Technische Übersicht zu GKE Enterprise (Anthos)

GKE Enterprise ist die cloudzentrierte Containerplattform von Google, mit der Sie moderne Anwendungen überall und in großem Maßstab konsistent ausführen können. Dieser Leitfaden bietet einen Überblick darüber, wie GKE Enterprise funktioniert und wie Sie damit verwaltbare, skalierbare und zuverlässige Anwendungen bereitstellen können.

Vorteile von GKE Enterprise

Wenn Unternehmen cloudnative Technologien wie Container, Containerorchestrierung und Service Meshes einsetzen, erreichen sie in der Regel einen Punkt, an dem ein einzelner Cluster nicht mehr ausreicht. Es gibt eine Vielzahl von Gründen, warum Unternehmen mehrere Cluster bereitstellen, um ihre technischen und geschäftlichen Ziele zu erreichen, z. B. die Trennung von Produktions- und Nicht-Produktionsumgebungen, unterschiedliche regulatorische Einschränkungen oder die Trennung von Diensten auf Ebenen, Sprachen oder Teams. Die Verwendung mehrerer Cluster hat jedoch auch ihre eigenen Schwierigkeiten und Kosten in Bezug auf konsistente Konfiguration, Sicherheit und Verwaltung. Wenn Sie z. B. nur einen Cluster manuell konfigurieren, riskieren Sie, dass es zu Ausfällen kommt. Außerdem kann es schwierig sein, genau zu sehen, wo Fehler auftreten.

Wenn sich nicht alle Cluster an einem Ort befinden, kann die Sache noch komplexer (und teurer) werden. Viele Unternehmen, die Google Cloud verwenden, möchten oder müssen auch Arbeitslasten in ihren eigenen Rechenzentren, Fabriken, Einzelhandelsgeschäften und sogar in anderen öffentlichen Clouds ausführen. Sie möchten jedoch nicht an all diesen Standorten selbst neue Containerplattformen erstellen oder neu überdenken, wie sie Containerarbeitslasten je nach Ausführungsort konfigurieren, sichern, überwachen und optimieren. Dadurch können inkonsistente Umgebungen, Sicherheits- und Fehlkonfigurationsrisiken und operativer Aufwand auftreten.

Beispiel:

  • Ein Finanzinstitut entwickelt eine digitale Banking-Plattform in Google Cloud und benötigt konsistente Konfigurationen, strenge Sicherheitsrichtlinien und detaillierte Einblicke in die Kommunikation mehrerer Apps. Ein großes Einzelhandelsunternehmen, das eine moderne E-Commerce-Plattform entwickelt, hat dieselben Anforderungen. Beide Unternehmen verwalten mehrere Cluster in mehreren Regionen in Google Cloud mit GKE.
  • Ein weiteres globales Finanzinstitut entwickelt komplexe Apps für das Risikomanagement, Apps für Überweisungen zwischen Banken und viele andere sensible Arbeitslasten. Einige davon müssen hinter der Unternehmensfirewall bleiben, andere werden in GKE in Google Cloud bereitgestellt.
  • Ein großer Apothekenhändler entwickelt neue Apps für die Impfplanung, Kundennachrichten und digitale Interaktion, um den Apothekenbetrieb zu modernisieren und das Erlebnis im Geschäft zu personalisieren. Für diese Anwendungen sind Containerplattformen im Geschäft erforderlich, die in von Google Cloud gehostete Dienste wie BigQuery und Retail Search eingebunden sind.
  • Ein Medien- und Unterhaltungsunternehmen benötigt eine konsistente Containerumgebung in 30 Spielhallen, die alle mit Google Cloud verbunden und von dort verwaltet werden, um Terabyte an Spielstatistiken zu erfassen und zu analysieren und Interaktionen mit Fans sowohl im Stadion als auch virtuell zu fördern.
  • Ein Hardwarehersteller muss die Qualität der Produkte in der Werkshalle und die Arbeitssicherheit testen und optimieren. Dazu werden Daten mit sehr niedriger Latenz analysiert, um Entscheidungen nahezu in Echtzeit zu treffen und Daten für längerfristige Analysen in Google Cloud zu konsolidieren.
  • Ein Software- und Internetunternehmen, das eine Integrationsplattform in einem SaaS-Modell (Software as a Service) anbietet, muss seine Plattform in mehreren großen öffentlichen Clouds anbieten, damit seine Kunden dort ausgeführt werden können, wo sie native Cloud-Dienste benötigen. Das Unternehmen benötigt eine einheitliche und einheitliche Methode, um Containerumgebungen in mehreren öffentlichen Clouds über eine einzige Verwaltungsebene bereitzustellen, zu konfigurieren, zu schützen und zu überwachen. So wird der operative Aufwand für die Verwaltung jeder Cloud-Umgebung mit verschiedenen nativen Verwaltungstools vermieden.

