il provisioning, configurare, proteggere e monitorare gli ambienti container in più cloud pubblici da un unico piano di gestione, per evitare il sovraccarico operativo connesso alla gestione di ogni ambiente cloud con diversi strumenti di gestione nativi.

GKE Enterprise può aiutare tutte queste organizzazioni fornendo una piattaforma coerente che consente loro di:

  • Modernizza le applicazioni e l'infrastruttura in loco
  • Crea un modello operativo cloud unificato (pannello centralizzato) per creare, aggiornare e ottimizzare i cluster di container ovunque si trovino
  • Scala applicazioni multi-cluster di grandi dimensioni come parchi risorse, ovvero raggruppamenti logici di ambienti simili, con sicurezza, configurazione e gestione dei servizi coerenti
  • Forza l'applicazione di governance e sicurezza coerenti da un piano di controllo unificato

Per farlo, utilizza strumenti e funzionalità "guidati" che li aiutano a gestire, gestire e gestire i carichi di lavoro containerizzati su scala aziendale, consentendo loro di adottare le best practice e i principi che abbiamo appreso dall'esecuzione dei servizi in Google.

Nozioni di base su GKE Enterprise

Diagramma che mostra le funzionalità della piattaforma GKE Enterprise

Le funzionalità di GKE Enterprise si basano sull'idea del parco risorse: un raggruppamento logico di cluster Kubernetes che possono essere gestiti insieme. Un parco risorse può essere interamente composto da cluster GKE su Google Cloud oppure includere cluster esterni a Google Cloud in esecuzione on-premise e su altri cloud pubblici come AWS e Azure.

Dopo aver creato un parco risorse, puoi utilizzare le funzionalità abilitate a livello del parco risorse di GKE Enterprise per aggiungere ulteriore valore e semplificare il lavoro su più cluster e provider di infrastrutture:

  • Gli strumenti di configurazione e gestione dei criteri ti consentono di lavorare più facilmente su larga scala, aggiungendo e aggiornando automaticamente la stessa configurazione, le stesse funzionalità e gli stessi criteri di sicurezza in modo coerente in tutto il parco risorse, ovunque si trovino i cluster.
  • Le funzionalità di networking a livello di parco risorse consentono di gestire il traffico nell'intero parco risorse, incluso Ingress multi-cluster per applicazioni su più cluster e funzionalità di gestione del traffico mesh di servizi.
  • Le funzionalità di gestione delle identità ti aiutano a configurare in modo coerente l'autenticazione per i carichi di lavoro e gli utenti del parco risorse.
  • Le funzionalità di osservabilità consentono di monitorare e risolvere i problemi dei cluster e delle applicazioni del parco risorse, inclusi integrità, utilizzo delle risorse e postura di sicurezza.
  • Gli strumenti di gestione dei team consentono di assicurarsi che i team abbiano accesso alle risorse di infrastruttura necessarie per eseguire i carichi di lavoro e di offrire ai team una visione delle risorse e dei carichi di lavoro a livello di team.
  • Per le applicazioni basate su microservizi in esecuzione nel tuo parco risorse, Anthos Service Mesh fornisce potenti strumenti per la sicurezza delle applicazioni, il networking e l'osservabilità in tutto il mesh.

Puoi abilitare l'intera piattaforma GKE Enterprise per l'utilizzo di tutte le funzionalità disponibili, incluse funzionalità multi-cloud e cloud ibrido, oppure puoi creare un parco risorse solo su Google Cloud e pagare per le funzionalità aziendali aggiuntive in base alle tue esigenze. GKE Enterprise utilizza tecnologie open source standard di settore e supporta diversi provider di infrastrutture, offrendo la flessibilità necessaria per utilizzare GKE Enterprise in modo da soddisfare le esigenze aziendali e organizzative.

Come funzionano i parchi risorse

I parchi risorse sono il modo in cui GKE Enterprise consente di raggruppare e normalizzare logicamente i cluster Kubernetes, semplificando l'amministrazione dell'infrastruttura. L'adozione dei parchi risorse aiuta la tua organizzazione a migliorare il livello di gestione da singoli cluster a gruppi di cluster, grazie a un'unica visualizzazione sull'intero parco risorse nella console Google Cloud. Tuttavia, i parchi risorse sono più di semplici gruppi di cluster. I principi di identità e fiducia che si presuppongono all'interno di un parco risorse sono quelli che ti consentono di utilizzare l'intera gamma di funzionalità abilitate per il parco risorse.

