Version 1.9 :

Qu'est-ce que Anthos Service Mesh ?

Anthos Service Mesh est une suite d'outils qui vous aide à surveiller et à gérer un maillage de services fiable sur site ou sur Google Cloud.

Qu'est-ce qu'un maillage de services ?

Un maillage de services est une infrastructure qui permet une communication gérée, observable et sécurisée sur vos services. Vous pouvez ainsi créer des applications d'entreprise fiables dotées de nombreux microservices sur l'infrastructure de votre choix. Grâce à des outils cohérents et puissants, les maillages de services éliminent tous les problèmes courants liés à l'exécution d'un service tel que la surveillance, la mise en réseau et la sécurité. Les opérateurs et les développeurs de service peuvent ainsi se concentrer sur la création et la gestion d'applications de pointe pour leurs utilisateurs.

Anthos Service Mesh est fourni par Istio, une plate-forme de maillage de services Open Source hautement configurable et performante, avec des outils et des fonctionnalités permettant d'appliquer les bonnes pratiques du secteur. Anthos Service Mesh est déployé en tant que couche uniforme sur l'ensemble de votre infrastructure. Les développeurs et les opérateurs de service peuvent utiliser son ensemble de fonctionnalités enrichi sans modifier le code de l'application.

Sur le plan architectural, un maillage de services comprend un ou plusieurs plans de contrôle et un plan de données. Le maillage de services surveille tout le trafic via un proxy. Sur Kubernetes, le proxy est déployé par un modèle side-car sur les microservices du maillage. Sur les machines virtuelles (VM), le proxy est installé sur la VM. Ce modèle dissocie l'application ou la logique métier des fonctions réseau et permet aux développeurs de se concentrer sur les fonctionnalités dont l'entreprise a besoin. Les maillages de services permettent également aux équipes chargées des opérations et du développement de dissocier leur travail les unes des autres.

Le schéma suivant présente les composants et fonctionnalités Anthos Service Mesh pour le plan de contrôle géré par le client et les proxys side-car.

architecture du maillage de services avec plan de contrôle géré par le client

Comment Anthos Service Mesh peut-il vous aider ?

Anthos Service Mesh vous permet d'obtenir une distribution Anthos testée et compatible avec Istio, ce qui vous permet de créer et de déployer un maillage de services sur GKE sur Google Cloud et d'autres plates-formes en bénéficiant de l'Assistance Google.

Fonctionnalités

Anthos Service Mesh dispose d'une suite de fonctionnalités et d'outils supplémentaires qui vous permettent d'observer et de gérer des services sécurisés et fiables de manière unifiée.

Remarque : Certaines fonctionnalités, comme les pages Anthos Service Mesh dans Cloud Console, ne sont disponibles que sur GKE sur Google Cloud. Pour en savoir plus sur les fonctionnalités de maillage de services compatibles avec chaque plate-forme, consultez la section Fonctionnalités compatibles.

Gestion du trafic

Anthos Service Mesh contrôle le flux de trafic entre les services, dans le maillage (entrée) et les services externes (sortie). Configurez et déployez des ressources personnalisées compatibles Istio pour gérer ce trafic au niveau de la couche d'application (L7). Par exemple, avec les ressources personnalisées, vous pouvez:

Anthos Service Mesh gère un registre de tous les services du maillage par nom et par leurs points de terminaison respectifs. Il gère le registre pour gérer le flux de trafic (par exemple, les adresses IP des pods Kubernetes). En utilisant ce registre de services et en exécutant les proxys et les services côte à côte, le maillage peut diriger le trafic vers le point de terminaison approprié.

Informations sur l'observabilité

Les pages Anthos Service Mesh de Google Cloud Console fournissent les informations suivantes sur votre maillage de services :

  • Les métriques de service et les journaux du trafic HTTP au sein du cluster GKE de votre maillage sont automatiquement ingérés dans Google Cloud.

  • Les tableaux de bord de services préconfigurés vous fournissent les informations nécessaires pour comprendre vos services.

