Descripción general técnica de GKE Enterprise (Anthos)

GKE Enterprise es la plataforma de contenedores centrada en la nube de Google para ejecutar apps modernas en cualquier lugar y a gran escala. En esta guía, se proporciona una descripción general de cómo funciona GKE Enterprise y cómo puede ayudarte a entregar aplicaciones administrables, escalables y confiables.

¿Por qué GKE Enterprise?

Por lo general, a medida que las organizaciones adoptan tecnologías nativas de la nube como los contenedores, la organización de contenedores y las mallas de servicios, llegan a un punto en el que ejecutar un solo clúster ya no es suficiente. Existen varios motivos por los que las organizaciones eligen implementar varios clústeres para lograr sus objetivos técnicos y comerciales; por ejemplo, separar los entornos de producción de los que no lo son, diferentes restricciones regulatorias o separar los servicios entre niveles, configuraciones regionales o equipos. Sin embargo, el uso de varios clústeres tiene sus propias dificultades y sobrecargas en términos de configuración, seguridad y administración coherentes. Por ejemplo, configurar de forma manual un clúster a la vez genera fallas y puede ser difícil ver exactamente dónde se producen los errores.

Las cosas pueden volverse aún más complejas (y costosas) si los clústeres no están todos en un solo lugar. Muchas organizaciones que usan Google Cloud también quieren o necesitan ejecutar cargas de trabajo en sus propios centros de datos, plantas de producción, tiendas minoristas y hasta en otras nubes públicas, pero no quieren compilar nuevas plataformas de contenedores en todas esas ubicaciones ni repensar cómo configuran, protegen, supervisan y optimizan las cargas de trabajo de contenedores según dónde se ejecuten, con la posibilidad de entornos incoherentes, riesgos de seguridad y configuración incorrecta, y trabajo repetitivo operativo.

Por ejemplo:

  • Una institución financiera está creando una plataforma bancaria digital en Google Cloud y requiere parámetros de configuración coherentes, una sólida aplicación de políticas de seguridad y una visibilidad profunda de cómo se comunican múltiples apps. Una gran empresa de venta minorista que crea una plataforma de comercio electrónico moderna tiene los mismos requisitos. Ambas empresas administran múltiples clústeres en distintas regiones de Google Cloud con GKE.
  • Otra institución financiera global está creando apps complejas de administración de riesgos, apps de transferencias interbancarias y muchas otras cargas de trabajo sensibles, algunas de las cuales deben permanecer detrás del firewall corporativo y otras se implementan en GKE en Google Cloud.
  • Un importante minorista de farmacia está creando nuevas apps de programación de vacunas, mensajería a los clientes y participación digital para modernizar las operaciones farmacéuticas y crear una experiencia más personalizada en las tiendas. Estas apps requieren plataformas de contenedores en la tienda integradas en los servicios alojados en Google Cloud, como BigQuery y Retail Search
  • Una empresa de medios de comunicación y entretenimiento necesita un entorno de contenedores coherente en 30 estadios, todos conectados a Google Cloud y administrados desde allí, para recopilar y analizar terabytes de estadísticas de juegos y, también, impulsar la participación de los fans tanto dentro del estadio como de manera virtual.
  • En una empresa de fabricación de hardware, necesitan probar y optimizar la calidad de los productos de la planta y la seguridad de los trabajadores a través del análisis de datos con una latencia muy baja para tomar decisiones casi en tiempo real, a la vez que consolidan los datos en Google Cloud para el análisis a más largo plazo.
  • Una empresa de Internet y software que ofrece una plataforma de integración en un modelo de software como servicio (SaaS) debe ofrecer su plataforma en varias nubes públicas importantes para ejecutarse donde sus clientes necesiten estar cerca de servicios nativos en la nube. La empresa necesita una forma unificada y coherente de aprovisionar, configurar, proteger y supervisar entornos de contenedores en múltiples nubes públicas desde un plano de administración para evitar la sobrecarga operativa de administrar cada entorno de nube con diferentes herramientas de administración nativas.