GKE Enterprise kann all diese Organisationen unterstützen, indem es eine konsistente Plattform bereitstellt, mit der sie:

  • Anwendungen und Infrastruktur direkt modernisieren
  • Einheitliches Cloud-Betriebsmodell erstellen, um Containercluster von überall aus zu erstellen, zu aktualisieren und zu optimieren
  • Skalieren Sie große Multi-Cluster-Anwendungen als Flotten – logische Gruppierungen ähnlicher Umgebungen – mit einheitlicher Sicherheits-, Konfigurations- und Dienstverwaltung
  • Konsistente Governance und Sicherheit über eine einheitliche Steuerungsebene erzwingen

Dazu werden spezielle Tools und Features eingesetzt, die Containerarbeitslasten in Unternehmen steuern, verwalten und ausführen und so Best Practices und Prinzipien anwenden, die wir beim Ausführen von Diensten bei Google gelernt haben.

GKE Enterprise-Grundlagen

Diagramm, das die Features der GKE Enterprise-Plattform zeigt

Die Funktionen von GKE Enterprise basieren auf dem Konzept der Flotte, einer logischen Gruppierung von Kubernetes-Clustern, die zusammen verwaltet werden können. Eine Flotte kann vollständig aus GKE-Clustern in Google Cloud bestehen oder Cluster außerhalb von Google Cloud umfassen, die lokal und in anderen öffentlichen Clouds wie AWS und Azure ausgeführt werden.

Nachdem Sie eine Flotte erstellt haben, können Sie mit den flottenrelevanten Features von GKE Enterprise einen Mehrwert schaffen und die Arbeit über mehrere Cluster und Infrastrukturanbieter hinweg vereinfachen:

  • Die Tools zur Konfigurations- und Richtlinienverwaltung vereinfachen die Arbeit in großem Umfang. Sie werden unabhängig vom Standort Ihrer Cluster automatisch dieselben Konfigurationen, Funktionen und Sicherheitsrichtlinien hinzugefügt und aktualisiert.
  • Flottenweite Netzwerkfeatures erleichtern Ihnen die Verwaltung des Traffics für Ihre gesamte Flotte. Dazu gehören Multi-Cluster-Ingress für Anwendungen, die sich über mehrere Cluster erstrecken, sowie Service Mesh-Funktionen zur Traffic-Verwaltung.
  • Mit den Features zur Identitätsverwaltung können Sie die Authentifizierung für Flottenarbeitslasten und Nutzer einheitlich konfigurieren.
  • Mit den Beobachtbarkeitsfunktionen können Sie die Cluster und Anwendungen Ihrer Flotte überwachen und Fehler beheben, einschließlich des Zustands, der Ressourcennutzung und des Sicherheitsstatus.
  • Mit Tools zur Teamverwaltung können Sie dafür sorgen, dass Ihre Teams Zugriff auf die Infrastrukturressourcen haben, die sie zum Ausführen ihrer Arbeitslasten benötigen. Außerdem erhalten sie eine teambezogene Übersicht über ihre Ressourcen und Arbeitslasten.
  • Für auf Mikrodiensten basierende Anwendungen, die in Ihrer Flotte ausgeführt werden, bietet Anthos Service Mesh leistungsstarke Tools für die Anwendungssicherheit, das Netzwerk und die Beobachtbarkeit in Ihrem Mesh.

Sie können die gesamte GKE Enterprise-Plattform aktivieren, um alle verfügbaren Features einschließlich Multi-Cloud- und Hybrid-Cloud-Funktionen zu nutzen, oder Sie können eine Flotte nur in Google Cloud erstellen und für zusätzliche Enterprise-Features bezahlen, wenn sie benötigt werden. GKE Enterprise nutzt branchenübliche Open-Source-Technologien und unterstützt mehrere Infrastrukturanbieter. So können Sie GKE Enterprise flexibel so nutzen, wie es Ihren geschäftlichen und organisatorischen Anforderungen entspricht.

