Version 1.11

À propos d'Anthos Service Mesh

Anthos Service Mesh est une suite d'outils qui vous aide à surveiller et à gérer un maillage de services fiable sur site ou sur Google Cloud.

Qu'est-ce qu'un maillage de services ?

Un maillage de services est une infrastructure qui permet une communication gérée, observable et sécurisée sur vos services. Vous pouvez ainsi créer des applications d'entreprise fiables dotées de nombreux microservices sur l'infrastructure de votre choix. Grâce à des outils cohérents et puissants, les maillages de services éliminent tous les problèmes courants liés à l'exécution d'un service tel que la surveillance, la mise en réseau et la sécurité. Les opérateurs et les développeurs de service peuvent ainsi se concentrer sur la création et la gestion d'applications de pointe pour leurs utilisateurs.

Anthos Service Mesh est fourni par Istio, une plate-forme de maillage de services Open Source hautement configurable et performante, avec des outils et des fonctionnalités permettant d'appliquer les bonnes pratiques du secteur. Anthos Service Mesh est déployé en tant que couche uniforme sur l'ensemble de votre infrastructure. Les développeurs et les opérateurs de service peuvent utiliser un ensemble complet de fonctionnalités sans modifier le code d'application.

En ce qui concerne l'architecture, un maillage de services comprend un ou plusieurs plans de contrôle et un plan de données. Le maillage de services surveille tout le trafic via un proxy. Sur Kubernetes, le proxy est déployé par un modèle side-car sur les microservices du maillage. Sur les machines virtuelles (VM), le proxy est installé sur la VM. Ce modèle dissocie l'application ou la logique métier des fonctions réseau et permet aux développeurs de se concentrer sur les fonctionnalités dont l'entreprise a besoin. Les maillages de services permettent également aux équipes chargées des opérations et du développement de dissocier leur travail les unes des autres.

Comment Anthos Service Mesh peut-il vous aider ?

Anthos Service Mesh vous permet d'obtenir une distribution Anthos testée et compatible avec Istio, ce qui vous permet de créer et de déployer un maillage de services sur GKE sur Google Cloud et d'autres plates-formes en bénéficiant de l'Assistance Google.

Fonctionnalités

Anthos Service Mesh dispose d'une suite de fonctionnalités et d'outils supplémentaires qui vous permettent d'observer et de gérer des services sécurisés et fiables de manière unifiée.

Remarque : Certaines fonctionnalités, comme les pages Anthos Service Mesh dans Cloud Console, ne sont disponibles que sur GKE sur Google Cloud. Pour en savoir plus sur les fonctionnalités de maillage de services compatibles avec chaque plate-forme, consultez la section Fonctionnalités compatibles.

Gestion du trafic

Anthos Service Mesh contrôle le flux de trafic entre les services, le maillage (entrée) et les services externes (sortie). Configurez et déployez des ressources personnalisées compatibles Istio pour gérer ce trafic au niveau de la couche d'application (L7). Par exemple, avec les ressources personnalisées, vous pouvez :

Anthos Service Mesh gère un registre de tous les services du maillage par nom et par leurs points de terminaison respectifs. Il gère le registre pour gérer le flux de trafic (par exemple, les adresses IP des pods Kubernetes). En utilisant ce registre de services et en exécutant les proxys et les services côte à côte, le maillage peut diriger le trafic vers le point de terminaison approprié.

Informations sur l'observabilité

Les pages Anthos Service Mesh de Google Cloud Console fournissent les informations suivantes sur votre maillage de services :

  • Les métriques de service et les journaux du trafic HTTP au sein du cluster GKE de votre maillage sont automatiquement ingérés dans Google Cloud.

  • Les tableaux de bord de services préconfigurés vous fournissent les informations nécessaires pour comprendre vos services.

  • La télémétrie détaillée, fournie par Cloud Monitoring, Cloud Logging et Cloud Trace, vous permet d'explorer métriques de service et journaux. Vous pouvez filtrer et segmenter vos données à l'aide d'un grand nombre d'attributs variés.