Il primo di questi principi del parco risorse è l'identicità. Ciò significa che, all'interno di un parco risorse di cluster, alcuni oggetti Kubernetes, come gli spazi dei nomi in cluster diversi, vengono trattati come se fossero la stessa cosa quando hanno lo stesso nome. Questa normalizzazione, che semplifica la gestione di più cluster contemporaneamente, viene utilizzata dalle funzionalità di GKE Enterprise abilitate per il parco risorse. Ad esempio, puoi applicare un criterio di sicurezza con Policy Controller a tutti i servizi del parco risorse nello spazio dei nomi foo, indipendentemente dai cluster in cui si trovano o da dove si trovano.

I parchi risorse presuppongono inoltre l'uguaglianza dei servizi (tutti i servizi in uno spazio dei nomi con lo stesso nome possono essere trattati come lo stesso servizio, ad esempio per scopi di gestione del traffico) e dell'identità (i servizi e i carichi di lavoro all'interno di un parco risorse possono sfruttare un'identità comune per l'autenticazione e l'autorizzazione). Il principio dell'identicità del parco risorse fornisce anche indicazioni solide su come configurare spazi dei nomi, servizi e identità, seguendo ciò che molte organizzazioni e Google già implementano come best practice.

Un altro principio chiave è la fiducia: l'identicità dei servizi, dell'identità dei carichi di lavoro e dell'identità del mesh si basano tutte su un principio di elevata fiducia tra i membri di un parco risorse. Questa fiducia consente di migliorare il livello di gestione di queste risorse nel parco risorse, anziché gestire cluster per cluster, e, in ultima analisi, rende meno importante i confini del cluster.

La modalità di organizzazione dei parchi risorse dipende dalle esigenze organizzative e tecniche. Ogni parco risorse è associato a un progetto Google Cloud specifico, chiamato progetto host del parco risorse, che utilizzi per gestire e visualizzare il parco risorse, ma può includere cluster di altri progetti. Ad esempio, potresti avere parchi risorse separati per i tuoi ambienti di produzione, test e sviluppo oppure gruppi separati per linee di business diverse (è possibile gestire team diversi come tenant sull'infrastruttura all'interno dei parchi risorse utilizzando gli ambiti). I cluster che hanno grandi quantità di comunicazioni tra servizi traggono maggiore vantaggio dalla gestione insieme in un parco risorse. I cluster nello stesso ambiente (ad esempio, l'ambiente di produzione) devono trovarsi nello stesso parco risorse. In genere consigliamo il parco risorse più grande che consenta affidabilità e uniformità tra i servizi. Tieni presente che Anthos Service Mesh, se scegli di utilizzarlo, ti consente di abilitare un controllo più granulare degli accessi ai servizi all'interno del tuo parco risorse.

Scopri di più:

Cluster Kubernetes ovunque

Kubernetes è il fulcro di GKE Enterprise e offre un'ampia gamma di opzioni di cluster Kubernetes tra cui scegliere durante la creazione del tuo parco risorse:

  • Google Kubernetes Engine (GKE) è l'implementazione Kubernetes gestita da Google, con le seguenti opzioni disponibili per gli utenti di GKE Enterprise:
    • Su Google Cloud, GKE dispone di un piano di controllo ospitato nel cloud e di cluster composti da istanze di Compute Engine. Mentre GKE su Google Cloud da solo ti aiuta a eseguire automaticamente il deployment, la scalabilità e la gestione di Kubernetes, il raggruppamento dei cluster GKE in un parco risorse ti consente di lavorare più facilmente su larga scala e di utilizzare le funzionalità di GKE Enterprise oltre a quelle di gestione dei cluster già offerte da GKE.
    • All'esterno di Google Cloud, GKE è esteso per l'utilizzo con altri provider di infrastrutture, tra cui Azure, AWS, e sul tuo hardware on-premise (su VMware o on bare metal). In queste opzioni, il piano di controllo Kubernetes fornito da Google viene eseguito nel tuo data center o cloud provider insieme ai nodi dei cluster, con i cluster connessi al progetto host del tuo parco risorse in Google Cloud.
  • Google Distributed Cloud Edge ti consente inoltre di aggiungere cluster GKE on-premise al tuo parco risorse, questa volta in esecuzione su hardware fornito e gestito da Google e con supporto di un sottoinsieme di funzionalità di GKE Enterprise.
  • I cluster GKE non sono la tua unica opzione. GKE Enterprise offre inoltre la possibilità di registrare cluster Kubernetes di terze parti conformi nel tuo parco risorse, ad esempio cluster EKS e AKS, noti come cluster collegati. Con questa opzione puoi continuare a eseguire i carichi di lavoro esistenti ovunque si trovino, aggiungendo al contempo valore con un sottoinsieme di funzionalità di GKE Enterprise. GKE Enterprise non gestisce il piano di controllo Kubernetes o i componenti dei nodi, ma solo i servizi GKE Enterprise in esecuzione su questi cluster.

