Panoramica tecnica di GKE Enterprise

GKE Enterprise è la piattaforma di container basata su cloud di Google per l'esecuzione di app moderne ovunque e in modo coerente su vasta scala. Questa guida fornisce una panoramica del funzionamento di GKE Enterprise e di come può aiutarti a distribuire applicazioni gestibili, scalabili e affidabili.

Perché GKE Enterprise?

In genere, quando le organizzazioni adottano tecnologie cloud-native come container, orchestrazione di container e mesh di servizi, raggiungono un punto in cui l'esecuzione di un singolo cluster non è più sufficiente. Esistono diversi motivi per cui le organizzazioni scelgono di eseguire il deployment di più cluster per raggiungere i propri obiettivi tecnici e commerciali, ad esempio separando gli ambienti di produzione da quelli non di produzione, variando le restrizioni normative o la separazione dei servizi tra livelli, impostazioni internazionali o team. Tuttavia, l'utilizzo di più cluster presenta problemi e costi generali in termini di configurazione, sicurezza e gestione coerenti: ad esempio, la configurazione manuale di un cluster alla volta rischia di provocare danni e può essere difficile vedere esattamente dove si verificano gli errori.

Le cose possono diventare ancora più complesse (e costose) se i cluster non sono tutti in un unico posto. Molte organizzazioni che utilizzano Google Cloud vogliono o hanno bisogno di eseguire carichi di lavoro nei propri data center, fabbriche, negozi e persino in altri cloud pubblici, ma non vogliono creare da sole nuove piattaforme di container in tutte queste località o ripensare il modo in cui configurano, proteggono, monitorano e ottimizzano i carichi di lavoro dei container a seconda di dove vengono eseguiti, con la possibilità di ambienti incoerenti, rischi di sicurezza e configurazione e lavoro operativo.

Ad esempio:

  • Un istituto finanziario sta creando una piattaforma di digital banking su Google Cloud e richiede configurazioni coerenti, un'applicazione efficace dei criteri di sicurezza e una visibilità approfondita sulla modalità di comunicazione di più app. Una grande azienda di vendita al dettaglio che crea una piattaforma di e-commerce moderna ha gli stessi requisiti. Entrambe le aziende gestiscono più cluster in più regioni in Google Cloud utilizzando GKE.
  • Un altro istituto finanziario globale sta creando complesse app di gestione dei rischi, app per il trasferimento interbancario e molti altri carichi di lavoro sensibili, alcuni dei quali devono rimanere protetti dal firewall aziendale e altri di cui è stato eseguito il deployment su GKE su Google Cloud.
  • Un importante rivenditore di farmaci sta creando nuove app per la programmazione dei vaccini, la messaggistica per i clienti e il coinvolgimento digitale per modernizzare le operazioni farmaceutiche e creare un'esperienza in negozio più personalizzata. Queste app richiedono piattaforme di container in negozio integrate con servizi ospitati da Google Cloud come BigQuery e Retail Search
  • Una azienda di media e intrattenimento richiede un ambiente container coerente in 30 campi da baseball, tutti collegati e gestiti da Google Cloud, per raccogliere e analizzare terabyte di statistiche di gioco e per favorire il coinvolgimento dei fan sia all'interno del campo da baseball che virtualmente.
  • Un'azienda di produzione di hardware deve testare e ottimizzare la qualità dei prodotti degli stabilimenti e la sicurezza dei lavoratori analizzando i dati con latenza molto bassa per prendere decisioni quasi in tempo reale e consolidando al contempo i dati in Google Cloud per l'analisi a lungo termine.
  • Una azienda di software e internet che offre una piattaforma di integrazione in un modello SaaS (Software as a Service) deve offrire la propria piattaforma su alcuni dei principali cloud pubblici per essere eseguita dove i clienti necessitano della vicinanza ai servizi cloud nativi. L'azienda ha bisogno di un modo unificato e coerente per eseguire il provisioning, configurare, proteggere e monitorare gli ambienti container in più cloud pubblici da un unico piano di gestione, per evitare l'overhead operativo associato alla gestione di ogni ambiente cloud con diversi strumenti di gestione nativi.