GKE Enterprise puede ayudar a todas estas organizaciones proporcionando una plataforma coherente que les permite hacer lo siguiente:

  • Moderniza las aplicaciones y la infraestructura in situ
  • Crea un modelo operativo unificado en la nube (panel único) para crear, actualizar y optimizar clústeres de contenedores dondequiera que estén
  • Escalar grandes aplicaciones de varios clústeres como flotas (grupos lógicos de entornos similares) con seguridad, configuración y administración de servicios coherentes
  • Aplica una administración y seguridad coherentes desde un plano de control unificado

Lo hace con herramientas y funciones bien definidas que los ayudan a controlar, administrar y operar cargas de trabajo alojadas en contenedores a escala empresarial, lo que les permite adoptar las prácticas recomendadas y los principios que aprendimos de la ejecución de servicios en Google.

Conceptos básicos de GKE Enterprise

Diagrama en el que se muestran las funciones de la plataforma GKE Enterprise

Las funciones de GKE Enterprise se basan en la idea de la flota: una agrupación lógica de clústeres de Kubernetes que se pueden administrar juntos. Una flota puede estar compuesta completamente por clústeres de GKE en Google Cloud o incluir clústeres fuera de Google Cloud que se ejecuten de forma local y en otras nubes públicas, como AWS y Azure.

Una vez que hayas creado una flota, puedes usar las funciones habilitadas para flotas de GKE Enterprise para agregar más valor y simplificar el trabajo en múltiples clústeres y proveedores de infraestructura:

  • Las herramientas de configuración y administración de políticas te ayudan a trabajar con mayor facilidad a gran escala, ya que agregan y actualizan automáticamente la misma configuración, las mismas funciones y las mismas políticas de seguridad de forma coherente en toda tu flota, sin importar dónde se encuentren tus clústeres.
  • Las funciones de red de toda la flota te ayudan a administrar el tráfico en toda tu flota, incluido el ingreso de varios clústeres para las aplicaciones que abarcan varios clústeres y las funciones de administración del tráfico de la malla de servicios.
  • Las funciones de administración de identidades te ayudan a configurar de manera coherente la autenticación para las cargas de trabajo y los usuarios de la flota.
  • Las funciones de observabilidad te permiten supervisar los clústeres y las aplicaciones de tu flota y solucionar problemas relacionados, incluidos el estado, el uso de recursos y la postura de seguridad.
  • Las herramientas de administración de equipos te permiten asegurarte de que tus equipos tengan acceso a los recursos de infraestructura que necesitan para ejecutar sus cargas de trabajo y les brindan a los equipos una vista de alcance de equipo de sus recursos y cargas de trabajo.
  • Para las aplicaciones basadas en microservicios que se ejecutan en tu flota, Anthos Service Mesh proporciona herramientas potentes para la seguridad de las aplicaciones, las herramientas de redes y la observabilidad en tu malla.

Puedes habilitar toda la plataforma GKE Enterprise para usar todas las funciones disponibles, incluidas las de múltiples nubes y nube híbrida, o puedes crear una flota solo en Google Cloud y pagar por funciones empresariales adicionales según las necesites. GKE Enterprise usa tecnologías de código abierto estándares de la industria y admite varios proveedores de infraestructura, lo que proporciona flexibilidad para usar GKE Enterprise de una manera que satisfaga tus necesidades empresariales y organizativas.

Cómo funcionan las flotas

Con las flotas, GKE Enterprise te permite agrupar y normalizar lógicamente los clústeres de Kubernetes, lo que facilita la administración de la infraestructura. La adopción de flotas ayuda a tu organización a mejorar la administración de clústeres individuales a grupos de clústeres, con una sola vista de toda tu flota en la consola de Google Cloud. Sin embargo, las flotas son más que solo grupos de clústeres. Los principios de similitud y confianza que se suponen en una flota son los que te permiten usar la gama completa de funciones habilitadas para flota.