Funktionsweise von Flotten

Mit Flotten können Sie in GKE Enterprise Kubernetes-Cluster logisch gruppieren und normalisieren, was die Verwaltung der Infrastruktur erleichtert. Wenn Sie Flotten anwenden, kann Ihre Organisation die Verwaltung von einzelnen Clustern auf Clustergruppen ausweiten. Sie erhalten in der Google Cloud Console eine einzige Ansicht Ihrer gesamten Flotte. Flotten sind jedoch mehr als nur Gruppen von Clustern. Die Prinzipien der Gleichheit und des Vertrauens, die bei einer Flotte vorausgesetzt werden, ermöglichen es Ihnen, die gesamte Bandbreite an flottenrelevanten Funktionen zu nutzen.

Das erste dieser Flottenprinzipien ist Gleichheit. Das bedeutet, dass innerhalb einer Flotte von Clustern einige Kubernetes-Objekte, z. B. Namespaces in verschiedenen Clustern, so behandelt werden, als wären sie identisch, wenn sie denselben Namen haben. Diese Normalisierung vereinfacht die gleichzeitige Verwaltung vieler Cluster und wird von Features der GKE Enterprise-Flotte verwendet. Sie können beispielsweise mit Policy Controller eine Sicherheitsrichtlinie auf alle Flottendienste im Namespace foo anwenden, unabhängig davon, in welchen Clustern sie sich befinden oder wo sich diese befinden.

Flotten gehen auch von der Dienstgleichheit (alle Dienste in einem Namespace mit demselben Namen können z. B. zur Traffic-Verwaltung als derselbe Dienst behandelt werden) und von der Gleichheit der Identität aus (Dienste und Arbeitslasten innerhalb einer Flotte können eine gemeinsame Identität für die Authentifizierung und Autorisierung verwenden). Das Prinzip der Flottengleichheit bietet auch eine starke Anleitung zum Einrichten von Namespaces, Diensten und Identitäten, wobei es dem entspricht, was viele Organisationen und Google bereits als Best Practices implementieren.

Ein weiteres Grundprinzip ist Vertrauen: Die Gleichheit der Dienste, der Workload Identity und der Mesh-Identität basiert auf dem Prinzip des hohen Vertrauens zwischen den Mitgliedern einer Flotte. Durch diese Vertrauensstellung können Sie die Verwaltung dieser Ressourcen auf die Flotte ausweiten, anstatt Cluster für Cluster zu verwalten, was letztendlich die Clustergrenze weniger wichtig macht.

Wie Sie Ihre Flotten organisieren, hängt von Ihren organisatorischen und technischen Anforderungen ab. Jede Flotte ist mit einem bestimmten Google Cloud-Projekt verknüpft, das als Flotten-Hostprojekt bezeichnet wird. Mit diesem Projekt können Sie Ihre Flotte verwalten und ansehen, aber auch Cluster aus anderen Projekten enthalten. Sie können beispielsweise separate Flotten für Ihre Produktions-, Test- und Entwicklungsumgebungen oder separate Flotten für verschiedene Geschäftsbereiche haben. Unterschiedliche Teams als Mandanten in Ihrer Infrastruktur können innerhalb der Flotten mithilfe von Bereichen verwaltet werden. Cluster mit einem großen Umfang an dienstübergreifender Kommunikation profitieren am meisten von der gemeinsamen Verwaltung in einer Flotte. Cluster in derselben Umgebung (z. B. Ihrer Produktionsumgebung) sollten sich in derselben Flotte befinden. Wir empfehlen in der Regel die größte Flottengröße, die Vertrauen und Gleichheit unter den Diensten ermöglicht. Beachten Sie dabei, dass Sie mit Anthos Service Mesh, wenn Sie es verwenden möchten, eine genauere Zugriffssteuerung für Dienste in Ihrer Flotte ermöglichen können.