Per tutti i cluster basati su GKE, inclusi on-premise e cloud pubblici, GKE Enterprise fornisce strumenti per la gestione e il ciclo di vita dei cluster (creazione, aggiornamento, eliminazione e upgrade), incluse utilità a riga di comando e, per alcuni tipi di cluster, per la gestione dalla console Google Cloud.

Configurazione del cluster

Ovunque si trovino i tuoi cluster, Config Sync fornisce un modo coerente per gestire la configurazione dei cluster nell'intero parco risorse, inclusi i cluster collegati. Config Sync utilizza l'approccio della "configurazione come dati": lo stato desiderato dell'ambiente viene definito in modo dichiarativo, mantenuto come unica fonte attendibile sotto il controllo della versione e applicato direttamente con risultati ripetibili. Config Sync monitora un repository Git centrale contenente la tua configurazione e applica automaticamente qualsiasi modifica ai cluster di destinazione specificati, ovunque siano in esecuzione. Qualsiasi YAML o JSON che può essere applicato con i comandi kubectl può essere gestito con Config Sync e applicato a qualsiasi cluster Kubernetes.

Migrazione e VM

Per le organizzazioni che vogliono migrare le proprie applicazioni in container e Kubernetes nell'ambito del processo di modernizzazione, GKE Enterprise include Migrate to Containers, con strumenti per convertire i carichi di lavoro basati su VM in container eseguiti su GKE. Sulle piattaforme GKE Enterprise bare metal (GKE su Bare Metal e Distributed Cloud Edge), le organizzazioni possono anche utilizzare VM Runtime su Google Distributed Cloud per eseguire VM su Kubernetes nello stesso modo in cui eseguono i container, consentendo loro di continuare a utilizzare i carichi di lavoro esistenti basati su VM mentre sviluppano ed eseguono nuove applicazioni basate su container. Quando saranno pronti, possono eseguire la migrazione di questi carichi di lavoro basati su VM nei container e continuare a utilizzare gli stessi strumenti di gestione di GKE Enterprise.

Scopri di più:

Funzionalità di GKE Enterprise

Il resto della guida illustra le funzionalità fornite da GKE Enterprise per aiutarti a gestire i parchi risorse e le applicazioni su cui vengono eseguite. Puoi visualizzare un elenco completo delle funzionalità disponibili per ogni tipo di cluster Kubernetes supportato in Opzioni di deployment di GKE Enterprise.

Networking, autenticazione e sicurezza

Una volta creato il parco risorse, GKE Enterprise ti aiuta a gestire il traffico, l'autenticazione e controllo dell'accesso dell'accesso e applica in modo coerente criteri di sicurezza e conformità a tutto il parco risorse.

Connessione al parco risorse in corso...

Per gestire la connessione a Google in parchi risorse ibridi e multi-cloud, Google fornisce un deployment Kubernetes chiamato agente Connect. Una volta installato in un cluster come parte della registrazione del parco risorse, l'agente stabilisce una connessione tra il cluster all'esterno di Google Cloud e il progetto host del parco risorse Google Cloud, consentendoti di gestire i cluster e i carichi di lavoro da Google e utilizzare i servizi Google.

In ambienti on-premise, la connettività a Google può utilizzare la rete internet pubblica, una VPN ad alta disponibilità, Public Interconnect o Dedicated Interconnect, a seconda dei requisiti di latenza, sicurezza e larghezza di banda delle tue applicazioni quando interagisci con Google Cloud.