El primero de estos principios de flota es la similitud. Esto significa que, dentro de una flota de clústeres, algunos objetos de Kubernetes, como los espacios de nombres en clústeres diferentes, se tratan como si fueran lo mismo cuando tuvieran el mismo nombre. Esta normalización facilita la administración de muchos clústeres a la vez, y la usan las funciones habilitadas para la flota de GKE Enterprise. Por ejemplo, puedes aplicar una política de seguridad con Policy Controller a todos los servicios de flota en el espacio de nombres foo, sin importar en qué clústeres se encuentren o dónde se encuentren.

Las flotas también asumen la similitud de servicios (todos los servicios en un espacio de nombres con el mismo nombre se pueden tratar como el mismo, por ejemplo, para fines de administración del tráfico) y la similitud de identidades (los servicios y las cargas de trabajo dentro de una flota pueden aprovechar una identidad común para la autenticación y autorización). El principio de similitud de flota también proporciona orientación sólida sobre cómo configurar identidades, espacios de nombres y servicios, siguiendo lo que muchas organizaciones y Google ya implementan como prácticas recomendadas.

Otro principio clave es la confianza: la similitud de servicios, de Workload Identity y de identidad de malla se basan en un principio de alta confianza entre los miembros de una flota. Esta confianza hace que sea posible mejorar la administración de estos recursos para la flota, en lugar de administrar clúster por clúster, y, en última instancia, hace que el límite del clúster sea menos importante.

La forma en que organizas tus flotas depende de tus necesidades organizativas y técnicas. Cada flota está asociada con un proyecto específico de Google Cloud, conocido como tu proyecto host de flota, que usas para administrar y visualizar tu flota, pero puede incluir clústeres de otros proyectos. Por ejemplo, podrías tener flotas distintas para tus entornos de producción, prueba y desarrollo, o flotas distintas para diferentes líneas de negocio (los diferentes equipos como usuarios en tu infraestructura se pueden manejar dentro de flotas con permisos). Los clústeres que tienen grandes cantidades de comunicación entre servicios son los que más se benefician si se administran juntos en una flota. Los clústeres en el mismo entorno (por ejemplo, tu entorno de producción) deben estar en la misma flota. Por lo general, recomendamos el mayor tamaño de flota que permita la confianza y la similitud entre los servicios. Además, ten en cuenta que Anthos Service Mesh, si decides usarlo, te permite habilitar un control de acceso a los servicios más detallado dentro de tu flota.


Más información:


clústeres de Kubernetes en todas partes

Kubernetes es el núcleo de GKE Enterprise, con una variedad de opciones de clústeres de Kubernetes para elegir cuando compilas tu flota:

  • Google Kubernetes Engine (GKE) es la implementación administrada de Kubernetes de Google, con las siguientes opciones disponibles para los usuarios de GKE Enterprise:
    • En Google Cloud, GKE tiene un plano de control alojado en la nube y clústeres formados por instancias de Compute Engine. Si bien GKE en Google Cloud por sí solo te ayuda a implementar, escalar y administrar Kubernetes automáticamente, agrupar clústeres de GKE en una flota te permite trabajar con mayor facilidad a gran escala y usar las funciones de GKE Enterprise, además de las potentes funciones de administración de clústeres que ya ofrece GKE.
    • Fuera de Google Cloud, GKE se extiende para su uso con otros proveedores de infraestructura, como Azure, AWS y en tu propio hardware local (ya sea en VMware o en Bare Metal). En estas opciones, el plano de control de Kubernetes proporcionado por Google se ejecuta en tu centro de datos o proveedor de servicios en la nube junto con los nodos del clúster, y los clústeres están conectados al proyecto host de la flota en Google Cloud.
  • Google Distributed Cloud Edge también te permite agregar clústeres de GKE locales a tu flota, esta vez se ejecuta en hardware proporcionado y mantenido por Google, y es compatible con un subconjunto de funciones de GKE Enterprise.
  • Los clústeres de GKE no son la única opción. GKE Enterprise también ofrece la capacidad de registrar clústeres de Kubernetes de terceros que cumplan con las especificaciones en tu flota, como clústeres de EKS y AKS, conocidos como clústeres conectados. Con esta opción, puedes seguir ejecutando las cargas de trabajo existentes donde se encuentren y, al mismo tiempo, agregar valor con un subconjunto de funciones de GKE Enterprise. GKE Enterprise no administra los componentes de nodo ni el plano de control de Kubernetes, solo los Services de GKE Enterprise que se ejecutan en esos clústeres.

