Anthos Service Mesh e Traffic Director sono ora Cloud Service Mesh. Per ulteriori informazioni, consulta la panoramica di Cloud Service Mesh.

Questa pagina è stata tradotta dall'API Cloud Translation.

Cloud Service Mesh con gruppi di endpoint di rete internet

Puoi configurare Cloud Service Mesh per utilizzare gruppi di endpoint di rete internet (NEG) del tipo INTERNET_FQDN_PORT. Il servizio esterno è rappresentato dal suo nome di dominio completo (FQDN) e numero di porta nel NEG. Il NEG può contenere solo una coppia FQDN:Port e il servizio di backend può contenere solo una NEG di questo tipo. Il nome di dominio completo viene risolto utilizzando l'elemento sottostante della rete VPC (Virtual Private Cloud) ordine di risoluzione dei nomi.

Espandi il mesh di servizi Cloud Service Mesh utilizzando i backend FQDN

Il mesh di servizi Cloud Service Mesh può instradare il traffico a servizi privati che sono raggiungibili tramite la connettività ibrida, anche denominata on-premise, servizi internet e multi-cloud. Il nome di dominio completo fa riferimento al servizio remoto.

Estensione del mesh di servizi Cloud Service Mesh a località on-premise o multi-cloud utilizzando backend FQDN tramite la connettività ibrida. — Estensione del mesh di servizi Cloud Service Mesh agli ambienti on-premise o multi-cloud che utilizzano backend FQDN su connettività ibrida (fai clic per ingrandire)

Puoi anche indirizzare il traffico verso servizi raggiungibili sul pubblico internet.

Estensione del mesh di servizi Cloud Service Mesh a un servizio internet tramite backend FQDN. — Estensione del mesh di servizi Cloud Service Mesh a internet servizio che utilizza backend FQDN (fai clic per ingrandire)

Risorse e architettura di Google Cloud

Questa sezione descrive le risorse e l'architettura per la configurazione Cloud Service Mesh con un NEG internet.

`INTERNET_FQDN_PORT` gruppo di endpoint di rete

Per instradare il traffico a un servizio esterno a cui fa riferimento il relativo nome di dominio completo, utilizza NEG internet di tipo INTERNET_FQDN_PORT. Il NEG contiene il nome di dominio completo e il numero di porta del servizio. Cloud Service Mesh programma la FQDN nei proxy Envoy utilizzando la configurazione xDS.

Cloud Service Mesh non garantisce la risoluzione dei nomi e la connettività degli endpoint remoti. Il nome di dominio completo deve essere risolvibile dalla risoluzione del nome nell'ordine della rete VPC a cui sono collegati i proxy Envoy, e gli endpoint risolti devono essere raggiungibili dai proxy Envoy.

Controlli di integrità

Comportamento del controllo di integrità per gli endpoint di rete di tipo INTERNET_FQDN_PORT il comportamento del controllo di integrità è diverso da quello per altri tipi di endpoint di rete utilizzati con Cloud Load Balancing e Cloud Service Mesh. Mentre la maggior parte delle altre reti i tipi di endpoint utilizzano il sistema centralizzato di controllo di integrità di Google Cloud, NEG utilizzati per endpoint in ambienti multi-cloud (INTERNET_FQDN_PORT e NON_GCP_PRIVATE_IP_PORT) utilizzano il controllo di integrità distribuito di Envoy meccanismo di attenzione.

Envoy supporta i seguenti protocolli per il controllo di integrità:

HTTP
HTTPS
HTTP/2
TCP

Per configurare i controlli di integrità, devi utilizzare le API Compute Engine.

Considerazioni sul DNS

Ci sono due considerazioni distinte per quanto riguarda il DNS:

Il server DNS che ospita i record di risorse del servizio esterno.
La modalità con cui è configurato il proxy Envoy per utilizzare il DNS per la connessione gestione dei dispositivi.

