Descripción general técnica de Anthos

Anthos es una plataforma moderna de administración de aplicaciones que proporciona una experiencia de desarrollo y operaciones coherente para los entornos locales y en la nube. En esta página, se proporciona una descripción general de cada capa de la infraestructura de Anthos y se muestra cómo aprovechar sus funciones.

En el siguiente diagrama, se muestran los componentes y las características de Anthos, y cómo proporcionan la funcionalidad de Anthos en todos los entornos, desde la administración de la infraestructura hasta la facilitación del desarrollo de aplicaciones.

Diagrama que muestra los componentes de Anthos

En la siguiente tabla, se muestran los componentes disponibles actualmente para usar en Google Cloud, en AWS, en clústeres de Kubernetes conectados o de forma local. Si deseas obtener una lista completa de las funciones incluidas en las suscripciones de Anthos para cada opción de implementación, incluidos los subcomponentes del producto, consulta las opciones de implementación de Anthos.

Componentes principales de Anthos Google Cloud Local Múltiples nubes/AWS Clústeres conectados
Administración de infraestructura, contenedores y clústeres GKE
Ingress de varios clústeres
clústeres de Anthos alojados en VMware Clústeres de Anthos en AWS
Administración de varios clústeres Environ, componentes habilitados para Environ y Connect Environ, componentes habilitados para Environ y Connect Environ, componentes habilitados para Environ y Connect Environ, componentes habilitados para Environ y Connect
Administración de configuración

Anthos Config Management
Controlador de políticas
Config Connector

Anthos Config Management
Controlador de políticas
Config Connector

Anthos Config Management
Controlador de políticas

Anthos Config Management
Controlador de políticas

Migración Migrate for Anthos Migrate for Anthos Migrate for Anthos
Administración de servicios

Anthos Service Mesh
paneles de Anthos Service Mesh
autoridad certificadora de MeshCA

Anthos Service Mesh
paneles de Grafana y Kiali
autoridad certificadora de Istiod

Anthos Service Mesh Anthos Service Mesh
Sin servidores Cloud Run for Anthos Cloud Run for Anthos
Cadena de suministro de software segura Autorización binaria Autorización binaria (vista previa)
Registro y supervisión Cloud Logging y Cloud Monitoring para componentes de sistemas Cloud Logging y Cloud Monitoring para componentes de sistemas
Marketplace Aplicaciones de Kubernetes en Cloud Marketplace Aplicaciones de Kubernetes en Cloud Marketplace

Entorno de computación

El entorno de computación principal de Anthos usa clústeres de Anthos, que extienden GKE para su uso en Google Cloud, de forma local o en múltiples nubes a fin de administrar las instalaciones de Kubernetes en los entornos en los que deseas implementar tus aplicaciones. Estas ofertas empaquetan versiones ascendentes de Kubernetes y proporcionan capacidades de administración para crear, escalar y actualizar los clústeres de Kubernetes que cumplen con las especificaciones. Con Kubernetes instalado y en ejecución, tienes acceso a una capa de organización común que administra la implementación, la configuración, la actualización y el escalamiento de las aplicaciones.

Kubernetes tiene dos partes principales: el plano de control y los componentes de nodos. A continuación, se describe la forma en que los entornos alojan el plano de control y los componentes de nodo para GKE.

  • Anthos en Google Cloud
    Con Anthos en Google Cloud, Google Cloud aloja el plano de control, y el servidor de la API de Kubernetes es el único componente del plano de control accesible para los clientes. GKE administra los componentes de nodo en el proyecto del cliente mediante instancias en Compute Engine.

  • Anthos local
    Con los clústeres de Anthos alojados en VMware, todos los componentes se alojan en el entorno de virtualización local del cliente.

  • Anthos en AWS
    Con los clústeres de Anthos en AWS, todos los componentes se alojan en el entorno de AWS del cliente.

Con los clústeres conectados de Anthos, la distribución de Kubernetes se ofrece a través de otro proveedor de servicios en la nube. En esta opción de implementación, Anthos no administra el plano de control ni los componentes de nodo de Kubernetes, solo los servicios de Anthos que se ejecutan en esos clústeres.