Para todos los clústeres basados en GKE, incluidos los locales y las nubes públicas, GKE Enterprise proporciona herramientas para la administración y el ciclo de vida de los clústeres (crear, actualizar, borrar y actualizar), incluidas las utilidades de línea de comandos y, para algunos tipos de clústeres, la administración desde la consola de Google Cloud.

Configuración del clúster

Sin importar dónde se encuentren tus clústeres, el Sincronizador de configuración proporciona una forma coherente de administrar la configuración de los clústeres en toda tu flota, incluidos los clústeres conectados. El Sincronizador de configuración usa el enfoque de “configuración como datos”. El estado deseado de tu entorno se define de forma declarativa, se mantiene como una única fuente de información bajo control de versión y se aplica directamente con resultados repetibles. El Sincronizador de configuración supervisa un repositorio de Git central que contiene tu configuración y aplica automáticamente cualquier cambio a sus clústeres de destino especificados, dondequiera que se ejecuten. Cualquier YAML o JSON que se pueda aplicar con los comandos de kubectl puede administrarse con el Sincronizador de configuración y aplicarse a cualquier clúster de Kubernetes.

Migración y VMs

Para las organizaciones que desean migrar sus aplicaciones a contenedores y Kubernetes como parte de su proceso de modernización, GKE Enterprise incluye Migrate to Containers, con herramientas para convertir cargas de trabajo basadas en VM en contenedores que se ejecutan en GKE. En las plataformas de GKE Enterprise de equipos físicos (GKE en Bare Metal y Distributed Cloud Edge), las organizaciones también pueden usar el entorno de ejecución de VM en Google Distributed Cloud para ejecutar VMs en Kubernetes de la misma manera en que ejecutan contenedores, lo que les permite seguir usando las cargas de trabajo existentes basadas en VM mientras también desarrollan y ejecutan nuevas aplicaciones basadas en contenedores. Cuando estén listos, pueden migrar estas cargas de trabajo basadas en VM a contenedores y seguir usando las mismas herramientas de administración de GKE Enterprise.


Más información:


Funciones de GKE Enterprise

En el resto de esta guía, se presentan las funciones que proporciona GKE Enterprise para ayudarte a administrar tus flotas y las aplicaciones que se ejecutan en ellas. Puedes ver una lista completa de las funciones disponibles para cada tipo de clúster de Kubernetes compatible en las opciones de implementación de GKE Enterprise.

Herramientas de redes, autenticación y seguridad

Después de crear tu flota, GKE Enterprise te ayuda a administrar el tráfico, administrar la autenticación y el control de acceso, y aplicar políticas de seguridad y cumplimiento de forma coherente en toda tu flota.

Estableciendo conexión con tu flota

Para administrar la conexión con Google en flotas de nubes híbridas y múltiples, Google proporciona una implementación de Kubernetes llamada agente de Connect. Una vez instalado en un clúster como parte del registro de la flota, el agente establece una conexión entre tu clúster fuera de Google Cloud y el proyecto host de la flota de Google Cloud, lo que te permite administrar tus clústeres y cargas de trabajo desde Google, así como usar los servicios de Google.

En los entornos locales, la conectividad a Google puede usar la Internet pública, una VPN de alta disponibilidad, la interconexión pública o la interconexión dedicada, según los requisitos de latencia, seguridad y ancho de banda de tus aplicaciones cuando interactúen con Google Cloud.


Más información:


Balanceo de cargas

Para administrar el tráfico hacia tu flota y dentro de ella, GKE Enterprise proporciona las siguientes soluciones de balanceo de cargas:

  • Los clústeres de GKE en Google Cloud pueden usar las siguientes opciones:
  • Los clústeres de GKE locales te permiten elegir entre una variedad de modos de balanceo de cargas según tus necesidades, incluidos un balanceador de cargas agrupado de MetalLB y la opción de configurarlo de forma manual para usar tus soluciones existentes
  • Distributed Cloud Edge incluye el balanceo de cargas de MetalLB
  • Los clústeres de GKE en otras nubes públicas usan balanceadores de cargas nativos de la plataforma.

