Version 1.9

Was ist Anthos Service Mesh?

Anthos Service Mesh ist eine Reihe von Tools, mit denen Sie ein zuverlässiges Service Mesh lokal oder in Google Cloud überwachen und verwalten können.

Was ist ein Service Mesh?

Ein Service Mesh ist eine Architektur, die eine verwaltete, beobachtbare und sichere Kommunikation zwischen Ihren Diensten ermöglicht. Damit können Sie robuste Unternehmensanwendungen erstellen, die aus vielen Mikrodiensten in der ausgewählten Infrastruktur bestehen. Ein Service Mesh berücksichtigt alle gängigen Probleme bei der Ausführung eines Dienstes wie Monitoring, Netzwerk und Sicherheit mit konsistenten, leistungsstarken Tools, die es Dienstentwicklern und -betreibern ermöglichen, sich auf die Erstellung und Verwaltung nützlicher Anwendungen für ihre Nutzer zu konzentrieren.

Anthos Service Mesh wird von Istio bereitgestellt, einer hochgradig konfigurierbaren und leistungsstarken Open-Source-Service-Mesh-Plattform mit Tools und Funktionen, die Best Practices der Branche ermöglichen. Anthos Service Mesh wird als einheitliche Ebene in Ihrer gesamten Infrastruktur bereitgestellt. Dienstentwickler und -operatoren können ein umfassendes Feature-Set verwenden, ohne Änderungen am Anwendungscode vornehmen zu müssen.

Architektonisch besteht ein Service Mesh aus einer oder mehreren Steuerungsebenen und einer Datenebene. Das Service Mesh überwacht den gesamten Traffic über einen Proxy. Bei Kubernetes wird der Proxy durch ein Sidecar-Muster für die Mikrodienste im Mesh-Netzwerk bereitgestellt. Bei virtuellen Maschinen (VMs) wird der Proxy auf der VM installiert. Dieses Muster entkoppelt die Anwendungs- oder Geschäftslogik von Netzwerkfunktionen und ermöglicht es Entwicklern, sich auf die Funktionen zu konzentrieren, die das Unternehmen benötigt. Mit Service Mesh-Netzen können Betriebsteams und Entwicklungsteams ihre Arbeit auch entkoppeln.

Das folgende Diagramm zeigt die Anthos Service Mesh-Komponenten und -Features für die vom Kunden verwaltete Steuerungsebene und Sidecar-Proxys.

Service Mesh-Architektur mit vom Kunden verwalteter Steuerungsebene

Wie kann mir Anthos Service Mesh helfen?

Mit Anthos Service Mesh erhalten Sie eine von Anthos getestete und unterstützte Verteilung von Istio, mit der Sie ein Service Mesh in GKE und auf anderen Plattformen von GKE erstellen und mit vollem Google-Support bereitstellen können.

Features

Anthos Service Mesh bietet eine Reihe von Features und Tools, mit denen Sie sichere, zuverlässige Dienste auf einheitliche Weise beobachten und verwalten können.

Hinweis: Einige Funktionen, einschließlich Anthos Service Mesh-Seiten in der Cloud Console, sind nur in GKE in Google Cloud verfügbar. Weitere Informationen zu den auf jeder Plattform unterstützten Service Mesh-Funktionen finden Sie unter Unterstützte Funktionen.

Trafficverwaltung

Anthos Service Mesh steuert den Trafficfluss zwischen Diensten – in das Mesh-Netzwerk (eingehend) und an externe Dienste (ausgehend). Sie konfigurieren Istio-kompatible benutzerdefinierte Ressourcen und stellen sie bereit, um diesen Traffic auf der Anwendungsebene (L7) zu verwalten. Mit den benutzerdefinierten Ressourcen können Sie beispielsweise:

Anthos Service Mesh verwaltet eine Dienst-Registry mit allen Diensten im Mesh nach Namen und zugehörigen Endpunkten. Die Registry verwaltet die Verwaltung des Trafficflusses (z. B. IP-Adressen von Kubernetes-Pods). Durch die Verwendung dieser Dienst-Registry und das Ausführen der Proxys parallel zu den Diensten leitet das Mesh den Traffic an den entsprechenden Endpunkt weiter.

Informationen zur Sichtbarkeit

Die Anthos Service Mesh-Seiten in der Google Cloud Console bieten folgende Einblicke in Ihr Service Mesh:

  • Dienstmesswerte und Logs für HTTP-Traffic innerhalb des GKE-Clusters des Mesh-Netzwerks werden automatisch in Google Cloud aufgenommen.

  • Vorkonfigurierte Dienst-Dashboards liefern Ihnen hilfreiche Informationen zu Ihren Diensten.