Administración de varios clústeres

Los clústeres de Anthos se registran como parte de un Environ de Google Cloud mediante Connect, lo que permite que varios clústeres se puedan ver y administrar de manera conjunta en el panel de Anthos. Puedes encontrar más información sobre los Environ y la funcionalidad que habilitan en nuestra guía de Environ y sobre el panel en la sección Interfaz de usuario unificada a continuación.

Entorno de redes

En esta sección, se describe cómo interactúan los clústeres de Kubernetes en Anthos con las redes de tu entorno.

Balanceadores de cargas

Los balanceadores de cargas te permiten dividir las solicitudes a tus cargas de trabajo en diferentes pods y entornos. Kubernetes permite que los usuarios aprovisionen los balanceadores de cargas de Capa 4 y Capa 7. Las siguientes opciones de balanceo de cargas están disponibles para GKE, según el entorno elegido.

Conéctate entre entornos

Puedes conectar tus clústeres locales, de múltiples nubes y conectados con entornos de Google Cloud de varias maneras. La forma más fácil de comenzar es mediante la implementación de una VPN de sitio a sitio entre los entornos con Cloud VPN. Si tienes requisitos de latencia y capacidad de procesamiento más estrictos, puedes elegir entre la interconexión dedicada y la interconexión de socio. Para obtener más información sobre cómo elegir un tipo de interconexión, consulta Cómo elegir un producto de conectividad de red.

Conéctate a los servicios de Google

Tus entornos de Anthos fuera de Google Cloud deben poder alcanzar los extremos de la API de Google para los siguientes servicios.

Entorno clústeres de Anthos alojados en VMware Clústeres de Anthos en AWS Clústeres conectados
Conexión Conexión Conexión
Cloud Monitoring
Cloud Logging

Compatibilidad con la arquitectura de microservicios

En Kubernetes, los servicios se componen de muchos pods, que ejecutan contenedores. En una arquitectura de microservicios, una sola aplicación puede constar de varios servicios y cada servicio puede tener varias versiones implementadas simultáneamente.

Con una aplicación monolítica, no tienes problemas relacionados con la red, puesto que la comunicación se realiza a través de llamadas a funciones que están aisladas dentro de la aplicación monolítica. En una arquitectura de microservicios, la comunicación de servicio a servicio se produce a través de la red.

Las redes pueden ser inseguras y poco confiables, por lo que los servicios deben poder identificar y lidiar con las idiosincrasias de la red. Por ejemplo, si el servicio A llama al servicio B y hay una interrupción de la red, ¿qué debe hacer el servicio A cuando no recibe una respuesta? ¿Debería reintentar la llamada? Si es así, ¿con qué frecuencia? ¿Cómo sabe el servicio A que el servicio B devuelve la llamada?

Para resolver estos problemas, puedes instalar Anthos Service Mesh en GKE o en los clústeres conectados en el entorno seleccionado. Anthos Service Mesh se basa en Istio, que es una implementación de código abierto de la capa de infraestructura de la malla de servicios. Anthos Service Mesh usa proxies de sidecar para mejorar la seguridad, confiabilidad y visibilidad de la red. Con Anthos Service Mesh, estas funciones se abstraen del contenedor principal de la aplicación y se implementan en un proxy común fuera del proceso, que se entrega como un contenedor separado en el mismo pod.

Entre las características de Anthos Service Mesh, se incluyen las siguientes:

  • Control detallado del tráfico con reglas de enrutamiento enriquecidas para tráfico HTTP(S), gRPC y TCP

  • Métricas, registros y seguimientos automáticos para todo el tráfico HTTP dentro de un clúster, lo que incluye el ingreso y la salida del clúster

  • Comunicación segura de servicio a servicio con autenticación y autorización basadas en cuentas de servicio

  • Facilitación de tareas, como pruebas A/B y lanzamientos de versión canary

Malla de servicios administrados

Para las cargas de trabajo que se ejecutan en Anthos en Google Cloud, Anthos Service Mesh administra el entorno de malla de servicios y te proporciona muchas características, además de toda la funcionalidad de Istio:

  • Las métricas de servicio y los registros de todo el tráfico dentro del clúster de GKE de tu malla se transfieren de forma automática a Google Cloud.