GKE Enterprise può aiutare tutte queste organizzazioni fornendo una piattaforma coerente che consente loro di:

  • Modernizza le applicazioni e l'infrastruttura in loco
  • Crea un modello operativo cloud unificato (un pannello centralizzato) per creare, aggiornare e ottimizzare i cluster di container ovunque si trovino
  • Scala applicazioni multi-cluster di grandi dimensioni come parchi risorse (raggruppamenti logici di ambienti simili) con sicurezza, configurazione e gestione dei servizi coerenti
  • Applica governance e sicurezza coerenti da un piano di controllo unificato

Lo fa con strumenti e funzionalità guidati che li aiutano a regolamentare, gestire e far funzionare carichi di lavoro containerizzati su scala aziendale, consentendo loro di adottare best practice e principi che abbiamo appreso dall'esecuzione dei servizi in Google.

Nozioni di base di GKE Enterprise

Diagramma che mostra le funzionalità della piattaforma GKE Enterprise

Le funzionalità di GKE Enterprise si basano sull'idea del parco: un raggruppamento logico di cluster Kubernetes che possono essere gestiti insieme. Un parco risorse può essere interamente costituito da cluster GKE su Google Cloud oppure includere cluster esterni a Google Cloud in esecuzione on-premise e su altri cloud pubblici come AWS e Azure.

Una volta creato un parco risorse, puoi utilizzare le funzionalità abilitate per il parco risorse di GKE Enterprise per aggiungere ulteriore valore e semplificare il lavoro su più cluster e provider di infrastrutture:

  • Gli strumenti di configurazione e gestione dei criteri ti consentono di lavorare più facilmente su larga scala, aggiungendo e aggiornando automaticamente la stessa configurazione, le stesse funzionalità e gli stessi criteri di sicurezza in modo coerente in tutto il parco risorse, ovunque si trovino i tuoi cluster.
  • Le funzionalità di networking a livello di parco risorse ti aiutano a gestire il traffico in tutto il parco risorse, tra cui Ingress multi-cluster per le applicazioni che coprono più cluster e funzionalità di gestione del traffico del mesh di servizi.
  • Le funzionalità di gestione delle identità ti aiutano a configurare in modo coerente l'autenticazione per i carichi di lavoro e gli utenti del parco risorse.
  • Le funzionalità di osservabilità ti consentono di monitorare e risolvere i problemi relativi ai cluster e alle applicazioni del parco risorse, inclusi l'integrità, l'utilizzo delle risorse e la strategia di sicurezza.
  • Gli strumenti di gestione dei team consentono di assicurarti che i team abbiano accesso alle risorse dell'infrastruttura di cui hanno bisogno per eseguire i carichi di lavoro e offrono ai team una visione delle risorse e dei carichi di lavoro a livello di team.
  • Per le applicazioni basate su microservizi in esecuzione nel tuo parco risorse, Cloud Service Mesh fornisce potenti strumenti per la sicurezza delle applicazioni, il networking e l'osservabilità nel mesh.

Puoi abilitare l'intera piattaforma GKE Enterprise per l'utilizzo di tutte le funzionalità disponibili, incluse le funzionalità multi-cloud e ibride, oppure creare un parco risorse solo su Google Cloud e pagare per funzionalità aziendali aggiuntive in base alle tue esigenze. GKE Enterprise utilizza tecnologie open source standard del settore e supporta più provider di infrastrutture, offrendo la flessibilità di utilizzare GKE Enterprise nel modo più adatto alle tue esigenze aziendali e organizzative.

Come funzionano i parchi risorse

I parchi risorse sono il modo in cui GKE Enterprise ti consente di raggruppare e normalizzare logicamente i cluster Kubernetes, semplificando l'amministrazione dell'infrastruttura. L'adozione dei parchi risorse aiuta la tua organizzazione a migliorare la gestione da singoli cluster a gruppi di cluster, con una visualizzazione unica dell'intero parco risorse nella console Google Cloud. Tuttavia, i parchi risorse sono molto di più di semplici gruppi di cluster. I principi di uguaglianza e affidabilità presupposti all'interno di un parco risorse sono ciò che ti consente di utilizzare l'intera gamma di funzionalità abilitate per il parco risorse.

Il primo di questi principi del parco risorse è l'identicità. Ciò significa che, all'interno di un parco risorse, alcuni oggetti Kubernetes, come gli spazi dei nomi in cluster diversi, vengono trattati come se fossero la stessa cosa quando hanno lo stesso nome. Questa normalizzazione semplifica la gestione di molti cluster contemporaneamente e viene utilizzata dalle funzionalità abilitate per il parco risorse GKE Enterprise. Ad esempio, puoi applicare un criterio di sicurezza con Policy Controller a tutti i servizi del parco risorse nello spazio dei nomi foo, indipendentemente dai cluster in cui si trovano o dalla posizione in cui si trovano.

