Panoramica tecnica di GKE Enterprise

GKE Enterprise è la piattaforma di container basata su cloud di Google per eseguire app moderne ovunque e in modo coerente su vasta scala. Questa guida fornisce una panoramica del funzionamento di GKE Enterprise e di come può aiutarti a distribuire applicazioni gestibili, scalabili e affidabili.

Perché GKE Enterprise?

In genere, quando le organizzazioni adottano tecnologie cloud-native come container, orchestrazione dei container e mesh di servizi, raggiungono un punto in cui l'esecuzione di un singolo cluster non è più sufficiente. Esistono diversi motivi per cui le organizzazioni scelgono di eseguire il deployment di più cluster per raggiungere i propri obiettivi tecnici e commerciali; ad esempio separando gli ambienti di produzione dagli ambienti non di produzione, variando le restrizioni normative o la separazione dei servizi tra livelli, impostazioni internazionali o team. Tuttavia, l'utilizzo di più cluster presenta problemi e costi generali in termini di configurazione, sicurezza e gestione coerenti: ad esempio, la configurazione manuale di un cluster alla volta rischia di provocare danni e può essere difficile vedere esattamente dove si verificano gli errori.

Le cose possono diventare ancora più complesse (e costose) se i cluster non sono tutti in un unico posto. Molte organizzazioni che utilizzano Google Cloud vogliono o devono anche eseguire carichi di lavoro nei propri data center, nelle fabbriche, nei negozi di vendita al dettaglio e persino in altri cloud pubblici, ma non vogliono creare nuove piattaforme di container in tutte queste località o ripensare a come configurare, proteggere, monitorare e ottimizzare i carichi di lavoro dei container a seconda di dove vengono eseguiti, con la possibilità di ambienti incoerenti, rischi di sicurezza e di configurazione errata e complessità operativa.

Ad esempio:

  • Un istituto finanziario sta creando una piattaforma di servizi bancari digitali su Google Cloud e richiede configurazioni coerenti, applicazione rigorosa di criteri di sicurezza e visibilità approfondita su come comunicano più app. Una grande azienda di vendita al dettaglio che crea una piattaforma di e-commerce moderna ha gli stessi requisiti. Entrambe le aziende gestiscono più cluster in più regioni in Google Cloud utilizzando GKE.
  • Un altro istituto finanziario globale sta creando app complesse di gestione del rischio, app di trasferimento interbancario e molti altri carichi di lavoro sensibili, alcuni dei quali devono rimanere dietro la firewall aziendale e altri di cui è stato eseguito il deployment su GKE su Google Cloud.
  • Un importante rivenditore di farmaci sta creando nuove app per la programmazione dei vaccini, la messaggistica per i clienti e il coinvolgimento digitale per modernizzare le operazioni farmaceutiche e creare un'esperienza in negozio più personalizzata. Queste app richiedono piattaforme di container in negozio integrate con servizi ospitati su Google Cloud come BigQuery e Retail Search
  • Una società di media e intrattenimento richiede un ambiente di contenitori coerente in 30 stadi, tutti collegati e gestiti da Google Cloud, per raccogliere e analizzare terabyte di statistiche delle partite e per aumentare il coinvolgimento dei fan sia all'interno dello stadio sia virtualmente.
  • Una azienda di produzione di hardware deve testare e ottimizzare la qualità dei prodotti e la sicurezza dei lavoratori in fabbrica analizzando i dati con una latenza molto bassa per prendere decisioni quasi in tempo reale, consolidando al contempo i dati in Google Cloud per analisi a lungo termine.
  • Una azienda di software e internet che offre una piattaforma di integrazione in un modello SaaS (Software as a Service) deve offrire la propria piattaforma su alcuni dei principali cloud pubblici per essere eseguita dove i clienti necessitano della vicinanza ai servizi cloud nativi. L'azienda ha bisogno di un modo unificato e coerente per eseguire il provisioning, configurare, proteggere e monitorare gli ambienti container in più cloud pubblici da un unico piano di gestione, per evitare l'overhead operativo associato alla gestione di ogni ambiente cloud con diversi strumenti di gestione nativi.