Server Cloud DNS

Puoi creare un ambiente Cloud DNS gestita zona privata per ospitare il DNS nel tuo progetto Google Cloud. Puoi anche utilizzare altre funzionalità Cloud DNS, ad esempio zone di inoltro, per recuperare record da un server DNS on-premise.

Modalità DNS Envoy

La modalità DNS di Envoy, chiamata anche service Discovery, specifica in che modo la modalità utilizza i record DNS per gestire le connessioni in uscita. Cloud Service Mesh configura Envoy per l'utilizzo della modalità DNS rigida. La modalità DNS rigida consente il bilanciamento del carico verso tutti gli endpoint risolti. Celebra stato del controllo di integrità e svuota le connessioni a endpoint in stato non integro non viene più risolta utilizzando il DNS. Non puoi modificare questa modalità.

Per ulteriori informazioni sul Service Discovery, consulta la documentazione di Envoy.

Connettività e routing

Se stai indirizzando il traffico a un servizio privato, di seguito sono riportate le per la connettività di rete sottostante:

Connettività ibrida tra la rete VPC e la rete on-premise o un cloud pubblico di terze parti si basa su Cloud VPN o Cloud Interconnect.
Le regole e le route del firewall VPC sono configurate correttamente su stabilire la connettività bidirezionale da Envoy al tuo servizio privato e, se applicabile, al server DNS on-premise.
Per il successo del failover ad alta disponibilità a livello di regione, le risorse dinamiche il routing deve essere abilitato. Per ulteriori dettagli, vedi modalità di routing dinamico.

Se instrada il traffico a un servizio esterno raggiungibile su internet, sono previsti i seguenti requisiti:

Le istanze di macchina virtuale (VM) client nella rete VPC deve avere un indirizzo IP esterno o Cloud NAT.
Deve essere presente la route predefinita per il traffico in uscita verso internet.

In entrambi i casi precedenti, il traffico utilizza il parametro i percorsi dei carichi di lavoro.

Sicurezza

I backend FQDN sono compatibili Funzionalità di sicurezza di Cloud Service Mesh e API. Per le connessioni in uscita verso il servizio esterno, puoi e configurare il nome di dominio completo nell'intestazione SNI utilizzando criteri TLS del client.

Limitazioni e considerazioni

I NEG internet del tipo INTERNET_IP_PORT non sono supportati con Cloud Service Mesh.
Con i backend FQDN è richiesta la versione 1.15.0 o successiva di Envoy.
Utilizza Google Cloud CLI o le API REST per configurare Cloud Service Mesh. La configurazione end-to-end tramite la console Google Cloud non è supportata.
I backend FQDN sono supportati solo con Envoy. gRPC senza proxy non è supportato.
Quando utilizzi il tipo di NEG INTERNET_FQDN_PORT con Cloud Service Mesh, l'integrità i controlli degli endpoint remoti vengono eseguiti utilizzando l'integrità distribuita di Envoy meccanismo di controllo. Ogni volta che viene aggiunto un nuovo endpoint remoto, tutti i proxy e avviare il controllo di integrità in modo indipendente.

Analogamente, quando un nuovo proxy Envoy viene aggiunto al mesh, questo inizia a controllare per tutti gli endpoint remoti. Pertanto, a seconda del numero di proxy Envoy ed endpoint remoti deployment, il mesh di controllo di integrità risultante potrebbe causare e un carico eccessivo sugli endpoint remoti. Puoi scegliere di non e configurare i controlli di integrità.
Lo stato del controllo di integrità non è visibile nella console Google Cloud per il nome di dominio completo di backend.
Il controllo di integrità che utilizza i protocolli UDP, SSL e gRPC non è supportato.
Le seguenti opzioni di controllo di integrità non sono supportate:
- Controllo di integrità HTTP/HTTP2/HTTPS
  - --proxy-header
  - --response
- controllo di integrità TCP
  - --proxy-header
  - --request
  - --response

Passaggi successivi

Per configurare Cloud Service Mesh con NEG internet, consulta Configura backend esterni.
Per scoprire di più sui NEG di connettività ibrida, consulta Cloud Service Mesh con NEG di connettività ibrida.