Weitere Informationen:


Überall Kubernetes-Cluster

Kubernetes ist das Herzstück von GKE Enterprise mit einer Vielzahl von Kubernetes-Clusteroptionen, die Sie beim Erstellen Ihrer Flotte auswählen können:

  • Google Kubernetes Engine (GKE) ist die verwaltete Kubernetes-Implementierung von Google mit den folgenden Optionen für GKE Enterprise-Nutzer:
    • In Google Cloud verfügt GKE über eine in der Cloud gehostete Steuerungsebene und Cluster, die aus Compute Engine-Instanzen bestehen. Während GKE in Google Cloud allein Sie dabei unterstützt, Kubernetes automatisch bereitzustellen, zu skalieren und zu verwalten, ermöglicht das Gruppieren von GKE-Clustern in einer Flotte das Arbeiten in großem Umfang und ermöglicht es Ihnen, die GKE Enterprise-Features zusätzlich zu den leistungsstarken Features zur Clusterverwaltung zu verwenden, die bereits von GKE angeboten werden.
    • Außerhalb von Google Cloud kann GKE auch mit anderen Infrastrukturanbietern verwendet werden, einschließlich Azure, AWS und lokaler Hardware (entweder auf VMware oder auf Bare Metal). Bei diesen Optionen wird die von Google bereitgestellte Kubernetes-Steuerungsebene zusammen mit Ihren Clusterknoten in Ihrem Rechenzentrum oder Cloud-Anbieter ausgeführt, wobei Ihre Cluster mit Ihrem Flotten-Hostprojekt in Google Cloud verbunden sind.
  • Mit Google Distributed Cloud Edge können Sie Ihrer Flotte lokale GKE-Cluster hinzufügen, die dieses Mal auf von Google bereitgestellter und verwalteter Hardware ausgeführt werden und einen Teil der GKE Enterprise-Features unterstützen.
  • GKE-Cluster sind nicht die einzige Option. GKE Enterprise bietet auch die Möglichkeit, konforme Kubernetes-Cluster von Drittanbietern bei Ihrer Flotte zu registrieren, z. B. EKS- und AKS-Cluster, die als angehängte Cluster bezeichnet werden. Mit dieser Option führen Sie vorhandene Arbeitslasten dort weiter, wo sie sich befinden, und schaffen einen Mehrwert mit einem Teil der GKE Enterprise-Features. GKE Enterprise verwaltet nicht die Kubernetes-Steuerungsebene oder Knotenkomponenten, sondern nur die GKE Enterprise-Dienste, die auf diesen Clustern ausgeführt werden.

Für alle GKE-basierten Cluster, einschließlich lokaler und öffentlicher Clouds, bietet GKE Enterprise Tools für die Clusterverwaltung und den Lebenszyklus (Erstellen, Aktualisieren, Löschen und Upgraden), einschließlich Befehlszeilendienstprogrammen und für einige Clustertypen die Verwaltung über die Google Cloud Console.

Clusterkonfiguration

Unabhängig davon, wo sich Ihre Cluster befinden, bietet Config Sync eine einheitliche Möglichkeit zur Verwaltung der Clusterkonfiguration in Ihrer gesamten Flotte, einschließlich angehängter Cluster. Config Sync verwendet den Ansatz der „Konfiguration als Daten“: Der gewünschte Status Ihrer Umgebung wird deklarativ definiert, als zentrale Datenquelle unter der Versionsverwaltung verwaltet und direkt mit wiederholbaren Ergebnissen angewendet. Config Sync überwacht ein zentrales Git-Repository, das Ihre Konfiguration enthält, und wendet alle Änderungen automatisch auf die angegebenen Zielcluster an, unabhängig davon, wo sie ausgeführt werden. Jegliches YAML oder JSON, das mit kubectl-Befehlen angewendet werden kann, kann mit Config Sync verwaltet und auf jeden Kubernetes-Cluster angewendet werden.

Migration und VMs

Für Organisationen, die im Rahmen ihres Modernisierungsprozesses ihre Anwendungen zu Containern und Kubernetes migrieren möchten, bietet GKE Enterprise Migrate to Containers mit Tools zum Umwandeln von VM-basierten Arbeitslasten in Container, die in GKE ausgeführt werden. Auf Bare-Metal-Enterprise-Plattformen (GKE on Bare Metal und Distributed Cloud Edge) können Organisationen die VM-Laufzeit in Google Distributed Cloud auch verwenden, um VMs auf Kubernetes auszuführen, genauso wie Container. So können sie vorhandene VM-basierte Arbeitslasten weiterhin nutzen, während sie neue containerbasierte Anwendungen entwickeln und ausführen. Wenn sie bereit sind, können sie diese VM-basierten Arbeitslasten zu Containern migrieren und weiterhin dieselben GKE Enterprise-Verwaltungstools verwenden.