GKE Enterprise può aiutare tutte queste organizzazioni fornendo una piattaforma coerente che consente loro di:

  • Modernizza le applicazioni e l'infrastruttura in loco
  • Crea un modello operativo cloud unificato (pannello unico) per creare, aggiornare e ottimizzare i cluster di container ovunque si trovino
  • Scala applicazioni multi-cluster di grandi dimensioni come parchi risorse, raggruppamenti logici di ambienti simili, con sicurezza, configurazione e gestione dei servizi coerenti
  • Applica governance e sicurezza coerenti da un piano di controllo unificato

A tal fine, offre strumenti e funzionalità che aiutano a governare, gestire e utilizzare i carichi di lavoro containerizzati su larga scala, consentendo di adottare best practice e principi che abbiamo appreso dall'utilizzo dei servizi di Google.

Nozioni di base su GKE Enterprise

Diagramma che mostra le funzionalità della piattaforma GKE Enterprise

Le funzionalità di GKE Enterprise si basano sull'idea del parco: un raggruppamento logico di cluster Kubernetes che possono essere gestiti insieme. Un parco risorse può essere costituito interamente da cluster GKE su Google Cloud oppure includere cluster esterni a Google Cloud in esecuzione on-premise e su altri cloud pubblici come AWS e Azure.

Dopo aver creato un parco risorse, puoi utilizzare le funzionalità supportate dal parco risorse di GKE Enterprise per aggiungere ulteriore valore e semplificare il lavoro su più cluster e provider di infrastrutture:

  • Gli strumenti di configurazione e gestione dei criteri ti consentono di lavorare più facilmente su larga scala, aggiungendo e aggiornando automaticamente la stessa configurazione, le stesse funzionalità e gli stessi criteri di sicurezza in modo coerente in tutto il parco risorse, ovunque si trovino i tuoi cluster.
  • Le funzionalità di networking a livello di parco risorse ti aiutano a gestire il traffico nell'intero parco risorse, tra cui Ingress multi-cluster per le applicazioni che si estendono su più cluster e le funzionalità di gestione del traffico del servizio mesh.
  • Le funzionalità di gestione delle identità ti aiutano a configurare in modo coerente l'autenticazione per gli utenti e i carichi di lavoro del parco risorse.
  • Le funzionalità di osservabilità ti consentono di monitorare e risolvere i problemi dei cluster e delle applicazioni del tuo parco risorse, inclusi l'integrità, l'utilizzo delle risorse e la security posture.
  • Gli strumenti di gestione dei team ti consentono di assicurarti che i team abbiano accesso alle risorse di infrastruttura necessarie per eseguire i carichi di lavoro e di fornire ai team una visualizzazione basata sui team delle risorse e dei carichi di lavoro.
  • Per le applicazioni basate su microservizi in esecuzione nel tuo parco risorse, Cloud Service Mesh fornisce potenti strumenti per la sicurezza delle applicazioni, il networking e l'osservabilità nel mesh.

Puoi attivare l'intera piattaforma GKE Enterprise per utilizzare tutte le funzionalità disponibili, incluse quelle multicloud e ibride, oppure puoi creare un parco solo su Google Cloud e pagare le funzionalità aziendali aggiuntive in base alle tue esigenze. GKE Enterprise utilizza tecnologie open source standard di settore e supporta più provider di infrastrutture, offrendo la flessibilità di utilizzarlo in modo da soddisfare le esigenze aziendali e organizzative.

Come funzionano i parchi risorse

I parchi risorse consentono a GKE Enterprise di raggruppare e normalizzare logicamente i cluster Kubernetes, semplificando l'amministrazione dell'infrastruttura. L'adozione dei parchi risorse aiuta la tua organizzazione a migliorare la gestione da singoli cluster a gruppi di cluster, con una visualizzazione unica dell'intero parco risorse nella console Google Cloud. Tuttavia, i parchi risorse sono più di semplici gruppi di cluster. I principi di identità e fiducia assunti all'interno di un parco risorse ti consentono di utilizzare l'intera gamma di funzionalità abilitate per il parco risorse.

Il primo di questi principi del parco risorse è l'identicità. Ciò significa che, all'interno di un parco risorse di cluster, alcuni oggetti Kubernetes, come gli spazi dei nomi in cluster diversi, vengono trattati come se fossero la stessa cosa quando hanno lo stesso nome. Questa normalizzazione semplifica la gestione di molti cluster contemporaneamente e viene utilizzata dalle funzionalità abilitate per il parco risorse di GKE Enterprise. Ad esempio, puoi applicare un criterio di sicurezza con Policy Controller a tutti i servizi del parco risorse nello spazio dei nomi foo, indipendentemente dai cluster in cui si trovano o dalla posizione in cui si trovano.