  • La télémétrie détaillée, fournie par Cloud Monitoring, Cloud Logging et Cloud Trace, vous permet d'explorer métriques de service et journaux. Vous pouvez filtrer et segmenter vos données à l'aide d'un grand nombre d'attributs variés.

  • Les relations de service à service vous permettent de savoir rapidement qui se connecte à chaque service et quelles sont les dépendances entre services.

  • Vous pouvez rapidement consulter la stratégie de sécurité de la communication concernant non seulement votre service, mais aussi ses relations avec d'autres services.

  • Les objectifs de niveau de service (SLO, Service Level Objective) vous donnent un aperçu de l'état de vos services. Vous pouvez facilement définir un SLO et une alerte en fonction de vos propres normes d'état du service.

Découvrez les fonctionnalités d'observabilité d'Anthos Service Mesh dans notre guide d'observabilité.

Avantages de sécurité

  • Atténue le risque de nouvelle lecture ou d'usurpation d'identité qui utilisent des identifiants volés. Anthos Service Mesh s'appuie sur les certificats TLS mutuels (mTLS) pour authentifier les pairs, plutôt que sur des jetons de support tels que les jetons Web JSON (JWT).

  • Assure le chiffrement en transit. L'utilisation de mTLS pour l'authentification garantit également que toutes les communications TCP sont chiffrées en transit.

  • Seuls les clients autorisés peuvent accéder à un service contenant des données sensibles, indépendamment de l'emplacement réseau du client et des identifiants au niveau de l'application.

  • Atténue le risque de violation des données utilisateur sur votre réseau de production. Vous pouvez vous assurer que les initiés ne peuvent accéder aux données sensibles que via des clients autorisés.

  • Identifie les clients ayant accédé à un service avec des données sensibles. La journalisation des accès Anthos Service Mesh capture l'identité mTLS du client en plus de l'adresse IP.

  • Tous les composants et les proxys du plan de contrôle géré par le client utilisent des modules de chiffrement FIPS 140-2 validés.

Découvrez les avantages et les fonctionnalités de sécurité d'Anthos Service Mesh dans notre guide de sécurité.

Options de déploiement

Avant la version 1.9, vous avez installé le plan de contrôle d'Anthos Service Mesh sur votre cluster et géré vous-même la mise à niveau. Avec Anthos Service Mesh 1.9 ou version ultérieure, vous disposez des options de déploiement suivantes:

  • Déployer le plan de contrôle géré par Google.
  • Inclure les VM Compute Engine dans le maillage de services

Plan de contrôle géré par Google

Le plan de contrôle géré par Google est désormais disponible en tant que fonctionnalité d'aperçu. Un plan de contrôle géré par Google met automatiquement à niveau, effectue le scaling et sécurise votre maillage, en réduisant au minimum la maintenance manuelle des utilisateurs. Le schéma suivant présente les composants et les fonctionnalités Anthos Service Mesh pour le plan de contrôle géré par Google et les proxys side-car gérés par le client.

architecture du maillage de services avec plan de contrôle géré par Google

Pour plus d'informations sur la configuration ou la migration vers un plan de contrôle géré par Google, consultez la page Configurer le plan de contrôle géré par Google.

Anthos Service Mesh pour les VM Compute Engine

Anthos Service Mesh pour les VM Compute Engine est désormais disponible en tant que fonctionnalité d'aperçu. Vous pouvez gérer, observer et sécuriser les services exécutés sur des Groupes d'instances gérés (MIG, Managed Instance Group) Compute Engine et GKE sur des clusters Google Cloud appartenant au même maillage. Vous pouvez combiner et choisir le meilleur environnement pour exécuter vos services tout en profitant des avantages d'Anthos Service Mesh. Le schéma suivant montre un MIG dans le même maillage de services qu'un cluster GKE:

architecture du maillage de services avec des VM Compute Engine

Pour en savoir plus, consultez la page Ajouter des VM Compute Engine à Anthos Service Mesh.

Étape suivante