  • Mithilfe der detaillierten Telemetriedaten von Cloud Monitoring, Cloud Logging und Cloud Trace erhalten Sie detaillierte Informationen zu Dienstmesswerten und Logs. Sie können Ihre Daten nach einer Vielzahl von Attributen filtern und segmentieren.

  • Mit dem Überblick über die Dienst-zu-Dienst-Beziehungen können Sie sofort erkennen, wer sich mit dem jeweiligen Dienst verbindet und welche Abhängigkeiten bestehen.

  • Sie können schnell den Kommunikationssicherheitsstatus nicht nur für den Dienst, sondern auch für seine Beziehungen zu anderen Diensten sehen.

  • Service Level Objectives (SLOs) geben Ihnen einen Einblick in den Status Ihrer Dienste. Sie können jederzeit neue SLOs und Warnungen für Ihre eigenen Anforderungen in Bezug auf den Dienststatus definieren.

Weitere Informationen zu den Beobachtbarkeitsfunktionen von Anthos Service Mesh finden Sie in unserem Leitfaden zur Beobachtbarkeit.

Sicherheitsvorteile

  • Verminderung des Risikos von Replay- oder Imitationsangriffen, bei denen gestohlene Anmeldedaten verwendet werden. Anthos Service Mesh verwendet mTLS-Zertifikate (gegenseitiges TLS) zur Authentifizierung von Peers anstelle von Inhabertokens wie JSON Web Tokens (JWT).

  • Sicherstellen der Verschlüsselung während der Übertragung. Durch die Verwendung von mTLS für die Authentifizierung wird außerdem sichergestellt, dass alle TCP-Kommunikationen bei der Übertragung verschlüsselt werden.

  • Nur autorisierte Clients können auf einen Dienst mit vertraulichen Daten zugreifen, unabhängig vom Netzwerkstandort des Clients und den Anmeldedaten auf Anwendungsebene.

  • Verminderung des Risikos von Verstößen gegen Nutzerdaten in Ihrem Produktionsnetzwerk. Sie können gewährleisten, dass Insider nur über autorisierte Clients auf vertrauliche Daten zugreifen können.

  • Identifikation von Clients, die auf einen Dienst mit vertraulichen Daten zugegriffen haben. Das Zugriffs-Logging von Anthos Service Mesh erfasst zusätzlich zur IP-Adresse die mTLS-Identität des Clients.

  • Alle Komponenten und Proxys der vom Kunden verwalteten Steuerungsebene verwenden gemäß FIPS 140-2 validierte Verschlüsselungsmodule.

Weitere Informationen zu den Sicherheitsvorteilen und -funktionen von Anthos Service Mesh finden Sie in unserem Sicherheitsleitfaden.

Optionen der Bereitstellung

Vor Version 1.9 haben Sie die Anthos Service Mesh-Steuerungsebene im Cluster installiert und selbst ein Upgrade durchgeführt. Mit Anthos Service Mesh 1.9 und höher stehen die folgenden Bereitstellungsoptionen zur Verfügung:

  • Von Google verwaltete Steuerungsebene bereitstellen.
  • Compute Engine-VMs zum Service Mesh hinzufügen.

Von Google verwaltete Steuerungsebene

Von Google verwaltete Steuerungsebene ist jetzt als Vorschaufunktion verfügbar. Eine von Google verwaltete Steuerungsebene führt automatisch ein Upgrade, eine Skalierung und eine Sicherung Ihres Mesh-Netzwerks durch und minimiert die manuelle Wartung durch den Nutzer. Das folgende Diagramm zeigt die Anthos Service Mesh-Komponenten und -Features für die von Google verwaltete Steuerungsebene und vom Kunden verwaltete Sidecar-Proxys.

Service Mesh-Architektur mit von Google verwalteter Steuerungsebene

Informationen zum Einrichten oder Migrieren einer von Google verwalteten Steuerungsebene finden Sie unter Von Google verwaltete Steuerungsebene konfigurieren.

Anthos Service Mesh für Compute Engine-VMs

Anthos Service Mesh für Compute Engine-VMs ist jetzt als Vorschaufunktion verfügbar. Sie können Dienste, die in den verwalteten Instanzgruppen (Managed Instance Groups, MIGs) von Compute Engine und GKE in Google Cloud in demselben Mesh-Netzwerk ausgeführt werden, verwalten, beobachten und sichern. Sie können verschiedene Optionen für die Ausführung Ihrer Dienste auswählen und gleichzeitig die Vorteile von Anthos Service Mesh nutzen. Das folgende Diagramm zeigt eine MIG im selben Service Mesh wie ein GKE-Cluster:

Service Mesh-Architektur mit Compute Engine-VMs

Weitere Informationen finden Sie unter Compute Engine-VMs zu Anthos Service Mesh hinzufügen.

Nächste Schritte