I parchi risorse inoltre presuppongono l'identicità del servizio (tutti i servizi in uno spazio dei nomi con lo stesso nome possono essere trattati come lo stesso servizio, ad esempio per scopi di gestione del traffico) e dell'identità (i servizi e i carichi di lavoro all'interno di un parco risorse possono utilizzare un'identità comune per l'autenticazione e l'autorizzazione). Il principio di uguaglianza del parco risorse fornisce anche una guida efficace su come configurare spazi dei nomi, servizi e identità, seguendo ciò che molte organizzazioni e Google già implementano autonomamente come best practice.

Un altro principio chiave è la fiducia: l'uguaglianza dei servizi, l'identicità delle identità dei carichi di lavoro e delle identità mesh si basano su un principio di elevata affidabilità tra i membri di un parco risorse. Questa fiducia consente di migliorare la gestione di queste risorse nel parco risorse, anziché gestire cluster per cluster, e ciò rende il confine del cluster meno importante.

Il modo in cui organizzi i parchi risorse dipende dalle esigenze organizzative e tecniche. Ogni parco risorse è associato a un progetto Google Cloud specifico, chiamato progetto host del parco risorse, che puoi utilizzare per gestire e visualizzare il parco risorse, ma che può includere cluster di altri progetti. Ad esempio, potresti avere parchi risorse separati per gli ambienti di produzione, di test e sviluppo oppure per settori di attività diversi (i team diversi come tenant dell'infrastruttura possono essere gestiti all'interno dei parchi risorse utilizzando gli ambiti). I cluster che hanno grandi quantità di comunicazioni tra servizi traggono il massimo vantaggio dall'essere gestiti insieme in un parco risorse. I cluster nello stesso ambiente, ad esempio il tuo ambiente di produzione, devono trovarsi nello stesso parco risorse. In genere consigliamo la dimensione massima del parco risorse che consenta l'affidabilità e l'identicità tra i servizi, tenendo presente che Cloud Service Mesh, se scegli di utilizzarlo, ti consente di abilitare controllo dell'accesso ai servizi più granulare all'interno del tuo parco risorse.

Scopri di più:

Cluster Kubernetes ovunque

Kubernetes è il nucleo di GKE Enterprise e offre una vasta gamma di opzioni per i cluster Kubernetes tra cui scegliere durante la creazione del parco risorse:

  • Google Kubernetes Engine (GKE) è l'implementazione Kubernetes gestita di Google con le seguenti opzioni disponibili per gli utenti di GKE Enterprise:
    • Su Google Cloud, GKE dispone di un piano di controllo ospitato nel cloud e di cluster composti da istanze di Compute Engine. Sebbene GKE su Google Cloud da solo ti aiuti a eseguire il deployment, scalare e gestire Kubernetes in modo automatico, il raggruppamento dei cluster GKE in un parco risorse ti consente di lavorare più facilmente su larga scala e di utilizzare le funzionalità di GKE Enterprise oltre alle potenti funzionalità di gestione dei cluster già offerte da GKE.
    • All'esterno di Google Cloud, GKE è esteso per l'utilizzo con altri provider di infrastrutture, tra cui Azure, AWS e il tuo hardware on-premise (su VMware o on bare metal). In queste opzioni, il piano di controllo Kubernetes fornito da Google viene eseguito nel tuo data center o nel tuo provider di servizi cloud insieme ai nodi del cluster, con i cluster connessi al progetto host del parco risorse in Google Cloud.
  • Anche i deployment connessi Google Distributed Cloud (in precedenza Distributed Cloud Edge) ti consentono di aggiungere cluster GKE on-premise al tuo parco risorse, questa volta in esecuzione su hardware fornito e gestito da Google e supportando un sottoinsieme di funzionalità di GKE Enterprise.
  • I cluster GKE non sono la tua unica opzione. GKE Enterprise consente inoltre di registrare cluster Kubernetes di terze parti conformi nel tuo parco risorse, ad esempio cluster EKS e AKS, noti come cluster collegati. Con questa opzione, puoi continuare a eseguire i carichi di lavoro esistenti ovunque si trovino, aggiungendo al contempo valore con un sottoinsieme di funzionalità di GKE Enterprise. GKE Enterprise non gestisce il piano di controllo o i componenti dei nodi di Kubernetes, ma solo i servizi GKE Enterprise in esecuzione su questi cluster.