Weitere Informationen:


Features von GKE Enterprise

Im weiteren Verlauf dieses Leitfadens werden die Features von GKE Enterprise vorgestellt, mit denen Sie Ihre Flotten und die auf ihnen ausgeführten Anwendungen verwalten können. Eine vollständige Liste der verfügbaren Features für jeden unterstützten Kubernetes-Clustertyp finden Sie in den GKE Enterprise-Bereitstellungsoptionen.

Netzwerk, Authentifizierung und Sicherheit

Nachdem Sie Ihre Flotte erstellt haben, können Sie mit GKE Enterprise den Traffic verwalten, die Authentifizierung und Zugriffssteuerung verwalten sowie Sicherheits- und Compliancerichtlinien für die gesamte Flotte erzwingen.

Verbindung zur Flotte herstellen

Um die Verbindung zu Google in Hybrid- und Multi-Cloud-Flotten zu verwalten, bietet Google ein Kubernetes-Deployment namens Connect Agent an. Wenn der Agent im Rahmen der Flottenregistrierung in einem Cluster installiert wurde, stellt er eine Verbindung zwischen Ihrem Cluster außerhalb von Google Cloud und dem Flotten-Hostprojekt von Google Cloud her. So können Sie Ihre Cluster und Arbeitslasten über Google verwalten und Google-Dienste nutzen.

In lokalen Umgebungen kann die Verbindung zu Google je nach den Latenz-, Sicherheits- und Bandbreitenanforderungen Ihrer Anwendungen mit Google Cloud über das öffentliche Internet, ein Hochverfügbarkeits-VPN, eine Public Interconnect- oder Dedicated Interconnect-Verbindung erfolgen.


Weitere Informationen:


Load Balancing

Für die Verwaltung des Traffics zu und innerhalb Ihrer Flotte bietet GKE Enterprise die folgenden Load-Balancing-Lösungen:

  • GKE-Cluster in Google Cloud können die folgenden Optionen verwenden:
  • Bei lokalen GKE-Clustern können Sie aus einer Vielzahl von Load-Balancing-Modi entsprechend Ihren Anforderungen auswählen, darunter ein gebündelter MetalLB-Load-Balancer und die Option, das Load-Balancing manuell für Ihre vorhandenen Lösungen zu konfigurieren
  • Distributed Cloud Edge enthält gebündeltes MetalLB-Load-Balancing
  • GKE-Cluster in anderen öffentlichen Clouds verwenden plattformnative Load-Balancer.

Weitere Informationen:


Authentifizierung und Zugriffssteuerung

Eine große Herausforderung bei der Arbeit mit mehreren Clustern über mehrere Infrastrukturanbieter hinweg ist die Verwaltung der Authentifizierung und Autorisierung. Zur Authentifizierung bei den Clustern Ihrer Flotte bietet GKE Enterprise Optionen für eine konsistente, einfache und sichere Authentifizierung bei der Interaktion mit Clustern über die Befehlszeile mit kubectl und über die Google Cloud Console.

  • Google-Identität verwenden:Mit dem Connect Gateway können sich Nutzer und Dienstkonten bei Clustern in Ihrer Flotte mit ihren Google-IDs authentifizieren, unabhängig davon, wo sich die Cluster befinden. Sie können dieses Feature verwenden, um eine direkte Verbindung zu Clustern herzustellen, oder es mit Build-Pipelines und anderen DevOps-Automatisierungen nutzen.
  • Drittanbieter-Identität verwenden:Mit dem GKE Identity Service von GKE Enterprise können Sie die Authentifizierung mit externen Identitätsanbietern konfigurieren. So können Ihre Teams vorhandene Nutzernamen, Passwörter und Sicherheitsgruppen von OIDC-Anbietern (und LDAP, sofern unterstützt) wie Microsoft AD FS und Okta weiterhin für Ihre gesamte Flotte verwenden.

Sie können für einen Cluster beliebig viele unterstützte Identitätsanbieter konfigurieren.

Nachdem Sie die Authentifizierung eingerichtet haben, können Sie die standardmäßige rollenbasierte Zugriffssteuerung von Kubernetes (Role-based Access Control, RBAC) verwenden, um authentifizierte Nutzer für die Interaktion mit Ihren Clustern zu autorisieren. Über Identity and Access Management können Sie den Zugriff auf Google-Dienste wie Connect Gateway steuern.