Scopri di più:

Bilanciamento del carico

Per gestire il traffico da e verso il tuo parco risorse, GKE Enterprise fornisce le seguenti soluzioni di bilanciamento del carico:

  • I cluster GKE su Google Cloud possono utilizzare le seguenti opzioni:
  • I cluster GKE on-premise ti consentono di scegliere tra diverse modalità di bilanciamento del carico per soddisfare le tue esigenze, tra cui un bilanciatore del carico MetalLB in bundle e la possibilità di configurare manualmente il bilanciamento del carico per utilizzare le soluzioni esistenti
  • Distributed Cloud Edge include il bilanciamento del carico MetalLB in bundle
  • I cluster GKE su altri cloud pubblici utilizzano bilanciatori del carico nativi della piattaforma

Scopri di più:

Autenticazione e controllo degli accessi

La gestione dell'autenticazione e dell'autorizzazione rappresenta una sfida significativa quando si lavora con più cluster su più provider di infrastrutture. Per l'autenticazione nei cluster del tuo parco risorse, GKE Enterprise offre opzioni per un'autenticazione coerente, semplice e sicura durante l'interazione con i cluster dalla riga di comando con kubectl e dalla console Google Cloud.

  • Utilizza l'identità Google:Connect Gateway consente a utenti e account di servizio di autenticarsi nei cluster del tuo parco risorse tramite i relativi ID Google, ovunque si trovino i cluster. Puoi usare questa funzionalità per connetterti direttamente ai cluster o sfruttarla con pipeline di creazione e altre automazione DevOps.
  • Utilizza un'identità di terze parti:il servizio di identità GKE Enterprise di GKE Enterprise ti consente di configurare l'autenticazione con provider di identità di terze parti, consentendo ai tuoi team di continuare a utilizzare nomi utente, password e gruppi di sicurezza esistenti da provider OIDC (e LDAP, se supportati), come Microsoft AD FS e Okta nell'intero parco dispositivi.

Puoi configurare tutti i provider di identità supportati che vuoi per un cluster.

Una volta configurata l'autenticazione, puoi utilizzare il controllo dell'accesso basato sui ruoli (RBAC) standard di Kubernetes per autorizzare gli utenti autenticati a interagire con i tuoi cluster e Identity and Access Management per controllare l'accesso ai servizi Google come Connect Gateway.

Per i carichi di lavoro in esecuzione sui tuoi cluster, GKE Enterprise fornisce un'identità dei carichi di lavoro a livello di parco risorse. Questa funzionalità consente ai carichi di lavoro sui cluster membri del parco risorse di utilizzare identità di un pool di identità per i carichi di lavoro a livello di parco risorse durante l'autenticazione in servizi esterni come le API Cloud. Ciò semplifica la configurazione dell'accesso di un'applicazione a questi servizi rispetto alla configurazione dell'accesso per cluster per cluster. Ad esempio, se hai un'applicazione con un backend di cui è stato eseguito il deployment in più cluster nello stesso parco risorse e che deve eseguire l'autenticazione con un'API di Google, puoi configurare la tua applicazione in modo che tutti i servizi nello spazio dei nomi "backend" possano utilizzare quell'API.

Scopri di più:

Gestione dei criteri

Un'altra sfida quando si lavora con più cluster è l'applicazione di criteri coerenti di sicurezza e conformità normativa in tutto il parco risorse. Molte organizzazioni hanno requisiti di sicurezza e conformità rigorosi, come quelli che proteggono le informazioni dei consumatori nelle applicazioni di servizi finanziari, e devono essere in grado di soddisfarli su larga scala.

Per aiutarti a farlo, Policy Controller applica una logica di business personalizzata a ogni richiesta dell'API Kubernetes ai cluster pertinenti. Questi criteri fungono da "barriere" e impediscono qualsiasi modifica alla configurazione dell'API Kubernetes che violi i controlli di sicurezza, operativi o di conformità. Puoi impostare criteri per bloccare attivamente le richieste API non conformi nel parco risorse o semplicemente per verificare la configurazione dei cluster e segnalare le violazioni. Le regole comuni di sicurezza e conformità possono essere espresse facilmente utilizzando l'insieme di regole integrato di Policy Controller; in alternativa, puoi scrivere regole personalizzate utilizzando il linguaggio dei criteri estensibile, basato sul progetto open source Open Policy Agent.

Scopri di più:

Sicurezza a livello di applicazione

Per le applicazioni in esecuzione sul tuo parco risorse, GKE Enterprise fornisce funzionalità di difesa in profondità per controllo dell'accesso e l'autenticazione, tra cui:

  • Autorizzazione binaria, che consente di garantire che nei cluster del parco risorse venga eseguito il deployment solo delle immagini attendibili.
  • Il criterio di rete di Kubernetes, che consente di specificare i pod autorizzati a comunicare tra loro e con altri endpoint di rete.
  • Controllo dell'accesso ai servizi di Anthos Service Mesh, che consente di configurare un controllo granulare degli accessi ai servizi mesh in base agli account di servizio e ai contesti delle richieste.
  • L'autorità di certificazione Anthos Service Mesh (Mesh CA), che genera e ruota automaticamente i certificati per consentirti di abilitare facilmente l'autenticazione TLS reciproca (mTLS) tra i servizi.