I parchi risorse inoltre presuppongono l'identicità del servizio (tutti i servizi in uno spazio dei nomi con lo stesso nome possono essere trattati come lo stesso servizio, ad esempio per scopi di gestione del traffico) e dell'identità (i servizi e i carichi di lavoro all'interno di un parco risorse possono utilizzare un'identità comune per l'autenticazione e l'autorizzazione). Il principio di uguaglianza del parco risorse fornisce anche una guida efficace su come configurare spazi dei nomi, servizi e identità, seguendo ciò che molte organizzazioni e Google già implementano autonomamente come best practice.

Un altro principio chiave è la fiducia: l'identità del servizio, l'identità del carico di lavoro e l'identità del mesh si basano tutte su un principio di elevata fiducia tra i membri di un parco risorse. Questo livello di attendibilità consente di elevare il livello di gestione di queste risorse al parco risorse, anziché gestirle cluster per cluster, e rende meno importante il confine del cluster.

Il modo in cui organizzi i parchi risorse dipende dalle esigenze organizzative e tecniche. Ogni parco risorse è associato a un progetto Google Cloud specifico, chiamato progetto host del parco risorse, che puoi utilizzare per gestire e visualizzare il parco risorse, ma che può includere cluster di altri progetti. Ad esempio, puoi avere parchi separati per gli ambienti di produzione, di test e di sviluppo oppure parchi separati per diversi settori di attività (diversi team come tenant della tua infrastruttura possono essere gestiti all'interno dei parchi utilizzando gli scope). I cluster che hanno grandi quantità di comunicazioni tra servizi traggono il massimo vantaggio dall'essere gestiti insieme in un parco risorse. I cluster nello stesso ambiente (ad esempio l'ambiente di produzione) devono trovarsi nello stesso parco risorse. In genere consigliamo la dimensione massima del parco risorse che consenta l'affidabilità e l'identicità tra i servizi, tenendo presente che Cloud Service Mesh, se scegli di utilizzarlo, ti consente di abilitare un controllo dell'accesso ai servizi più granulare all'interno del tuo parco risorse.

Scopri di più:

Cluster Kubernetes ovunque

Kubernetes è al centro di GKE Enterprise, con una serie di opzioni di cluster Kubernetes tra cui scegliere durante la creazione del parco risorse:

  • Google Kubernetes Engine (GKE) è l'implementazione di Kubernetes gestita di Google, con le seguenti opzioni disponibili per gli utenti di GKE Enterprise:
    • Su Google Cloud, GKE dispone di un piano di controllo ospitato nel cloud e di cluster composti da istanze di Compute Engine. Sebbene GKE su Google Cloud da solo ti aiuti a eseguire il deployment, scalare e gestire Kubernetes in modo automatico, il raggruppamento dei cluster GKE in un parco risorse ti consente di lavorare più facilmente su larga scala e di utilizzare le funzionalità di GKE Enterprise oltre alle potenti funzionalità di gestione dei cluster già offerte da GKE.
    • All'esterno di Google Cloud, GKE è esteso per l'utilizzo con altri provider di infrastrutture, tra cui Azure, AWS e il tuo hardware on-premise (su VMware o on bare metal). In queste opzioni, il piano di controllo Kubernetes fornito da Google viene eseguito nel tuo data center o nel tuo provider di servizi cloud insieme ai nodi del cluster, con i cluster connessi al progetto host del parco risorse in Google Cloud.
  • I deployment connessi di Google Distributed Cloud (in precedenza Distributed Cloud) ti consentono anche di aggiungere cluster GKE on-premise al tuo parco risorse, questa volta in esecuzione su hardware fornito e gestito da Google e supportando un sottoinsieme di funzionalità di GKE Enterprise.
  • I cluster GKE non sono l'unica opzione. GKE Enterprise offre anche la possibilità di registrare nel tuo parco risorse cluster Kubernetes di terze parti conformi, come i cluster EKS e AKS, noti come cluster collegati. Con questa opzione, continui a eseguire i carichi di lavoro esistenti dove si trovano, aggiungendo valore con un sottoinsieme di funzionalità di GKE Enterprise. GKE Enterprise non gestisce il piano di controllo o i componenti dei nodi di Kubernetes, ma solo i servizi GKE Enterprise in esecuzione su questi cluster.