Per tutti i cluster basati su GKE, inclusi on-premise e cloud pubblici, GKE Enterprise fornisce strumenti per la gestione e il ciclo di vita dei cluster (creazione, aggiornamento, eliminazione ed upgrade), incluse le utilità a riga di comando e, per alcuni tipi di cluster, la gestione dalla console Google Cloud.

Configurazione del cluster

Ovunque si trovino i tuoi cluster, Config Sync offre un modo coerente per gestire la configurazione dei cluster nell'intero parco risorse, inclusi i cluster collegati. Config Sync utilizza l'approccio della "configurazione come dati": lo stato desiderato dell'ambiente viene definito in modo dichiarativo, mantenuto come un'unica fonte attendibile sotto il controllo della versione e applicato direttamente con risultati ripetibili. Config Sync monitora un repository Git centrale contenente la tua configurazione e applica automaticamente eventuali modifiche ai cluster di destinazione specificati, ovunque siano in esecuzione. Qualsiasi YAML o JSON che può essere applicato con i comandi kubectl può essere gestito con Config Sync e applicato a qualsiasi cluster Kubernetes.

Migrazione e VM

Per le organizzazioni che desiderano eseguire la migrazione delle applicazioni nei container e a Kubernetes nell'ambito del processo di modernizzazione, GKE Enterprise include Migrate to Containers, con strumenti per convertire i carichi di lavoro basati su VM in container eseguiti su GKE. Sulle piattaforme GKE Enterprise bare metal (connessi Google Distributed Cloud on bare metal e Google Distributed Cloud), le organizzazioni possono anche utilizzare VM Runtime su Google Distributed Cloud per eseguire VM su Kubernetes nello stesso modo in cui eseguono i container, consentendo loro di continuare a utilizzare i carichi di lavoro basati su VM esistenti mentre sviluppano ed eseguono anche nuove applicazioni basate su container. Quando sono pronti, possono eseguire la migrazione di questi carichi di lavoro basati su VM nei container e continuare a utilizzare gli stessi strumenti di gestione di GKE Enterprise.

Scopri di più:

Funzionalità di GKE Enterprise

Il resto di questa guida ti introduce alle funzionalità fornite da GKE Enterprise per aiutarti a gestire i tuoi parchi risorse e le applicazioni che vengono eseguite su di essi. Puoi visualizzare un elenco completo delle funzionalità disponibili per ogni tipo di cluster Kubernetes supportato nelle opzioni di deployment di GKE Enterprise.

Networking, autenticazione e sicurezza

Dopo aver creato il tuo parco risorse, GKE Enterprise ti aiuta a gestire il traffico e l'autenticazione e controllo dell'accesso, nonché ad applicare in modo coerente criteri di sicurezza e conformità in tutto il parco risorse.

Connessione al parco risorse in corso...

Per gestire la connessione a Google in parchi risorse ibridi e multi-cloud, Google fornisce un deployment Kubernetes chiamato Connect Agent. Una volta installato in un cluster nell'ambito della registrazione del parco risorse, l'agente stabilisce una connessione tra il cluster all'esterno di Google Cloud e il progetto host del parco risorse Google Cloud, consentendoti di gestire i cluster e i carichi di lavoro di Google e di utilizzare i servizi Google.

Negli ambienti on-premise, la connettività a Google può utilizzare la rete internet pubblica, una VPN ad alta disponibilità, Public Interconnect o Dedicated Interconnect, a seconda dei requisiti di latenza, sicurezza e larghezza di banda delle tue applicazioni quando interagisci con Google Cloud.