  • Los paneles generados de forma automática muestran telemetría detallada en el panel de Anthos Service Mesh para que puedas analizar en profundidad tus métricas y registros, además de filtrar y dividir tus datos en función de una gran variedad de atributos.

  • Relaciones de servicio a servicio de un vistazo: comprende quién se conecta a cada servicio y los servicios de los que depende.

  • Protege el tráfico entre servicios: la autoridad certificadora de Anthos Service Mesh (CA de Mesh) genera y rota certificados de forma automática para que puedas habilitar la autenticación mutua de TLS (mTLS) fácilmente con las políticas de Istio.

  • Consulta rápidamente el enfoque de seguridad de la comunicación, no solo de tu servicio, sino también sus relaciones con otros servicios.

  • Profundiza en tus métricas de servicio y combínalas con otras métricas de Google Cloud mediante Cloud Monitoring.

  • Obtén estadísticas claras y sencillas sobre el estado de tu servicio con objetivos de nivel de servicio (SLO), que te permiten definir fácilmente tus propios estándares de estado del servicio y crear alertas sobre ellos.

Administración centralizada de configuración

Diagrama que muestra la arquitectura de Anthos Config Management
Arquitectura de Anthos Config Management (haz clic para ampliar)

El uso de varios entornos agrega complejidad a la administración y la coherencia de los recursos. Anthos proporciona un modelo declarativo unificado para el procesamiento, las herramientas de redes y hasta la administración de servicios en nubes y centros de datos.

La configuración como datos es un enfoque común para administrar esta complejidad, lo que te permite almacenar el estado deseado de tu entorno híbrido bajo control de versiones y aplicarlo directamente con resultados repetibles. Anthos hace posible esto con Anthos Config Management, que se integra a clústeres de Anthos de forma local o en la nube. Te permite implementar y supervisar los cambios de configuración almacenados en un repositorio de Git central.

Este enfoque aprovecha los conceptos centrales de Kubernetes, como los espacios de nombres, las etiquetas y las anotaciones para determinar cómo y dónde aplicar los cambios de configuración a todos tus clústeres de Kubernetes, independientemente de dónde se encuentren. El repositorio proporciona una fuente de información única con versiones, segura y controlada para todas tus configuraciones de Kubernetes. Cualquier YAML o JSON que se pueda aplicar con los comandos kubectl se puede administrar con Anthos Config Management y aplicarse a cualquier clúster de Kubernetes.

Anthos Config Management también incluye el controlador de políticas, que aplica la lógica empresarial personalizada a cada solicitud a la API dirigida a Kubernetes y te permite usar la misma lógica para analizar y auditar tus clústeres. Se pueden expresar reglas comunes de seguridad y cumplimiento fácilmente mediante el conjunto integrado de reglas que se implementan con Anthos Config Management, o puedes escribir tus propias reglas con el lenguaje de políticas extensible, según el proyecto de código abierto Open Policy Agent.

Anthos Config Management ofrece los siguientes beneficios para tus entornos de Anthos:

  • Una fuente única de información, control y administración

    • Habilita el uso de revisiones de código, validación y flujos de trabajo de reversión.

    • Evita las operaciones en la sombra, en las que los clústeres de Kubernetes salen de la sincronización debido a cambios manuales.

    • Habilita el uso de canalizaciones de CI/CD para pruebas y lanzamientos automatizados.

  • Implementación de un solo paso en todos los clústeres

    • Anthos Config Management convierte una sola confirmación de Git en varios comandos de kubectl en todos los clústeres.

    • Se revierte con solo revertir el cambio en Git. La reversión se implementa automáticamente a gran escala.

  • Modelo de herencia enriquecida para aplicar cambios

    • Con espacios de nombres, puedes crear configuraciones para todos los clústeres, algunos clústeres, algunos espacios de nombres o incluso para recursos personalizados.

    • Mediante la herencia del espacio de nombres, puedes crear un modelo de espacio de nombres en capas que permita heredar la configuración en la estructura de carpetas del repositorio.

  • Aplicación y auditoría de políticas avanzadas con el controlador de políticas

    • Usa las barreras de seguridad de políticas incluidas para aplicar las prácticas recomendadas de seguridad en todo tu entorno.
    • Audita continuamente tu entorno para detectar la configuración que infringe las políticas empresariales.
    • Define e implementa tus propias reglas personalizadas, con un lenguaje expresivo de políticas personalizadas para codificar tu lógica empresarial única.