Per tutti i cluster basati su GKE, inclusi on-premise e cloud pubblici, GKE Enterprise fornisce strumenti per la gestione e il ciclo di vita dei cluster (creazione, aggiornamento, eliminazione ed upgrade), incluse le utilità a riga di comando e, per alcuni tipi di cluster, la gestione dalla console Google Cloud.

Configurazione cluster

Ovunque si trovino i tuoi cluster, Config Sync fornisce un modo coerente per gestire la configurazione dei cluster nell'intero parco risorse, inclusi i cluster collegati. Config Sync utilizza l'approccio della "configurazione come dati": lo stato desiderato dell'ambiente viene definito in modo dichiarativo, mantenuto come un'unica fonte attendibile sotto il controllo della versione e applicato direttamente con risultati ripetibili. Config Sync monitora un repository Git centrale contenente la configurazione e applica automaticamente eventuali modifiche ai cluster di destinazione specificati, indipendentemente da dove vengono eseguiti. Qualsiasi YAML o JSON che può essere applicato con i comandi kubectl può essere gestito con Config Sync e applicato a qualsiasi cluster Kubernetes.

Migrazione e VM

Per le organizzazioni che vogliono eseguire la migrazione delle proprie applicazioni in container e Kubernetes nell'ambito del processo di modernizzazione, GKE Enterprise include Migrate to Containers, con strumenti per convertire i carichi di lavoro basati su VM in container eseguiti su GKE. Sulle piattaforme GKE Enterprise on bare metal (Google Distributed Cloud on bare metal e Google Distributed Cloud connected), le organizzazioni possono anche utilizzare il runtime VM su Google Distributed Cloud per eseguire VM su Kubernetes nello stesso modo in cui eseguono i container, continuando a utilizzare i carichi di lavoro basati su VM esistenti, nonché a sviluppare ed eseguire nuove applicazioni basate su container. Quando sono pronti, possono eseguire la migrazione di questi carichi di lavoro basati su VM nei container e continuare a utilizzare gli stessi strumenti di gestione di GKE Enterprise.

Scopri di più:

Funzionalità di GKE Enterprise

Il resto di questa guida ti introduce alle funzionalità fornite da GKE Enterprise per aiutarti a gestire i tuoi parchi risorse e le applicazioni che vengono eseguite su di essi. Puoi trovare un elenco completo delle funzionalità disponibili per ogni tipo di cluster Kubernetes supportato nelle opzioni di deployment di GKE Enterprise.

Networking, autenticazione e sicurezza

Dopo aver creato il tuo parco risorse, GKE Enterprise ti aiuta a gestire il traffico e l'autenticazione e controllo dell'accesso, nonché ad applicare in modo coerente criteri di sicurezza e conformità in tutto il parco risorse.

Connessione al parco risorse in corso...

Per gestire la connessione a Google nei parchi ibridi e multicloud, Google fornisce un deployment Kubernetes chiamato agente Connect. Una volta installato in un cluster nell'ambito della registrazione del parco, l'agente stabilisce una connessione tra il cluster esterno a Google Cloud e il relativo progetto host del parco Google Cloud, consentendoti di gestire i cluster e i carichi di lavoro da Google e di utilizzare i servizi Google.

Negli ambienti on-premise, la connettività a Google può utilizzare internet pubblico, una VPN ad alta disponibilità, Public Interconnect o Dedicated Interconnect, a seconda dei requisiti di latenza, sicurezza e larghezza di banda delle applicazioni quando interagiscono con Google Cloud.

Scopri di più:

Bilanciamento del carico

Per gestire il traffico da e verso il tuo parco risorse, GKE Enterprise fornisce le seguenti soluzioni di bilanciamento del carico:

  • I cluster GKE su Google Cloud possono utilizzare le opzioni seguenti:
  • I cluster GKE on-premise ti consentono di scegliere tra una serie di modalità di bilanciamento del carico in base alle tue esigenze, tra cui un bilanciatore del carico MetalLB in bundle e la possibilità di configurare manualmente il bilanciamento del carico per utilizzare le tue soluzioni esistenti.
  • Google Distributed Cloud connesso include il bilanciamento del carico MetalLB in bundle
  • I cluster GKE su altri cloud pubblici utilizzano bilanciatori del carico nativi della piattaforma

Scopri di più:

Autenticazione e controllo degli accessi

Una sfida significativa quando si lavora con più cluster su più fornitori di infrastruttura è la gestione dell'autenticazione e dell'autorizzazione. Per l'autenticazione ai cluster del tuo parco risorse, GKE Enterprise offre opzioni per un'autenticazione coerente, semplice e sicura quando interagisci con i cluster dalla riga di comando con kubectl e dalla console Google Cloud.