Scopri di più:

Bilanciamento del carico

Per gestire il traffico da e verso il tuo parco risorse, GKE Enterprise fornisce le seguenti soluzioni di bilanciamento del carico:

  • I cluster GKE su Google Cloud possono utilizzare le opzioni seguenti:
  • I cluster GKE on-premise ti consentono di scegliere tra una varietà di modalità di bilanciamento del carico in base alle tue esigenze, tra cui un bilanciatore del carico MetalLB in bundle e la possibilità di configurare manualmente il bilanciamento del carico per utilizzare le tue soluzioni esistenti
  • Google Distributed Cloud connesso include il bilanciamento del carico MetalLB in bundle
  • I cluster GKE su altri cloud pubblici utilizzano bilanciatori del carico nativi della piattaforma

Scopri di più:

Autenticazione e controllo degli accessi

Una sfida significativa quando si lavora con più cluster su più provider di infrastrutture è la gestione dell'autenticazione e dell'autorizzazione. Per l'autenticazione nei cluster del tuo parco risorse, GKE Enterprise offre opzioni per un'autenticazione coerente, semplice e sicura durante l'interazione con i cluster dalla riga di comando tramite kubectl e dalla console Google Cloud.

  • Utilizza l'identità Google:Connect Gateway consente agli utenti e agli account di servizio di autenticarsi nei cluster del tuo parco risorse con i propri ID Google, ovunque si trovino i cluster. Puoi utilizzare questa funzionalità per connetterti direttamente ai cluster o sfruttarla con pipeline di build e altre automazioni DevOps.
  • Utilizza identità di terze parti:il servizio di identità GKE di GKE Enterprise consente di configurare l'autenticazione con provider di identità di terze parti, consentendo ai tuoi team di continuare a utilizzare nomi utente, password e gruppi di sicurezza esistenti di provider OIDC (e LDAP, se supportati) come Microsoft AD FS e Okta in tutto il parco risorse.

Puoi configurare tutti i provider di identità supportati che vuoi per un cluster.

Dopo aver configurato l'autenticazione, puoi utilizzare controllo dell'accesso basato su ruoli (RBAC) standard di Kubernetes per autorizzare gli utenti autenticati a interagire con i tuoi cluster, nonché Identity and Access Management per controllare l'accesso ai servizi Google come Connect Gateway.

Per i carichi di lavoro in esecuzione sui tuoi cluster, GKE Enterprise fornisce l'identità dei carichi di lavoro a livello di parco risorse. Questa funzionalità consente ai carichi di lavoro nei cluster membri del parco risorse di utilizzare le identità di un pool di identità dei carichi di lavoro a livello di parco risorse durante l'autenticazione a servizi esterni come le API Cloud. Questo semplifica la configurazione dell'accesso di un'applicazione a questi servizi rispetto alla configurazione del cluster di accesso per cluster. Ad esempio, se hai un'applicazione con un backend di cui è stato eseguito il deployment in più cluster nello stesso parco risorse e che deve eseguire l'autenticazione in un'API di Google, puoi configurare l'applicazione in modo che tutti i servizi nello spazio dei nomi "backend" possano utilizzare tale API.

Scopri di più:

Gestione dei criteri

Un altro problema quando lavori con più cluster è l'applicazione di criteri coerenti di sicurezza e conformità normativa in tutto il parco risorse. Molte organizzazioni hanno rigidi requisiti di sicurezza e conformità, come quelli per la protezione delle informazioni dei consumatori nelle applicazioni per i servizi finanziari, e devono essere in grado di soddisfarli su larga scala.

Per aiutarti, Policy Controller applica una logica di business personalizzata a ogni richiesta API Kubernetes inviata ai cluster pertinenti. Questi criteri agiscono da "barriere" e impediscono qualsiasi modifica alla configurazione dell'API Kubernetes che violi i controlli di sicurezza, operativi o di conformità. Puoi impostare criteri per bloccare attivamente le richieste API non conformi in tutto il parco risorse o semplicemente per controllare la configurazione dei tuoi cluster e segnalare le violazioni. Le regole comuni di sicurezza e conformità possono essere espresse facilmente utilizzando l'insieme di regole integrato di Policy Controller oppure puoi scrivere le tue regole utilizzando il linguaggio dei criteri estendibili, basato sul progetto open source Open Policy Agent.

Scopri di più:

Sicurezza a livello di applicazione

Per le applicazioni in esecuzione sul tuo parco risorse, GKE Enterprise offre funzionalità di controllo dell'accesso e autenticazione per la difesa in profondità, tra cui:

  • Autorizzazione binaria, che consente di garantire che nei cluster del parco risorse venga eseguito solo il deployment di immagini attendibili.
  • Criterio di rete di Kubernetes, che consente di specificare quali pod sono autorizzati a comunicare tra loro e con altri endpoint di rete.
  • Controllo dell'accesso ai servizi di Cloud Service Mesh, che consente di configurare un controllo dell'accesso granulare per i servizi mesh in base agli account di servizio e ai contesti delle richieste.
  • L'autorità di certificazione mesh di servizi Cloud (Mesh CA), che genera e ruota automaticamente i certificati per consentirti di abilitare facilmente l'autenticazione TLS reciproca (mTLS) tra i servizi.