Más información:


Autenticación y control de acceso

Un desafío importante cuando se trabaja con varios clústeres en múltiples proveedores de infraestructura es administrar la autenticación y la autorización. Para autenticarte en los clústeres de tu flota, GKE Enterprise te ofrece opciones de autenticación coherente, simple y segura cuando interactúas con clústeres desde la línea de comandos con kubectl y desde la consola de Google Cloud.

  • Usa la identidad de Google: Connect Gateway permite que los usuarios y las cuentas de servicio se autentiquen en clústeres de tu flota con sus IDs de Google, sin importar dónde se encuentren. Puedes usar esta función para conectarte directamente a los clústeres o aprovecharla con canalizaciones de compilación y otras automatizaciones de DevOps.
  • Usa identidad de terceros: El servicio de identidad de GKE Enterprise te permite configurar la autenticación con proveedores de identidad de terceros, lo que permite que tus equipos sigan usando nombres de usuario, contraseñas y grupos de seguridad existentes de proveedores de OIDC (y LDAP cuando sean compatibles), como Microsoft AD FS y Okta en toda tu flota.

Puedes configurar tantos proveedores de identidad compatibles como desees para un clúster.

Una vez que hayas configurado la autenticación, puedes usar el control de acceso basado en roles (RBAC) estándar de Kubernetes para autorizar a los usuarios autenticados a interactuar con tus clústeres, así como Identity and Access Management para controlar el acceso a los servicios de Google, como Connect Gateway.

Para las cargas de trabajo que se ejecutan en tus clústeres, GKE Enterprise proporciona identidad de carga de trabajo en toda la flota. Esta función permite que las cargas de trabajo en los clústeres miembros de la flota usen identidades de un grupo de identidades para cargas de trabajo en toda la flota cuando se autentican en servicios externos, como las API de Cloud. Esto facilita la configuración del acceso de una aplicación a estos servicios que tener que configurar el acceso clúster por clúster. Por ejemplo, si tienes una aplicación con un backend implementado en varios clústeres de la misma flota y que necesita autenticarse en una API de Google, puedes configurar tu aplicación para que todos los servicios en el espacio de nombres de “backend” puedan usar esa API.


Más información:


Administración de políticas

Otro desafío que se presenta cuando se trabaja con varios clústeres es aplicar políticas coherentes de seguridad y cumplimiento normativo en toda la flota. Muchas organizaciones tienen requisitos de seguridad y cumplimiento estrictos, como los que protegen la información del consumidor en aplicaciones de servicios financieros, y necesitan poder cumplirlos a gran escala.

Para ayudarte a hacerlo, Policy Controller aplica la lógica empresarial personalizada en cada solicitud a la API de Kubernetes en los clústeres relevantes. Estas políticas actúan como “protecciones” y evitan que cualquier cambio en la configuración de la API de Kubernetes infrinja los controles operativos, de seguridad o de cumplimiento. Puedes establecer políticas para bloquear de forma activa en toda tu flota las solicitudes a la API que no cumplan con las políticas o simplemente auditar la configuración de los clústeres y denunciar incumplimientos. Las reglas comunes de seguridad y cumplimiento se pueden expresar fácilmente con el conjunto de reglas integrado de Policy Controller, o bien puedes escribir tus propias reglas con el lenguaje de políticas extensible, basado en el proyecto de código abierto Open Policy Agent.


Más información:


Seguridad a nivel de la aplicación

Para las aplicaciones que se ejecutan en tu flota, GKE Enterprise proporciona funciones de autenticación y control de acceso en profundidad, incluidas las siguientes:

  • Autorización binaria, que te permite garantizar que solo se implementen imágenes de confianza en los clústeres de tu flota.
  • La política de red de Kubernetes, que te permite especificar qué Pods pueden comunicarse entre sí y con otros extremos de la red.
  • Control de acceso de servicio de Anthos Service Mesh, que te permite configurar un control de acceso detallado para los servicios de malla según las cuentas de servicio y los contextos de solicitud.
  • La autoridad certificadora de Anthos Service Mesh (CA de Mesh), que genera y rota certificados automáticamente para que puedas habilitar la autenticación TLS mutua (mTLS) con facilidad entre tus servicios.