Sin servidores

Cloud Run for Anthos proporciona una experiencia centrada en el desarrollador para crear aplicaciones modernas en la plataforma de Anthos. Cloud Run simplifica las complejidades de la plataforma subyacente, lo que facilita la generación del valor de tu cliente en menos tiempo.

En lugar de enfocarse en la plataforma o crear muchos archivos YAML, Cloud Run proporciona abstracciones claras de los desarrolladores para definir y, además, implementar los servicios, lo que libera al desarrollador a fin de entregar más contenido en menos tiempo. Cloud Run administra cómo se ejecuta el servicio, ya sea en la nube o a nivel local, mientras optimiza la utilización de recursos, el escalamiento horizontal y la integración con herramientas de redes y Anthos Service Mesh. Cloud Run incluso puede escalar apps hasta cero instancias y desde ellas según la demanda.

Con la tecnología del proyecto de código abierto Knative, Cloud Run incluye los años de experiencia de Google en la ejecución de nuestra propia plataforma sin servidores y la pone a disposición en tu entorno de Anthos. Con Cloud Run, tus equipos pueden ser más rápidos y enfocarse en satisfacer la demanda de los clientes, en lugar de compilar una plataforma o depender de una nube o proveedor específico.

Cloud Run for Anthos tiene disponibilidad general para Anthos en las opciones de implementación local de Anthos y Google Cloud, y se encuentra en la hoja de ruta para clústeres conectados y de múltiples nubes.

Cadena de suministro de software segura

Una de las preguntas principales que recibimos de quienes trabajan en la seguridad empresarial y en DevOps es "¿Cómo confío en lo que se ejecuta en mi infraestructura de producción?". Para ayudar a responder a esa pregunta, se creó la autorización binaria. Es una característica de seguridad de contenedores integrada en los clústeres de Anthos, que proporciona un punto de bloqueo para la aplicación de políticas a fin de garantizar que solo se implementen imágenes autorizadas y firmadas en tu entorno.

Esta capacidad es especialmente útil en esta era de microservicios alojados en contenedores, puesto que las empresas suelen ejecutar cientos o miles de trabajos en producción, y muchos de ellos acceden a datos sensibles y valiosos. El control de implementación basado en la identidad (restringir quién puede implementar) se basa en el conocimiento y la confianza operacional de las personas, que no se pueden escalar para satisfacer las necesidades de las empresas con infraestructura de compilación y versiones automatizada, en la que pueden realizarse implementaciones cientos de veces al día en decenas de equipos.

La autorización binaria formaliza y codifica los requisitos de implementación de una organización mediante la integración con las etapas de CI/CD elegidas para producir firmas, o "certificaciones", a medida que una imagen pasa. La autorización binaria actúa como un controlador de admisión, puesto que evita que se implementen las imágenes que no cumplen con estos criterios. Además de la verificación basada en firmas, la política de autorización binaria también admite imágenes de lista de entidades permitidas con patrones de nombre. Puedes especificar un repositorio, una ruta de acceso o un conjunto de imágenes en particular que pueden implementarse.

En este momento, la autorización binaria está disponible para Anthos en Google Cloud y en la vista previa de Anthos local.

Registros y supervisión consolidados

El acceso a los registros de las aplicaciones y los componentes de la infraestructura es fundamental para ejecutar y mantener la infraestructura de producción. Cloud Logging proporciona un lugar unificado para almacenar y analizar registros. Los registros generados por los componentes internos de tu clúster se envían automáticamente a Cloud Logging.

Para Anthos en Google Cloud, las cargas de trabajo que se ejecutan dentro de tus clústeres tienen registros enriquecidos automáticamente con etiquetas relevantes, como las etiquetas de pod, el nombre del pod y el nombre del clúster que las generó. Una vez etiquetados, los registros son más fáciles de explorar a través de consultas avanzadas.

En el caso de Anthos en Google Cloud, los registros de auditoría de Cloud te permiten capturar y analizar las interacciones que tus aplicaciones y usuarios tienen con los componentes de control.

