Versión 1.9

¿Qué es Anthos Service Mesh?

Anthos Service Mesh es un conjunto de herramientas que te ayuda a supervisar y administrar una malla de servicios confiable de forma local o en Google Cloud.

¿Qué es una malla de servicios?

Una malla de servicios es una arquitectura que permite una comunicación administrada, observable y segura en todos tus servicios, de modo que puedes crear aplicaciones empresariales sólidas y compuestas por muchos microservicios en la infraestructura seleccionada. Con las mallas de servicios, se dejan de lado todas las preocupaciones comunes de ejecutar un servicio, como la supervisión, las redes y la seguridad, por medio de herramientas potentes y coherentes, lo que facilita que los desarrolladores y operadores de servicios se concentren en crear y administrar aplicaciones excelentes para sus usuarios.

Anthos Service Mesh funciona con Istio, una plataforma de malla de servicios de código abierto muy potente y configurable, con herramientas y funciones que permiten seguir las prácticas recomendadas de la industria. Anthos Service Mesh se implementa como una capa uniforme en toda tu infraestructura. Los operadores y desarrolladores de servicios pueden usar su amplio conjunto de funciones sin realizar cambios en el código de la aplicación.

A nivel de arquitectura, una malla de servicios consiste en uno o más planes de control y un plano de datos. La malla de servicios supervisa todo el tráfico a través de un proxy. En Kubernetes, el proxy se implementa mediante un patrón de sidecar en los microservicios de la malla. En las máquinas virtuales (VMS), el proxy se instala en la VM. Este patrón desacopla las aplicaciones o la lógica empresarial de las funciones de red, y permite a los desarrolladores enfocarse en las características que necesita la empresa. Las mallas de servicio también permiten que los equipos de operaciones y los equipos de desarrollo se separan entre sí.

En el siguiente diagrama, se muestran los componentes y las características de Anthos Service Mesh para el plano de control administrado por el cliente y los proxies de sidecar.

Arquitectura de malla de servicios con plano de control administrado por el cliente

¿Cómo puede ayudarme Anthos Service Mesh?

Con Anthos Service Mesh, obtienes una distribución de Istio probada y compatible con Anthos, lo que te permite crear y, también, implementar una malla de servicios para GKE en Google Cloud y otras plataformas con Asistencia de Google

Características

Anthos Service Mesh cuenta con un conjunto de funciones y herramientas que te ayudan a observar y administrar servicios seguros y confiables de manera unificada.

Nota: Algunas características, incluidas las páginas de Anthos Service Mesh en Cloud Console, solo están disponibles en GKE en Google Cloud. Para obtener información sobre las características de la malla de servicios compatibles en cada plataforma, consulta Características compatibles.

Administración del tráfico

Anthos Service Mesh controla el flujo de tráfico entre servicios, en la malla (entrada) y los servicios externos (salida). Configuras y, luego, implementas recursos personalizados compatibles con Istio para administrar este tráfico en la capa de aplicación (L7). Por ejemplo, con los recursos personalizados, puedes hacer lo siguiente:

Anthos Service Mesh mantiene un registro de servicio de todos los servicios en la malla por su nombre y sus respectivos extremos. Mantiene el registro para administrar el flujo de tráfico (por ejemplo, direcciones IP de pod de Kubernetes). Cuando se usa este registro de servicio y se ejecutan los proxies en paralelo con los servicios, la malla puede dirigir el tráfico al extremo adecuado.

Estadísticas de observabilidad

Las páginas de Anthos Service Mesh en Google Cloud Console proporcionan las siguientes estadísticas sobre tu malla de servicios:

  • Las métricas y los registros del tráfico HTTP del servicio dentro del clúster de GKE de tu malla se transfieren de forma automática a Google Cloud.

  • Los paneles de servicios preconfigurados te brindan la información que necesitas para comprender los servicios.

  • La telemetría profunda, con la tecnología de Cloud Monitoring, Cloud Logging y Cloud Trace, te permite analizar en profundidad los registros y métricas del servicio. Puedes filtrar y segmentar los datos en una amplia variedad de atributos.

  • La vista rápida de las relaciones de servicio a servicio te ayuda a estar al tanto de quién se conecta a cada servicio y de qué servicios depende cada servicio.

  • Puedes ver con rapidez el enfoque de seguridad de la comunicación de tu servicio y de sus relaciones con otros servicios.

  • Los objetivos de nivel de servicio (SLO) proporcionan información sobre el estado de tus servicios. Puedes definir con facilidad un SLO y alertas en función de tus propios estándares del estado del servicio.

Obtén más información sobre las funciones de observabilidad de Anthos Service Mesh en nuestra Guía de observabilidad.

Beneficios de seguridad

  • Se reduce el riesgo ataques de repetición o de robo de identidad con credenciales robadas. Anthos Service Mesh se basa en certificados de TLS mutua (mTLS) para autenticar pares, en lugar de tokens del portador como los tokens web JSON (JWT).

  • Se garantiza la encriptación en tránsito. El uso de mTLS para la autenticación también garantiza que todas las comunicaciones de TCP estén encriptadas en tránsito.

  • Asegura que solo los clientes autorizados pueden acceder a un servicio con datos sensibles, sin importar la ubicación de la red del cliente ni las credenciales a nivel de la aplicación.

  • Se reduce el riesgo de violación de la seguridad de los datos del usuario en tu red de producción. Puedes asegurarte de que los usuarios con información privilegiada solo puedan acceder a datos sensibles a través de clientes autorizados.

  • Se identifica qué clientes accedieron a un servicio con datos sensibles. El registro de acceso de Anthos Service Mesh captura la identidad de mTLS del cliente, además de la dirección IP.

  • Todos los componentes y proxies del plano de control administrado por el cliente usan módulos de encriptación validados por FIPS 140-2.

Obtén más información sobre los beneficios y las características de seguridad de Anthos Service Mesh en nuestra guía de seguridad.

Opciones de implementación

Antes de la versión 1.9, instalaste el plano de control de Anthos Service Mesh en tu clúster y configuraste la actualización tú mismo. Con Anthos Service Mesh 1.9 y versiones posteriores, tienes las siguientes opciones de implementación:

  • Implementa el plano de control administrado por Google.
  • Incluye las VM de Compute Engine en la malla de servicios.

Plano de control administrado por Google

El plano de control administrado por Google ahora está disponible como una función de vista previa. Un plano de control administrado por Google actualizará, escalará y protegerá automáticamente tu malla, lo que minimiza el mantenimiento manual del usuario. En el siguiente diagrama, se muestran los componentes y las características de Anthos Service Mesh para el plano de control administrado por Google y los proxies de sidecar administrados por el cliente.

arquitectura de malla de servicios con plano de control administrado por Google

Para obtener información sobre la configuración o la migración a un plano de control administrado por Google, consulta Configura el plano de control administrado por Google.

Anthos Service Mesh para VM de Compute Engine

Anthos Service Mesh para VM de Compute Engine ahora está disponible como una función de vista previa. Puedes administrar, observar y asegurar servicios que se ejecutan en grupos de instancias administrados (MIG) de Compute Engine y en clústeres de GKE en Google Cloud en la misma malla. Puedes mezclar y elegir el mejor entorno para ejecutar tus servicios y disfrutar de los beneficios de Anthos Service Mesh. En el siguiente diagrama, se muestra un MIG en la misma malla de servicios que un clúster de GKE:

arquitectura de malla de servicios con VM de Compute Engine

Para obtener más información, consulta la página Agrega VM de Compute Engine a Anthos Service Mesh.

Próximos pasos