Observabilidad

Una parte clave de operar y administrar clústeres a gran escala es poder supervisar con facilidad los clústeres y las aplicaciones de tu flota, incluido su estado, uso de recursos y postura de seguridad.

GKE Enterprise en la consola de Google Cloud

La consola de Google Cloud es la interfaz web del servicio, que puedes usar para administrar tus proyectos y recursos. GKE Enterprise ofrece funciones empresariales y una vista estructurada de toda tu flota en las páginas de la consola de Google Cloud de GKE, lo que proporciona una interfaz integrada que te ayuda a administrar tus aplicaciones y recursos en un solo lugar. Las páginas del panel te permiten ver detalles de alto nivel, así como desglosarla tanto como sea necesario para identificar problemas.

  • Descripción general: En el nivel superior, se proporciona una descripción general del uso de recursos de tu flota según la información proporcionada a través de Cloud Monitoring, en el que se muestra el uso de CPU, memoria y disco agregado por flota y por clúster, así como la cobertura de Policy Controller y del Sincronizador de configuración en toda la flota.
  • Administración de clústeres: La vista de clústeres de GKE Enterprise proporciona una consola segura para ver el estado de todos los clústeres de tu proyecto y flota, incluido el estado de los clústeres, registrar clústeres en tu flota y crear clústeres nuevos para ella (solo Google Cloud). Si quieres obtener información sobre clústeres específicos, puedes desglosar desde esta vista o visitar otros paneles de GKE para obtener más detalles sobre los nodos y las cargas de trabajo de tu clúster.
  • Descripción general del equipo: Si configuraste equipos para tu flota, la descripción general de Teams proporciona información sobre el uso de recursos, las tasas de errores y otras métricas agregadas por equipo, lo que facilita que los administradores y los miembros vean y solucionen los errores.
  • Administración de atributos: La vista Administración de atributos te permite ver el estado de las funciones de GKE Enterprise para los clústeres de tu flota.
  • Malla de servicios: Si usas Anthos Service Mesh en Google Cloud, la vista de Malla de servicios proporciona observabilidad del estado y el rendimiento de tus servicios. Anthos Service Mesh recopila y agrega datos sobre cada solicitud de servicio y respuesta, lo que significa que no tienes que instrumentar tu código para recopilar datos de telemetría ni configurar manualmente paneles y gráficos. Anthos Service Mesh sube automáticamente las métricas y los registros a Cloud Monitoring y Cloud Logging para todo el tráfico dentro de tu clúster. Esta telemetría detallada les permite a los operadores observar el comportamiento del servicio y les permite solucionar problemas, así como mantener y optimizar sus aplicaciones.
  • Postura de seguridad: La vista Postura de seguridad muestra recomendaciones bien definidas y prácticas para mejorar la postura de seguridad de tu flota.
  • Administración de la configuración: La vista de configuración te brinda una descripción general del estado de configuración de todos los clústeres de la flota que tienen habilitado el Sincronizador de configuración y te permite agregar rápidamente la función a los clústeres que aún no se configuraron. Puedes hacer un seguimiento de los cambios en la configuración con facilidad y ver qué rama y etiqueta de confirmación se aplicó a cada clúster. Los filtros flexibles facilitan la visualización del estado del lanzamiento de la configuración por clúster, rama o etiqueta.
  • Administración de políticas: En la vista de políticas, se muestra cuántos clústeres de tu flota tienen habilitado el controlador de políticas, se proporciona una descripción general de cualquier incumplimiento y te permite agregar la función a los clústeres de la flota.