Osservabilità

Una parte fondamentale del funzionamento e della gestione dei cluster su larga scala è la possibilità di monitorare facilmente i cluster e le applicazioni del tuo parco risorse, incluso l'integrità, l'utilizzo delle risorse e la security posture.

GKE Enterprise nella console Google Cloud

La console Google Cloud è l'interfaccia web di Google Cloud che puoi utilizzare per gestire progetti e risorse. GKE Enterprise porta le funzionalità aziendali e una visualizzazione strutturata dell'intero parco dispositivi nelle pagine della console Google Cloud di GKE, fornendo un'interfaccia integrata che ti aiuta a gestire applicazioni e risorse in un unico posto. Le pagine della dashboard ti consentono di visualizzare dettagli di alto livello, oltre a permetterti di visualizzare in dettaglio per quanto necessario per identificare i problemi.

  • Panoramica:la panoramica generale fornisce una panoramica dell'utilizzo delle risorse del parco risorse in base alle informazioni fornite tramite Cloud Monitoring e mostra l'utilizzo di CPU, memoria e disco aggregato per parco risorse e per cluster, nonché la copertura di Policy Controller e Config Sync a livello di parco risorse.
  • Gestione dei cluster: la visualizzazione Cluster di GKE Enterprise fornisce una console sicura per visualizzare lo stato di tutti i cluster del progetto e del parco risorse, incluso l'integrità dei cluster, registrare i cluster nel parco risorse e creare nuovi cluster per il tuo parco risorse (solo Google Cloud). Per informazioni su cluster specifici, puoi visualizzare in dettaglio da questa vista o visitare altre dashboard di GKE per ottenere ulteriori dettagli su nodi e carichi di lavoro del cluster.
  • Panoramica del team: se hai configurato dei team per il tuo parco risorse, la panoramica dei team fornisce l'utilizzo delle risorse, i tassi di errore e altre metriche aggregate per team, consentendo ad amministratori e membri del team di visualizzare e risolvere più facilmente gli errori.
  • Gestione delle funzionalità:la vista Gestione delle funzionalità ti consente di visualizzare lo stato delle funzionalità di GKE Enterprise per i cluster del parco risorse.
  • Mesh di servizi: se utilizzi Cloud Service Mesh su Google Cloud, la visualizzazione di Service Mesh offre osservabilità dell'integrità e delle prestazioni dei tuoi servizi. Cloud Service Mesh raccoglie e aggrega i dati relativi a ogni richiesta e risposta del servizio, il che significa che non devi instrumentare il tuo codice per raccogliere dati di telemetria o configurare manualmente dashboard e grafici. Cloud Service Mesh carica automaticamente metriche e log su Cloud Monitoring e Cloud Logging per tutto il traffico all'interno del cluster. Questa telemetria dettagliata consente agli operatori di osservare il comportamento dei servizi e consente loro di risolvere i problemi, gestire e ottimizzare le proprie applicazioni.
  • Postura di sicurezza: la visualizzazione Security posture mostra suggerimenti utili e mirati per migliorare la security posture del parco risorse.
  • Gestione della configurazione: la visualizzazione Config offre una panoramica immediata dello stato di configurazione di tutti i cluster del parco risorse con Config Sync abilitato e consente di aggiungere rapidamente la funzionalità ai cluster non ancora configurati. Puoi tenere facilmente traccia delle modifiche alla configurazione e vedere quali tag di ramo e commit sono stati applicati a ciascun cluster. I filtri flessibili consentono di visualizzare facilmente lo stato dell'implementazione della configurazione per cluster, ramo o tag.
  • Gestione dei criteri:la vista Criteri mostra quanti cluster nel tuo parco risorse hanno Policy Controller abilitato, fornisce una panoramica di eventuali violazioni della conformità e consente di aggiungere la funzionalità ai cluster del parco risorse.