Osservabilità

Una parte fondamentale del funzionamento e della gestione dei cluster su larga scala è la possibilità di monitorare facilmente i cluster e le applicazioni del parco risorse, inclusi l'integrità, l'utilizzo delle risorse e la postura di sicurezza.

GKE Enterprise nella console Google Cloud

La console Google Cloud è l'interfaccia web di Google Cloud che puoi utilizzare per gestire i tuoi progetti e le tue risorse. GKE Enterprise introduce funzionalità aziendali e una visualizzazione strutturata dell'intero parco risorse nelle pagine della console Google Cloud su GKE, fornendo un'interfaccia integrata che ti consente di gestire applicazioni e risorse in un unico posto. Le pagine della dashboard ti consentono di visualizzare dettagli di alto livello e di visualizzare i dati in dettaglio per identificare i problemi.

  • Panoramica: la panoramica generale offre una panoramica dell'utilizzo delle risorse del parco risorse in base alle informazioni fornite tramite Cloud Monitoring e mostra l'utilizzo aggregato di CPU, memoria e disco per parco risorse e per cluster, nonché la copertura di Policy Controller e Config Sync a livello di parco risorse.
  • Gestione dei cluster: la visualizzazione Cluster di GKE Enterprise fornisce una console sicura per visualizzare lo stato di tutti i tuoi progetti e cluster, inclusi l'integrità dei cluster, registrare i cluster nel parco risorse e crearne di nuovi per il tuo parco risorse (solo Google Cloud). Per informazioni su cluster specifici, puoi visualizzare in dettaglio questa visualizzazione o visitare altre dashboard GKE per ottenere ulteriori dettagli sui nodi e sui carichi di lavoro dei cluster.
  • Panoramica del team: se hai configurato dei team per il tuo parco risorse, la panoramica dei team fornisce informazioni sull'utilizzo delle risorse, sui tassi di errore e altre metriche aggregate per team, in modo che gli amministratori e i membri del team possano visualizzare e risolvere più facilmente gli errori.
  • Gestione delle funzionalità:la vista Gestione delle funzionalità consente di visualizzare lo stato delle funzionalità di GKE Enterprise per i cluster del tuo parco risorse.
  • Mesh di servizi: se utilizzi Anthos Service Mesh su Google Cloud, la vista Mesh di servizi offre l'osservabilità dello stato e delle prestazioni dei tuoi servizi. Anthos Service Mesh raccoglie e aggrega i dati relativi a ogni richiesta e risposta al servizio, il che significa che non è necessario instrumentare il codice per raccogliere dati telemetrici o configurare manualmente dashboard e grafici. Anthos Service Mesh carica automaticamente metriche e log su Cloud Monitoring e Cloud Logging per tutto il traffico all'interno del tuo cluster. Questa telemetria dettagliata consente agli operatori di osservare il comportamento dei servizi e di risolvere i problemi, gestire e ottimizzare le applicazioni.
  • Strategia di sicurezza: la visualizzazione Security posture mostra suggerimenti utili e strategici per migliorare la postura di sicurezza del tuo parco risorse.
  • Gestione della configurazione: la visualizzazione Configurazione offre una panoramica dello stato della configurazione di tutti i cluster del parco risorse con Config Sync abilitato e consente di aggiungere rapidamente la funzionalità ai cluster che non sono stati ancora configurati. Puoi tenere facilmente traccia delle modifiche alla configurazione e vedere quale tag di ramo e commit è stato applicato a ciascun cluster. I filtri flessibili semplificano la visualizzazione dello stato dell'implementazione della configurazione per cluster, ramo o tag.
  • Gestione dei criteri:la visualizzazione Policy mostra per quanti cluster nel parco risorse è abilitato Policy Controller, fornisce una panoramica di eventuali violazioni della conformità e consente di aggiungere la funzionalità ai cluster del parco risorse.