Registro y supervisión

Para obtener información más detallada sobre tus clústeres y sus cargas de trabajo, puedes usar Cloud Logging y Cloud Monitoring. Cloud Logging proporciona un lugar unificado para almacenar y analizar datos de registro, mientras que Cloud Monitoring recopila y almacena automáticamente los datos de rendimiento, además de proporcionar herramientas de visualización y análisis de datos. La mayoría de los tipos de clústeres de GKE Enterprise envían información de registro y supervisión para los componentes del sistema (como cargas de trabajo en los espacios de nombres kube-system y gke-connect) a Cloud Monitoring y Cloud Logging de forma predeterminada. Además, puedes configurar Cloud Monitoring y Cloud Logging para obtener información sobre las cargas de trabajo de tu aplicación, crear paneles que incluyan varios tipos de métricas, crear alertas y mucho más.

Según las necesidades de tu organización y proyecto, GKE Enterprise también admite la integración en otras herramientas de observabilidad, como Prometheus de código abierto y Grafana, y herramientas de terceros como Elastic y Splunk.


Más información:


Administración de servicios

En Kubernetes, un servicio es una forma abstracta de exponer una aplicación que se ejecuta en un conjunto de Pods como un servicio de red, con una única dirección DNS para el tráfico a las cargas de trabajo del servicio. En una arquitectura moderna de microservicios, una sola aplicación puede constar de varios servicios, y cada uno de ellos puede tener varias versiones implementadas de forma simultánea. La comunicación de servicio a servicio en este tipo de arquitectura se produce a través de la red, por lo que los servicios deben ser capaces de lidiar con las idiosincrasias de la red y otros problemas subyacentes de la infraestructura.

Para facilitar la administración de los servicios de tu flota, puedes usar Anthos Service Mesh. Anthos Service Mesh se basa en Istio, que es una implementación de código abierto de una capa de infraestructura de malla de servicios. Las mallas de servicios excluyen las preocupaciones comunes de ejecutar un servicio, como la supervisión, las herramientas de redes y la seguridad, con herramientas coherentes y potentes, lo que facilita que los desarrolladores y operadores de servicios se enfoquen en crear y administrar sus aplicaciones. Con Anthos Service Mesh, estas funciones se abstraen del contenedor principal de la aplicación y se implementan en un proxy común fuera del proceso, que se entrega como un contenedor separado en el mismo Pod. Este patrón separa la lógica empresarial o de aplicaciones de las funciones de red y permite a los desarrolladores enfocarse en las características que la empresa necesita. Las mallas de servicios también permiten que los equipos de operaciones y de desarrollo puedan separar su trabajo entre sí.

Anthos Service Mesh proporciona muchas funciones junto con todas las de Istio:

  • Las métricas y los registros del servicio de todo el tráfico dentro del clúster de tu malla se transfieren automáticamente a Google Cloud.
  • En los paneles generados automáticamente, se muestra telemetría detallada en el panel de Anthos Service Mesh para que puedas profundizar en tus métricas y registros, mediante el filtrado y la división de tus datos según una gran variedad de atributos.
  • Resumen de las relaciones entre servicios: Comprende qué se conecta a cada servicio y los servicios de los que depende.
  • Protege el tráfico entre servicios: la autoridad certificadora de Anthos Service Mesh (CA de Mesh) genera y rota los certificados automáticamente para que puedas habilitar la autenticación TLS mutua (mTLS) fácilmente con las políticas de Istio.
  • Observa con rapidez la postura de seguridad de la comunicación no solo de tu servicio, sino también de sus relaciones con otros servicios.
  • Profundiza en las métricas de tu servicio y combínalas con otras métricas de Google Cloud con Cloud Monitoring.
  • Obtén estadísticas claras y sencillas sobre el estado de tu servicio con los objetivos de nivel de servicio (SLO), que te permiten definir con facilidad tus propios estándares de estado del servicio y generar alertas sobre ellos.

Anthos Service Mesh te permite elegir entre un plano de control de malla de servicios completamente administrado en Google Cloud (solo para mallas que se ejecutan en clústeres miembros de la flota en Google Cloud) o un plano de control en el clúster que tú mismo instalas. Si quieres obtener más información sobre las funciones disponibles para cada opción, consulta la documentación de Anthos Service Mesh.


Más información:


Próximos pasos