Für Arbeitslasten, die auf Ihren Clustern ausgeführt werden, bietet GKE Enterprise eine flottenweite Workload Identity. Mit diesem Feature können Arbeitslasten in Clustern von Flottenmitgliedern Identitäten aus einem flottenweiten Workload Identity-Pool verwenden, wenn sie sich bei externen Diensten wie Cloud APIs authentifizieren. So ist es einfacher, den Zugriff einer Anwendung auf diese Dienste einzurichten, anstatt den Zugriff Cluster für Cluster konfigurieren zu müssen. Wenn Sie beispielsweise eine Anwendung mit einem Back-End in mehreren Clustern derselben Flotte bereitstellen und sich bei einer Google API authentifizieren müssen, können Sie Ihre Anwendung so konfigurieren, dass alle Dienste im Namespace „backend“ diese API verwenden können.


Weitere Informationen:


Richtlinienverwaltung

Eine weitere Herausforderung bei der Arbeit mit mehreren Clustern ist das Erzwingen konsistenter Sicherheitsrichtlinien und Richtlinien zur Einhaltung gesetzlicher Vorschriften für Ihre gesamte Flotte. Viele Unternehmen haben strenge Sicherheits- und Compliance-Anforderungen, wie z. B. den Schutz von Nutzerdaten in Finanzdienstleistungsanwendungen, und müssen in der Lage sein, diese in großem Maßstab zu erfüllen.

Zu diesem Zweck erzwingt Policy Controller benutzerdefinierte Geschäftslogik für jede Kubernetes API-Anfrage an die entsprechenden Cluster. Diese Richtlinien dienen als Schutzmaßnahmen und verhindern, dass Änderungen an der Konfiguration der Kubernetes API gegen Sicherheits-, Betriebs- oder Compliancekontrollen verstoßen. Sie können Richtlinien festlegen, um nicht konforme API-Anfragen in Ihrer Flotte aktiv zu blockieren oder einfach die Konfiguration Ihrer Cluster zu prüfen und Verstöße zu melden. Gängige Sicherheits- und Complianceregeln können mit den integrierten Regeln von Policy Controller einfach ausgedrückt werden. Sie können aber auch eigene Regeln mit der erweiterbaren Richtliniensprache erstellen, die auf dem Open-Source-Projekt Open Policy Agent basiert.


Weitere Informationen:


Sicherheit auf Anwendungsebene

Für Anwendungen, die auf Ihrer Flotte ausgeführt werden, bietet GKE Enterprise gestaffelte Sicherheitsebenen für Zugriffssteuerung und Authentifizierungsfunktionen, darunter:

  • Binärautorisierung, mit der Sie dafür sorgen können, dass nur vertrauenswürdige Images in den Clustern Ihrer Flotte bereitgestellt werden.
  • Kubernetes-Netzwerkrichtlinie, mit der Sie angeben können, welche Pods miteinander und mit anderen Netzwerkendpunkten kommunizieren dürfen.
  • Dienstzugriffssteuerung von Anthos Service Mesh: Damit können Sie eine detaillierte Zugriffssteuerung für Ihre Mesh-Dienste anhand von Dienstkonten und Anfragekontexten konfigurieren.
  • Die Anthos Service Mesh-Zertifizierungsstelle (Mesh CA), die Zertifikate automatisch generiert und rotiert, sodass Sie die gegenseitige TLS-Authentifizierung (mTLS) zwischen Ihren Diensten einfach aktivieren können.

Beobachtbarkeit

Ein wichtiger Bestandteil des Betriebs und der Verwaltung von Clustern in großem Maßstab ist die einfache Überwachung der Cluster und Anwendungen Ihrer Flotte, einschließlich ihres Zustands, ihrer Ressourcennutzung und ihres Sicherheitsstatus.

GKE Enterprise in der Google Cloud Console

Die Google Cloud Console ist die Weboberfläche von Google Cloud, in der Sie Ihre Projekte und Ressourcen verwalten können. GKE Enterprise bietet Unternehmensfunktionen und eine strukturierte Ansicht Ihrer gesamten Flotte auf den GKE-Seiten der Google Cloud Console. Mit einer integrierten Oberfläche können Sie Ihre Anwendungen und Ressourcen zentral verwalten. Auf den Dashboard-Seiten können Sie Details auf hoher Ebene anzeigen und Daten so weit aufschlüsseln, wie es zur Identifizierung von Problemen erforderlich ist.