Otro elemento clave para operar tus entornos de Kubernetes es la capacidad de almacenar métricas que proporcionan visibilidad sobre el comportamiento y el estado de tu sistema. Kubernetes Engine Monitoring proporciona una integración idiomática y automática que almacena las métricas críticas de tu aplicación para su uso en la depuración, la creación de alertas y los análisis posteriores al incidente. Para Anthos en Google Cloud, Kubernetes Engine Monitoring está habilitado de forma predeterminada.

Anthos incluye Cloud Logging y Cloud Monitoring para los componentes del sistema.

.

Interfaz de usuario unificada

El panel de Anthos en Google Cloud Console te proporciona una interfaz de usuario segura y unificada para ver y administrar tus aplicaciones, incluida una vista estructurada lista para usar de todos tus recursos de Anthos. La página de destino del panel te brinda un resumen del estado del entorno de ejecución de todos tus servicios y clústeres, y una experiencia de introducción rápida para los usuarios nuevos.

Captura de pantalla del panel de Anthos

Administración de clústeres

A medida que aumenta la cantidad de clústeres de Kubernetes en una organización, puede ser difícil comprender lo que se ejecuta en cada entorno. La vista de administración de clústeres de Anthos proporciona una consola segura a fin de ver el estado de todos los clústeres registrados y crear clústeres nuevos para tu proyecto. Para agregar clústeres a esta vista, debes registrarlos con Connect a tu Environ del proyecto de Google Cloud. Los clústeres de GKE locales y de AWS se registran automáticamente. Un Environ proporciona una manera unificada de ver y administrar tus clústeres y sus cargas de trabajo como parte de Anthos, incluidos los clústeres fuera de Google Cloud.

Panel de la malla de servicios

Para las cargas de trabajo que se ejecutan en GKE en Google Cloud, Anthos Service Mesh proporciona observabilidad respecto al estado y el rendimiento de tus servicios. Con un adaptador, Anthos Service Mesh recopila y agrega datos sobre cada solicitud y respuesta de servicio, lo que significa que los desarrolladores de servicios no tienen que instrumentar su código para recopilar datos de telemetría o configurar paneles y gráficos de forma manual. Anthos Service Mesh sube automáticamente métricas y registros a Cloud Monitoring y Cloud Logging para todo el tráfico dentro de tu clúster. Esta telemetría detallada permite a los operadores observar el comportamiento del servicio y los ayuda a solucionar problemas, mantener y optimizar sus aplicaciones.

Captura de pantalla del panel de la malla de servicios

En el panel de la malla de servicios, puedes realizar las siguientes acciones:

  • Obtener una descripción general de todos los servicios de la malla, que te proporcionan métricas esenciales de nivel de servicio sobre tres de las cuatro señales de oro de la supervisión: latencia, tráfico y errores.

  • Definir, revisar y configurar alertas para los objetivos de nivel de servicio (SLO), que resumen el rendimiento visible del usuario de tu servicio.

  • Visualizar gráficos de métricas para servicios individuales y analizarlos a fondo con filtros y desgloses, incluidos el código de respuesta, el protocolo, el pod de destino, la fuente de tráfico y mucho más.

  • Obtener información detallada sobre los extremos de cada servicio y observar cómo fluye el tráfico entre servicios y cómo se ve el rendimiento para cada perímetro de comunicación.

  • Explorar una visualización del gráfico de topología de servicio que muestra los servicios de tu malla y sus relaciones.

Administración de configuración

La vista de Administración de configuración del panel de Anthos te brinda una descripción general rápida del estado de configuración de todos tus clústeres con Anthos Config Management habilitado, y te permite agregar la función rápidamente a los clústeres que aún no se configuraron. Puedes hacer un seguimiento de los cambios de configuración con facilidad y ver qué rama y etiqueta de confirmación se aplicaron a cada clúster. Los filtros flexibles facilitan la visualización del estado de lanzamiento de la configuración por clúster, rama o etiqueta.

En esta vista, también puedes actualizar o instalar Anthos Config Management en cualquiera de tus clústeres de Anthos.