Logging e monitoraggio

Per informazioni più approfondite sui tuoi cluster e sui relativi carichi di lavoro, puoi utilizzare Cloud Logging e Cloud Monitoring. Cloud Logging offre una posizione unificata per archiviare e analizzare i dati dei log, mentre Cloud Monitoring raccoglie e archivia automaticamente i dati relativi alle prestazioni, oltre a fornire strumenti di visualizzazione e analisi dei dati. Per impostazione predefinita, la maggior parte dei tipi di cluster GKE Enterprise invia informazioni di logging e monitoraggio per i componenti di sistema (ad esempio i carichi di lavoro negli spazi dei nomi kube-system e gke-connect) a Cloud Monitoring e Cloud Logging. Puoi configurare ulteriormente Cloud Monitoring e Cloud Logging per ottenere informazioni sui tuoi carichi di lavoro delle applicazioni, creare dashboard che comprendono più tipi di metriche, creare avvisi e altro ancora.

A seconda delle esigenze dell'organizzazione e del progetto, GKE Enterprise supporta anche l'integrazione con altri strumenti di osservabilità, tra cui gli strumenti open source Prometheus e Grafana, e strumenti di terze parti come Elastic e Splunk.

Scopri di più:

Gestione servizio

In Kubernetes, un servizio è un modo astratto per esporre un'applicazione in esecuzione su un insieme di pod come servizio di rete, con un singolo indirizzo DNS per il traffico verso i carichi di lavoro del servizio. In una moderna architettura di microservizi, una singola applicazione può essere composta da numerosi servizi e ogni servizio può avere più versioni di cui è stato eseguito il deployment contemporaneamente. La comunicazione service-to-service in questo tipo di architettura avviene sulla rete, quindi i servizi devono essere in grado di gestire le idiosincrasie di rete e altri problemi di infrastruttura sottostanti.

Per semplificare la gestione dei servizi nel tuo parco risorse, puoi utilizzare Anthos Service Mesh. Anthos Service Mesh è basato su Istio, un'implementazione open source di un livello dell'infrastruttura mesh di servizi. I mesh di servizi eliminano i problemi comuni legati all'esecuzione di un servizio, come monitoraggio, networking e sicurezza, con strumenti coerenti e potenti, in modo che gli sviluppatori e gli operatori di servizi possano concentrarsi più facilmente sulla creazione e sulla gestione delle proprie applicazioni. Con Anthos Service Mesh, queste funzioni vengono astratte dal container principale dell'applicazione e implementate in un proxy out-of-process comune distribuito come container separato nello stesso pod. Questo pattern disaccoppia l'applicazione o la logica di business dalle funzioni di rete e consente agli sviluppatori di concentrarsi sulle funzionalità di cui l'azienda ha bisogno. I mesh di servizi consentono inoltre ai team operativi e ai team di sviluppo di separare il lavoro l'uno dall'altro.

Anthos Service Mesh ti offre molte funzionalità oltre a tutte le funzionalità di Istio:

  • Le metriche di servizio e i log per tutto il traffico all'interno del cluster del tuo mesh vengono importati automaticamente in Google Cloud.
  • Le dashboard generate automaticamente mostrano dati telemetrici approfonditi nella dashboard di Anthos Service Mesh, per consentirti di analizzare in dettaglio le metriche e i log, filtrando e suddividendo i dati in base a un'ampia gamma di attributi.
  • Relazioni tra servizi in sintesi: scopri cosa si connette a ogni servizio e quali servizi dipende.
  • Proteggi il traffico tra i servizi: l'autorità di certificazione Anthos Service Mesh (Mesh CA) genera e ruota automaticamente i certificati in modo da poter abilitare facilmente l'autenticazione TLS reciproca (mTLS) con i criteri Istio.
  • Vedi rapidamente il livello di sicurezza della comunicazione non solo del tuo servizio, ma delle sue relazioni con gli altri servizi.
  • Approfondisci le metriche dei tuoi servizi e combinale con altre metriche di Google Cloud utilizzando Cloud Monitoring.
  • Ottieni informazioni chiare e semplici sullo stato del tuo servizio con gli obiettivi del livello di servizio (SLO), che ti consentono di definire e creare avvisi in base ai tuoi standard di integrità dei servizi.

Anthos Service Mesh ti consente di scegliere tra un piano di controllo del mesh di servizi completamente gestito in Google Cloud (solo per mesh in esecuzione sui cluster membri del parco risorse su Google Cloud) o un piano di controllo in-cluster che puoi installare autonomamente. Scopri di più sulle funzionalità disponibili per ogni opzione nella documentazione di Anthos Service Mesh.

Scopri di più:

Che cosa succede dopo?