  • Les relations de service à service vous permettent de savoir rapidement qui se connecte à chaque service et quelles sont les dépendances entre services.

  • Vous pouvez rapidement consulter la stratégie de sécurité de la communication concernant non seulement votre service, mais aussi ses relations avec d'autres services.

  • Les objectifs de niveau de service (SLO, Service Level Objective) vous donnent un aperçu de l'état de vos services. Vous pouvez facilement définir un SLO et une alerte en fonction de vos propres normes d'état du service.

Découvrez les fonctionnalités d'observabilité d'Anthos Service Mesh dans notre guide d'observabilité.

Avantages de sécurité

  • Atténue le risque de nouvelle lecture ou d'usurpation d'identité qui utilisent des identifiants volés. Anthos Service Mesh s'appuie sur les certificats TLS mutuels (mTLS) pour authentifier les pairs, plutôt que sur des jetons de support tels que les jetons Web JSON (JWT).

  • Assure le chiffrement en transit. L'utilisation de mTLS pour l'authentification garantit également que toutes les communications TCP sont chiffrées en transit.

  • Seuls les clients autorisés peuvent accéder à un service contenant des données sensibles, indépendamment de l'emplacement réseau du client et des identifiants au niveau de l'application.

  • Atténue le risque de violation des données utilisateur sur votre réseau de production. Vous pouvez vous assurer que les initiés ne peuvent accéder aux données sensibles que via des clients autorisés.

  • Identifie les clients ayant accédé à un service avec des données sensibles. La journalisation des accès Anthos Service Mesh capture l'identité mTLS du client en plus de l'adresse IP.

  • Tous les composants et les proxys du plan de contrôle dans le cluster utilisent des modules de chiffrement certifiés FIPS 140-2.

Découvrez les avantages et les fonctionnalités de sécurité d'Anthos Service Mesh dans notre guide de sécurité.

Options de déploiement

Dans Anthos Service 10.3 et versions ultérieures, vous disposez des options de déploiement suivantes :

  • Plan de contrôle au sein du cluster
  • Anthos Service Mesh géré
  • Inclure les VM Compute Engine dans le maillage de services.

Plan de contrôle au sein du cluster

Le schéma suivant présente les composants et les fonctionnalités d'Anthos Service Mesh pour le plan de contrôle et les proxys side-car au sein du cluster.

architecture du maillage de services avec plan de contrôle au sein du cluster

Anthos Service Mesh géré

Anthos Service Mesh géré représente le plan de contrôle géré par Google. Dans Anthos Service Mesh 1.10.4 et versions ultérieures, vous pouvez aussi activer le plan de données géré par Google. Avec Google Service Mesh géré, Google gère les mises à niveau, le scaling et la sécurité pour réduire au minimum la maintenance manuelle des utilisateurs. Lorsque vous activez le plan de données géré par Google, vous ajoutez à vos espaces de noms une annotation. Celle-ci installe un contrôleur dans le cluster qui gère les proxys side-car à votre place.

Le schéma suivant présente les composants et les fonctionnalités d'Anthos Service Mesh pour Anthos Service Mesh géré :

Anthos Service Mesh géré

Pour en savoir plus sur la configuration ou la migration vers Anthos Service Mesh géré, consultez la page Configurer Anthos Service Mesh géré.

Anthos Service Mesh pour les VM Compute Engine

Anthos Service Mesh pour les VM Compute Engine est désormais disponible en tant que fonctionnalité d'aperçu. Vous pouvez gérer, observer et sécuriser les services exécutés sur des groupes d'instances gérés et des clusters GKE sur Google Cloud dans le même maillage. Vous pouvez combiner et choisir le meilleur environnement pour exécuter vos services tout en profitant des avantages d'Anthos Service Mesh. Le schéma suivant montre un MIG dans le même maillage de services qu'un cluster GKE :

architecture du maillage de services avec des VM Compute Engine

Pour en savoir plus, consultez la page Ajouter des VM Compute Engine à Anthos Service Mesh.

Étape suivante