  • Utilizza l'identità Google: Connect Gateway consente agli utenti e ai service account di autenticarsi nei cluster di tutto il tuo parco risorse con i propri ID Google, indipendentemente da dove si trovano i cluster. Puoi utilizzare questa funzionalità per connetterti direttamente ai cluster o sfruttarla con le pipeline di compilazione e altre automazioni DevOps.
  • Utilizza identità di terze parti:il servizio di identità GKE di GKE Enterprise consente di configurare l'autenticazione con provider di identità di terze parti, consentendo ai tuoi team di continuare a utilizzare nomi utente, password e gruppi di sicurezza esistenti di provider OIDC (e LDAP, se supportati) come Microsoft AD FS e Okta in tutto il parco risorse.

Puoi configurare tutti i provider di identità supportati che vuoi per un cluster.

Dopo aver configurato l'autenticazione, puoi utilizzare il controllo dell'accesso basato sui ruoli (RBAC) di Kubernetes standard per autorizzare gli utenti autenticati a interagire con i tuoi cluster, nonché Identity and Access Management per controllare l'accesso ai servizi Google come Connect Gateway.

Per i carichi di lavoro in esecuzione sui tuoi cluster, GKE Enterprise fornisce l'identità dei carichi di lavoro a livello di parco risorse. Questa funzionalità consente ai carichi di lavoro sui cluster membri del parco risorse di utilizzare le identità di un pool di identità dei carichi di lavoro a livello di parco risorse durante l'autenticazione ai servizi esterni, come le API Cloud. Questo semplifica la configurazione dell'accesso di un'applicazione a questi servizi rispetto alla configurazione del cluster di accesso per cluster. Ad esempio, se hai un'applicazione con un backend di cui è stato eseguito il deployment in più cluster nello stesso parco risorse e che deve eseguire l'autenticazione in un'API di Google, puoi configurare l'applicazione in modo che tutti i servizi nel "backend" non può usare l'API.

Scopri di più:

Gestione dei criteri

Un altro problema quando lavori con più cluster è l'applicazione di criteri coerenti di sicurezza e conformità normativa in tutto il parco risorse. Molte organizzazioni hanno rigidi requisiti di sicurezza e conformità, come quelli per la protezione delle informazioni dei consumatori nelle applicazioni per i servizi finanziari, e devono essere in grado di soddisfarli su larga scala.

Per aiutarti a farlo, Policy Controller applica la logica aziendale personalizzata a ogni richiesta dell'API Kubernetes ai cluster pertinenti. Questi criteri agiscono come "barriere" e impediscono qualsiasi modifica alla configurazione dell'API Kubernetes che violi i controlli di sicurezza, operativi o di conformità. Puoi impostare criteri per bloccare attivamente le richieste API non conformi in tutto il parco risorse o semplicemente per controllare la configurazione dei tuoi cluster e segnalare le violazioni. Le regole comuni di sicurezza e conformità possono essere facilmente espresse utilizzando l'insieme di regole integrato di Policy Controller oppure puoi scrivere le tue regole utilizzando il linguaggio di criteri estensibile, basato sul progetto open source Open Policy Agent.

Scopri di più:

Sicurezza a livello di applicazione

Per le applicazioni in esecuzione sul tuo parco risorse, GKE Enterprise offre funzionalità di controllo dell'accesso e autenticazione per la difesa in profondità, tra cui:

  • Autorizzazione binaria, che consente di garantire che nei cluster del parco risorse venga eseguito il deployment solo di immagini attendibili.
  • Il criterio di rete Kubernetes, che consente di specificare quali pod sono autorizzati a comunicare tra loro e con altri endpoint di rete.
  • Il controllo dell'accesso ai servizi di Cloud Service Mesh, che ti consente di configurare il controllo dell'accesso granulare per i servizi mesh in base agli account di servizio e ai contesti delle richieste.
  • L'autorità di certificazione (CA) Cloud Service Mesh, che genera e ruota automaticamente i certificati in modo da poter attivare facilmente l'autenticazione TLS reciproca (mTLS) tra i tuoi servizi.