  • Übersicht:Die allgemeine Übersicht bietet einen Überblick über die Ressourcennutzung Ihrer Flotte auf der Grundlage von über Cloud Monitoring bereitgestellten Informationen. Sie zeigt die nach Flotte und Cluster aggregierte CPU-, Arbeitsspeicher- und Laufwerksauslastung sowie die flottenweite Policy Controller- und Config Sync-Abdeckung.
  • Clusterverwaltung:Die Ansicht „Clusterverwaltung“ in GKE Enterprise bietet eine sichere Konsole, in der Sie den Status aller Cluster Ihres Projekts und Ihrer Flotte ansehen können, einschließlich des Clusterzustands, zum Registrieren von Clustern bei Ihrer Flotte und zum Erstellen neuer Cluster für Ihre Flotte (nur Google Cloud). Informationen zu bestimmten Clustern können Sie in dieser Ansicht aufschlüsseln oder andere GKE-Dashboards aufrufen, um weitere Details zu Ihren Clusterknoten und Arbeitslasten zu erhalten.
  • Teamübersicht:Wenn Sie für Ihre Flotte Teams eingerichtet haben, werden in der Teamübersicht die Ressourcenauslastung, Fehlerraten und andere nach Team aggregierte Messwerte aufgeführt. So können Administratoren und Teammitglieder Fehler leichter sehen und beheben.
  • Featureverwaltung:In der Ansicht „Featureverwaltung“ können Sie sich den Status der GKE Enterprise-Features für Ihre Flottencluster ansehen.
  • Service Mesh: Wenn Sie Anthos Service Mesh in Google Cloud verwenden, bietet die Service Mesh-Ansicht Einblick in den Zustand und die Leistung Ihrer Dienste. Anthos Service Mesh erfasst und aggregiert Daten zu jeder Dienstanfrage und -antwort. Das bedeutet, dass Sie Ihren Code nicht instrumentieren müssen, um Telemetriedaten zu erfassen oder Dashboards und Diagramme manuell einzurichten. Anthos Service Mesh lädt automatisch Messwerte und Logs für den gesamten Traffic in Ihrem Cluster in Cloud Monitoring und Cloud Logging hoch. Mit dieser detaillierten Telemetrie können Betreiber das Dienstverhalten beobachten und ihre Anwendungen in die Lage versetzen, Fehler zu beheben, zu warten und zu optimieren.
  • Sicherheitsstatus: Die Ansicht „Sicherheitsstatus“ zeigt Ihnen durchdachte, umsetzbare Empfehlungen zur Verbesserung des Sicherheitsstatus Ihrer Flotte.
  • Konfigurationsverwaltung:In der Konfigurationsansicht erhalten Sie einen Überblick über den Konfigurationsstatus aller Flottencluster mit aktiviertem Config Sync. Außerdem können Sie das Feature schnell zu Clustern hinzufügen, die noch nicht eingerichtet wurden. Sie können Konfigurationsänderungen ganz einfach verfolgen und sehen, welcher Branch und welches Commit-Tag auf jeden Cluster angewendet wurde. Flexible Filter machen es einfach, den Einführungsstatus der Konfiguration nach Cluster, Zweig oder Tag anzusehen.
  • Richtlinienverwaltung:In der Richtlinienansicht sehen Sie, für wie viele Cluster in Ihrer Flotte Policy Controller aktiviert ist. Außerdem erhalten Sie einen Überblick über alle Complianceverstöße und können das Feature zu Flottenclustern hinzufügen.

Logging und Monitoring

Detailliertere Informationen zu Ihren Clustern und deren Arbeitslasten erhalten Sie mit Cloud Logging und Cloud Monitoring. Cloud Logging bietet einen zentralen Ort zum Speichern und Analysieren von Logdaten. Cloud Monitoring erfasst und speichert Leistungsdaten automatisch und bietet Tools für die Datenvisualisierung und Datenanalyse. Die meisten GKE Enterprise-Clustertypen senden standardmäßig Logging- und Monitoring-Informationen für Systemkomponenten (z. B. Arbeitslasten in den Namespaces kube-system und gke-connect) an Cloud Monitoring und Cloud Logging. Sie können Cloud Monitoring und Cloud Logging weiter konfigurieren, um Informationen zu eigenen Anwendungsarbeitslasten zu erhalten, Dashboards mit mehreren Messwerttypen und Benachrichtigungen zu erstellen.