Funciones de Anthos

La vista de funciones del panel de Anthos te permite ver el estado y administrar las funciones de Anthos para tus clústeres registrados. Por el momento, puedes instalar Ingress para varios clústeres en tus clústeres registrados directamente desde esta vista. Para habilitar otras funciones, consulta su documentación.

Mercado de aplicaciones de terceros

El ecosistema de Kubernetes se expande continuamente y crea una gran cantidad de funciones, que se pueden habilitar en los clústeres existentes. Para facilitar la instalación y la administración de aplicaciones de terceros, puedes usar Google Cloud Marketplace, que puedes implementar en tus clústeres de Anthos sin importar dónde se ejecuten. También puedes buscar y filtrar por apps de Anthos, y encontrar fácilmente soluciones compatibles con Anthos con la insignia de Anthos. Las soluciones de Cloud Marketplace están integradas directamente a tu facturación de Google Cloud y el proveedor de software las admite de forma directa.

En el catálogo de soluciones de Marketplace, encontrarás lo siguiente:

  • Soluciones de almacenamiento
  • Bases de datos
  • Herramientas de integración y entrega continuas
  • Soluciones de supervisión
  • Herramientas de seguridad y cumplimiento

Ventajas

Anthos es una plataforma de servicios distintos que funcionan en conjunto para ofrecer valor en toda la empresa. En esta sección, se describe cómo las diversas funciones de una organización pueden usarla y los beneficios que experimentará cada grupo.

Anthos para desarrollo

Para el desarrollador, Anthos proporciona una plataforma de administración de contenedores de vanguardia basada en Kubernetes. Los desarrolladores pueden usar esta plataforma para compilar y, además, implementar de manera rápida y sencilla aplicaciones existentes basadas en contenedores y arquitecturas basadas en microservicios.

Los beneficios principales son:

  • Flujos de trabajo de administración y CI/CD compatibles con Git para la configuración y código con Anthos Config Management.

  • Instrumentación sin código de código con Anthos Service Mesh, y Cloud Monitoring y Cloud Logging para proporcionar observabilidad uniforme.

  • Protección de servicios sin código mediante mTLS y regulación.

  • Compatibilidad con Google Cloud Marketplace para dejar productos con rapidez y facilidad en clústeres.

Anthos para migración

Para la migración, Anthos incluye Migrate for Anthos, que te permite organizar migraciones con Kubernetes en Anthos.

Obtén más información sobre los beneficios de migrar a contenedores con Migrate for Anthos.

Anthos para operaciones

Para las operaciones, Anthos proporciona implementación y administración centralizadas, eficaces y con plantillas de los clústeres, lo que permite que el equipo de operaciones proporcione y administre rápidamente una infraestructura que cumpla con las normas corporativas.

Los beneficios principales son:

  • Administración centralizada de la configuración y cumplimiento de la configuración como código y Anthos Config Management.

  • Implementación y reversión simplificadas con los registros de Git y Anthos Config Management.

  • Visibilidad de panel único en todos los clústeres, desde la infraestructura hasta el rendimiento y la topología de la aplicación.

Anthos para seguridad

Para la seguridad, Anthos proporciona la capacidad de aplicar estándares de seguridad en clústeres, aplicaciones implementadas y, además, en el flujo de trabajo de administración de la configuración mediante un enfoque de configuración como código y administración centralizada.

Los beneficios principales son:

  • Flujo de trabajo centralizado, que se puede auditar y proteger con repositorios de configuración que cumplen con Git con Anthos Config Management.

  • Aplicación de cumplimiento de la configuración del clúster mediante espacios de nombres y configuración heredada con Anthos Config Management.

  • Protección de microservicios sin código mediante Anthos Service Mesh, que proporciona administración de certificados y mTLS en el clúster. Para las cargas de trabajo que se ejecutan en Google Kubernetes Engine en Google Cloud, MeshCA proporciona los certificados.

  • Protección integrada de servicios con la autorización y el enrutamiento de Anthos Service Mesh.

¿Qué sigue?

Prueba Anthos

  • La implementación de muestra de Anthos en Google Cloud es una implementación de Anthos en Google Cloud que te permite explorar las funciones de Anthos según nuestro instructivo. Esta es una implementación completamente de configuración con una aplicación de muestra y solo requiere que crees un proyecto de Google Cloud.

Más información

Configura Anthos