Osservabilità

Una parte fondamentale del funzionamento e della gestione dei cluster su larga scala è la possibilità di monitorare facilmente i cluster e le applicazioni del tuo parco risorse, incluso l'integrità, l'utilizzo delle risorse e la security posture.

GKE Enterprise nella console Google Cloud

La console Google Cloud è l'interfaccia web di Google Cloud che puoi utilizzare per gestire i tuoi progetti e le tue risorse. GKE Enterprise offre funzionalità aziendali e una visualizzazione strutturata dell'intero parco risorse nelle pagine della console Google Cloud GKE, fornendo un'interfaccia integrata che ti aiuta a gestire le applicazioni e le risorse in un unico posto. Le pagine della dashboard ti consentono di visualizzare i dettagli di alto livello, nonché di visualizzare in dettaglio i problemi fino a quando necessario.

  • Panoramica: la panoramica di primo livello fornisce una panoramica dell'utilizzo delle risorse del tuo parco risorse in base alle informazioni fornite tramite Cloud Monitoring e mostra l'utilizzo aggregato di CPU, memoria e disco per parco risorse e per cluster, nonché la copertura di Policy Controller e Config Sync a livello di parco risorse.
  • Gestione dei cluster: la visualizzazione Cluster di GKE Enterprise fornisce una console sicura per visualizzare lo stato di tutti i cluster del progetto e del parco risorse, incluso l'integrità dei cluster, registrare i cluster nel parco risorse e creare nuovi cluster per il tuo parco risorse (solo Google Cloud). Per informazioni su cluster specifici, puoi visualizzare in dettaglio da questa vista o visitare altre dashboard di GKE per ottenere ulteriori dettagli su nodi e carichi di lavoro del cluster.
  • Panoramica del team:se hai configurato dei team per il tuo parco risorse, la panoramica dei team fornisce l'utilizzo delle risorse, i tassi di errore e altre metriche aggregate per team, consentendo ad amministratori e membri del team di visualizzare e risolvere più facilmente gli errori.
  • Gestione delle funzionalità:la vista Gestione delle funzionalità ti consente di visualizzare lo stato delle funzionalità di GKE Enterprise per i cluster del parco risorse.
  • Mesh di servizi: se utilizzi Cloud Service Mesh su Google Cloud, la visualizzazione di Service Mesh offre osservabilità dell'integrità e delle prestazioni dei tuoi servizi. Cloud Service Mesh raccoglie e aggrega i dati relativi a ogni richiesta e risposta del servizio, il che significa che non devi instrumentare il tuo codice per raccogliere dati di telemetria o configurare manualmente dashboard e grafici. Cloud Service Mesh carica automaticamente metriche e log in Cloud Monitoring e Cloud Logging per tutto il traffico all'interno del cluster. Questa telemetria dettagliata consente agli operatori di osservare il comportamento dei servizi e consente loro di risolvere i problemi, gestire e ottimizzare le proprie applicazioni.
  • Postura di sicurezza: la visualizzazione Security posture mostra suggerimenti utili e mirati per migliorare la security posture del parco risorse.
  • Gestione della configurazione: la visualizzazione Config fornisce una panoramica dello stato di configurazione di tutti i cluster del parco risorse con Config Sync abilitato e ti consente di aggiungere rapidamente la funzionalità ai cluster che non sono ancora stati configurati. Puoi monitorare facilmente le modifiche alla configurazione e vedere quale ramo e tag di commit sono stati applicati a ciascun cluster. I filtri flessibili semplificano la visualizzazione dello stato di implementazione della configurazione per cluster, ramo o tag.
  • Gestione dei criteri: la vista Criteri mostra quanti cluster nel tuo parco risorse hanno Policy Controller abilitato, fornisce una panoramica di eventuali violazioni della conformità e ti consente di aggiungere la funzionalità ai cluster del parco risorse.