Je nach Organisations- und Projektanforderungen unterstützt GKE Enterprise auch die Einbindung in andere Beobachtbarkeitstools, einschließlich Open-Source-Prometheus und Grafana, sowie in Tools von Drittanbietern wie Elastic und Splunk.


Weitere Informationen:


Dienstverwaltung

In Kubernetes ist ein Dienst eine abstrakte Möglichkeit, eine Anwendung, die auf einer Reihe von Pods ausgeführt wird, als Netzwerkdienst mit einer einzigen DNS-Adresse für Traffic zu den Dienstarbeitslasten freizugeben. In einer modernen Mikrodienstarchitektur kann eine einzelne Anwendung aus zahlreichen Diensten bestehen und für jeden Dienst können mehrere Versionen gleichzeitig bereitgestellt werden. Die Dienst-zu-Dienst-Kommunikation erfolgt bei dieser Art von Architektur über das Netzwerk. Daher müssen die Dienste in der Lage sein, mit Netzwerkidiosyncrasies und anderen zugrunde liegenden Infrastrukturproblemen umzugehen.

Mit Anthos Service Mesh lässt sich die Verwaltung der Dienste in Ihrer Flotte vereinfachen. Anthos Service Mesh basiert auf Looker, einer Open-Source-Implementierung einer Service-Mesh-Infrastrukturebene. Service Meshes berücksichtigen häufige Probleme bei der Ausführung eines Dienstes wie Monitoring, Netzwerk und Sicherheit mit konsistenten, leistungsstarken Tools, die es Dienstentwicklern und -betreibern erleichtern, sich auf das Erstellen und Verwalten ihrer Anwendungen zu konzentrieren. Bei Anthos Service Mesh werden diese Funktionen vom primären Container der Anwendung abstrahiert und in einem gemeinsamen Out-of-Process-Proxy implementiert, der als separater Container im selben Pod bereitgestellt wird. Dieses Muster entkoppelt die Anwendung oder Geschäftslogik von den Netzwerkfunktionen und ermöglicht es den Entwicklern, sich auf die Funktionen zu konzentrieren, die das Unternehmen benötigt. Außerdem können Betriebs- und Entwicklungsteams mit Service Meshes ihre Arbeit voneinander entkoppeln.

Anthos Service Mesh bietet neben allen Funktionen von Istio viele Features:

  • Dienstmesswerte und Logs für den gesamten Traffic im Cluster Ihres Mesh-Netzwerks werden automatisch in Google Cloud aufgenommen.
  • Automatisch generierte Dashboards zeigen detaillierte Telemetriedaten im Anthos Service Mesh-Dashboard an. So können Sie Messwerte und Logs detailliert analysieren und Ihre Daten nach einer Vielzahl von Attributen filtern und segmentieren.
  • Dienst-zu-Dienst-Beziehungen auf einen Blick: Hier erfahren Sie, was mit dem jeweiligen Dienst verbunden ist und von welchen Diensten er abhängt.
  • Traffic zwischen Diensten schützen: Die Anthos Service Mesh-Zertifizierungsstelle (Mesh CA) generiert und rotiert Zertifikate automatisch. So können Sie die gegenseitige TLS-Authentifizierung (mTLS) einfach mit Istio-Richtlinien aktivieren.
  • Schneller Überblick über den Kommunikationssicherheitsstatus nicht nur Ihres Dienstes, sondern auch seiner Beziehungen zu anderen Diensten
  • Mit Cloud Monitoring können Sie Ihre Dienstmesswerte genauer analysieren und sie mit anderen Google Cloud-Messwerten kombinieren.
  • Service Level Objectives (SLOs) bieten Ihnen einen klaren und einfachen Einblick in den Dienststatus. Sie können Ihre eigenen Standards für den Dienststatus einfach definieren und Benachrichtigungen dazu ausgeben.

Mit Anthos Service Mesh können Sie zwischen einer vollständig verwalteten Service-Mesh-Steuerungsebene in Google Cloud (für Mesh-Netzwerke, die nur auf Clustern der Flottenmitglieder in Google Cloud ausgeführt werden) und einer clusterinternen Steuerungsebene wählen, die Sie selbst installieren. Weitere Informationen zu den für die einzelnen Optionen verfügbaren Features finden Sie in der Dokumentation zu Anthos Service Mesh.


Weitere Informationen:


Nächste Schritte