Logging e monitoraggio

Per informazioni più approfondite sui cluster e sui relativi carichi di lavoro, puoi utilizzare Cloud Logging e Cloud Monitoring. Cloud Logging offre una posizione unificata per archiviare e analizzare i dati dei log, mentre Cloud Monitoring raccoglie e archivia automaticamente i dati sulle prestazioni, oltre a fornire strumenti di visualizzazione e analisi dei dati. La maggior parte dei tipi di cluster GKE Enterprise invia informazioni di logging e monitoraggio per i componenti di sistema (ad esempio i carichi di lavoro negli spazi dei nomi kube-system e gke-connect) a Cloud Monitoring e Cloud Logging per impostazione predefinita. Puoi configurare ulteriormente Cloud Monitoring e Cloud Logging per ottenere informazioni sui carichi di lavoro delle tue applicazioni, creare dashboard che includono più tipi di metriche, creare avvisi e altro ancora.

A seconda delle esigenze della tua organizzazione e del tuo progetto, GKE Enterprise supporta anche l'integrazione con altri strumenti di osservabilità, tra cui Prometheus e Grafana open source, nonché strumenti di terze parti come Elastic e Splunk.

Scopri di più:

Gestione servizio

In Kubernetes, un servizio è un modo astratto per esporre un'applicazione in esecuzione su un insieme di pod come servizio di rete, con un singolo indirizzo DNS per il traffico verso i carichi di lavoro dei servizi. In una moderna architettura di microservizi, una singola applicazione può essere composta da numerosi servizi e per ogni servizio può essere eseguito il deployment di più versioni contemporaneamente. La comunicazione tra servizi in questo tipo di architettura avviene sulla rete, quindi i servizi devono essere in grado di gestire le idiosincrasie di rete e altri problemi di infrastruttura di base.

Per semplificare la gestione dei servizi nel tuo parco risorse, puoi utilizzare Cloud Service Mesh. Cloud Service Mesh è basato su Istio, un'implementazione open source del livello dell'infrastruttura mesh di servizi. I mesh di servizi mettono in evidenza i problemi comuni legati all'esecuzione di un servizio, come monitoraggio, networking e sicurezza, con strumenti coerenti e potenti, che consentono a sviluppatori e operatori di servizi di concentrarsi più facilmente sulla creazione e sulla gestione delle loro applicazioni. Con Cloud Service Mesh, queste funzioni vengono astratte dal container principale dell'applicazione e implementate in un proxy out-of-process comune distribuito come container separato nello stesso pod. Questo pattern disaccoppia l'applicazione o la logica di business dalle funzioni di rete e consente agli sviluppatori di concentrarsi sulle funzionalità di cui l'azienda ha bisogno. I mesh di servizi consentono inoltre ai team operativi e a quelli di sviluppo di disaccoppiare il proprio lavoro l'uno dall'altro.

Cloud Service Mesh ti offre molte funzionalità oltre a tutte le funzionalità di Istio:

  • Le metriche e i log dei servizi per tutto il traffico all'interno del cluster del mesh vengono importati automaticamente in Google Cloud.
  • Le dashboard generate automaticamente mostrano dati di telemetria approfonditi nella dashboard di Cloud Service Mesh, per consentirti di approfondire le metriche e i log, filtrando e suddividendo i dati in base a un'ampia varietà di attributi.
  • Sintesi delle relazioni tra servizi: comprendi cosa si connette a ciascun servizio e dai servizi da cui dipende.
  • Proteggi il traffico tra i servizi: l'autorità di certificazione (Mesh CA) di Cloud Service Mesh genera e ruota automaticamente i certificati in modo da poter abilitare facilmente l'autenticazione TLS reciproca (mTLS) con i criteri Istio.
  • Vedi rapidamente il livello di sicurezza della comunicazione non solo del tuo servizio, ma anche delle sue relazioni con gli altri servizi.
  • Approfondisci le metriche dei servizi e combinale con altre metriche Google Cloud utilizzando Cloud Monitoring.
  • Ottieni insight chiari e semplici sull'integrità del servizio con gli obiettivi del livello del servizio (SLO), che ti consentono di definire e creare avvisi facilmente sui tuoi standard di integrità del servizio.

Cloud Service Mesh ti consente di scegliere tra un piano di controllo del mesh di servizi completamente gestito in Google Cloud (solo per mesh in esecuzione su cluster membri del parco risorse su Google Cloud) o un piano di controllo nel cluster installato da te. Per saperne di più sulle funzionalità disponibili per ciascuna opzione, consulta la documentazione di Cloud Service Mesh.

Scopri di più:

Che cosa succede dopo?