Logging e monitoraggio

Per informazioni più approfondite sui cluster e sui relativi carichi di lavoro, puoi utilizzare Cloud Logging e Cloud Monitoring. Cloud Logging fornisce un luogo unificato per archiviare e analizzare i dati dei log, mentre Cloud Monitoring raccoglie e archivia automaticamente i dati sulle prestazioni, oltre a fornire strumenti di visualizzazione e analisi dei dati. La maggior parte dei tipi di cluster GKE Enterprise invia informazioni di logging e monitoraggio per i componenti di sistema (ad esempio i carichi di lavoro negli spazi dei nomi kube-system e gke-connect) a Cloud Monitoring e Cloud Logging per impostazione predefinita. Puoi configurare ulteriormente Cloud Monitoring e Cloud Logging per ottenere informazioni sui carichi di lavoro delle tue applicazioni, creare dashboard che includono più tipi di metriche, creare avvisi e altro ancora.

A seconda delle esigenze della tua organizzazione e del tuo progetto, GKE Enterprise supporta anche l'integrazione con altri strumenti di osservabilità, tra cui Prometheus e Grafana open source, nonché strumenti di terze parti come Elastic e Splunk.

Scopri di più:

Gestione servizio

In Kubernetes, un servizio è un modo astratto per esporre un'applicazione in esecuzione su un insieme di pod come servizio di rete, con un singolo indirizzo DNS per il traffico verso i carichi di lavoro del servizio. In una moderna architettura di microservizi, una singola applicazione può essere composta da numerosi servizi e per ogni servizio può essere eseguito il deployment di più versioni contemporaneamente. La comunicazione tra servizi in questo tipo di architettura avviene sulla rete, quindi i servizi devono essere in grado di gestire le idiosincrosia di rete e altri problemi di infrastruttura di base.

Per semplificare la gestione dei servizi nel tuo parco risorse, puoi utilizzare Cloud Service Mesh. Cloud Service Mesh si basa su Istio, un'implementazione open source di un livello di infrastruttura di mesh di servizi. I mesh di servizi risolvono i problemi comuni legati all'esecuzione di un servizio, come monitoraggio, networking e sicurezza, con strumenti coerenti e potenti, consentendo agli sviluppatori e agli operatori di servizi di concentrarsi sulla creazione e sulla gestione delle loro applicazioni. Con Cloud Service Mesh, queste funzioni vengono astratte dal container principale dell'applicazione e implementate in un proxy out-of-process comune distribuito come container separato nello stesso pod. Questo pattern disaccoppia l'applicazione o la logica di business dalle funzioni di rete e consente agli sviluppatori di concentrarsi sulle funzionalità necessarie per l'attività. I mesh di servizi consentono inoltre ai team operativi e a quelli di sviluppo di disaccoppiare il proprio lavoro l'uno dall'altro.

Cloud Service Mesh offre molte funzionalità, oltre a tutte quelle di Istio:

  • Le metriche e i log dei servizi per tutto il traffico all'interno del cluster del mesh vengono importati automaticamente in Google Cloud.
  • Le dashboard generate automaticamente mostrano la telemetria in dettaglio nella dashboard di Cloud Service Mesh, per consentirti di esaminare in dettaglio le metriche e i log, filtrare e suddividere i dati in base a una vasta gamma di attributi.
  • Sintesi delle relazioni tra servizi: comprendi cosa si connette a ciascun servizio e dai servizi da cui dipende.
  • Proteggi il traffico tra i servizi: l'autorità di certificazione (Mesh CA) di Cloud Service Mesh genera e ruota automaticamente i certificati in modo da poter abilitare facilmente l'autenticazione TLS reciproca (mTLS) con i criteri Istio.
  • Visualizza rapidamente la posizione di sicurezza delle comunicazioni non solo del tuo servizio, ma anche delle sue relazioni con altri servizi.
  • Approfondisci le metriche del servizio e combinale con altre metriche di Google Cloud utilizzando Cloud Monitoring.
  • Ottieni insight chiari e semplici sull'integrità del servizio con gli obiettivi del livello del servizio (SLO), che ti consentono di definire e creare avvisi facilmente sui tuoi standard di integrità del servizio.

Cloud Service Mesh ti consente di scegliere tra un piano di controllo del mesh di servizi completamente gestito in Google Cloud (solo per mesh in esecuzione su cluster membri del parco risorse su Google Cloud) o un piano di controllo nel cluster installato da te. Per scoprire di più sulle funzionalità disponibili per ogni opzione, consulta la documentazione di Cloud Service Mesh.

Scopri di più:

Passaggi successivi