Cloud Service Mesh con gruppi di endpoint di rete internet
Puoi configurare Cloud Service Mesh per utilizzare
gruppi di endpoint di rete internet (NEG)
del tipo INTERNET_FQDN_PORT
. Il servizio esterno è rappresentato dal suo
nome di dominio completo (FQDN) e numero di porta nel NEG. Il NEG può
contenere solo una coppia FQDN:Port
e il servizio di backend può contenere solo una
NEG di questo tipo. Il nome di dominio completo viene risolto utilizzando l'elemento sottostante
della rete VPC (Virtual Private Cloud)
ordine di risoluzione dei nomi.
Espandi il mesh di servizi Cloud Service Mesh utilizzando i backend FQDN
Il mesh di servizi Cloud Service Mesh può instradare il traffico a servizi privati che sono raggiungibili tramite la connettività ibrida, anche denominata on-premise, servizi internet e multi-cloud. Il nome di dominio completo fa riferimento al servizio remoto.
Puoi anche indirizzare il traffico verso servizi raggiungibili sul pubblico internet.
Risorse e architettura di Google Cloud
Questa sezione descrive le risorse e l'architettura per la configurazione Cloud Service Mesh con un NEG internet.
INTERNET_FQDN_PORT
gruppo di endpoint di rete
Per instradare il traffico a un servizio esterno a cui fa riferimento il relativo nome di dominio completo, utilizza
NEG internet di tipo INTERNET_FQDN_PORT
. Il NEG contiene
il nome di dominio completo e il numero di porta del servizio. Cloud Service Mesh programma la
FQDN nei proxy Envoy utilizzando la configurazione xDS.
Cloud Service Mesh non garantisce la risoluzione dei nomi e la connettività degli endpoint remoti. Il nome di dominio completo deve essere risolvibile dalla risoluzione del nome nell'ordine della rete VPC a cui sono collegati i proxy Envoy, e gli endpoint risolti devono essere raggiungibili dai proxy Envoy.
Controlli di integrità
Comportamento del controllo di integrità per gli endpoint di rete di tipo INTERNET_FQDN_PORT
il comportamento del controllo di integrità è diverso da quello per altri tipi di endpoint di rete utilizzati
con Cloud Load Balancing e Cloud Service Mesh. Mentre la maggior parte delle altre reti
i tipi di endpoint utilizzano il sistema centralizzato di controllo di integrità di Google Cloud,
NEG utilizzati per endpoint in ambienti multi-cloud (INTERNET_FQDN_PORT
e NON_GCP_PRIVATE_IP_PORT
) utilizzano il controllo di integrità distribuito di Envoy
meccanismo di attenzione.
Envoy supporta i seguenti protocolli per il controllo di integrità:
- HTTP
- HTTPS
- HTTP/2
- TCP
Per configurare i controlli di integrità, devi utilizzare le API Compute Engine.
Considerazioni sul DNS
Ci sono due considerazioni distinte per quanto riguarda il DNS:
- Il server DNS che ospita i record di risorse del servizio esterno.
- La modalità con cui è configurato il proxy Envoy per utilizzare il DNS per la connessione gestione dei dispositivi.
Server Cloud DNS
Puoi creare un ambiente Cloud DNS gestita zona privata per ospitare il DNS nel tuo progetto Google Cloud. Puoi anche utilizzare altre funzionalità Cloud DNS, ad esempio zone di inoltro, per recuperare record da un server DNS on-premise.
Modalità DNS Envoy
La modalità DNS di Envoy, chiamata anche service Discovery, specifica in che modo la modalità utilizza i record DNS per gestire le connessioni in uscita. Cloud Service Mesh configura Envoy per l'utilizzo della modalità DNS rigida. La modalità DNS rigida consente il bilanciamento del carico verso tutti gli endpoint risolti. Celebra stato del controllo di integrità e svuota le connessioni a endpoint in stato non integro non viene più risolta utilizzando il DNS. Non puoi modificare questa modalità.
Per ulteriori informazioni sul Service Discovery, consulta la documentazione di Envoy.
Connettività e routing
Se stai indirizzando il traffico a un servizio privato, di seguito sono riportate le per la connettività di rete sottostante:
- Connettività ibrida tra la rete VPC e la rete on-premise o un cloud pubblico di terze parti si basa su Cloud VPN o Cloud Interconnect.
- Le regole e le route del firewall VPC sono configurate correttamente su stabilire la connettività bidirezionale da Envoy al tuo servizio privato e, se applicabile, al server DNS on-premise.
- Per il successo del failover ad alta disponibilità a livello di regione, le risorse dinamiche il routing deve essere abilitato. Per ulteriori dettagli, vedi modalità di routing dinamico.
Se instrada il traffico a un servizio esterno raggiungibile su internet, sono previsti i seguenti requisiti:
- Le istanze di macchina virtuale (VM) client nella rete VPC deve avere un indirizzo IP esterno o Cloud NAT.
- Deve essere presente la route predefinita per il traffico in uscita verso internet.
In entrambi i casi precedenti, il traffico utilizza il parametro i percorsi dei carichi di lavoro.
Sicurezza
I backend FQDN sono compatibili Funzionalità di sicurezza di Cloud Service Mesh e API. Per le connessioni in uscita verso il servizio esterno, puoi e configurare il nome di dominio completo nell'intestazione SNI utilizzando criteri TLS del client.
Limitazioni e considerazioni
- I NEG internet del tipo
INTERNET_IP_PORT
non sono supportati con Cloud Service Mesh. - Con i backend FQDN è richiesta la versione 1.15.0 o successiva di Envoy.
- Utilizza Google Cloud CLI o le API REST per configurare Cloud Service Mesh. La configurazione end-to-end tramite la console Google Cloud non è supportata.
- I backend FQDN sono supportati solo con Envoy. gRPC senza proxy non è supportato.
Quando utilizzi il tipo di NEG
INTERNET_FQDN_PORT
con Cloud Service Mesh, l'integrità i controlli degli endpoint remoti vengono eseguiti utilizzando l'integrità distribuita di Envoy meccanismo di controllo. Ogni volta che viene aggiunto un nuovo endpoint remoto, tutti i proxy e avviare il controllo di integrità in modo indipendente.Analogamente, quando un nuovo proxy Envoy viene aggiunto al mesh, questo inizia a controllare per tutti gli endpoint remoti. Pertanto, a seconda del numero di proxy Envoy ed endpoint remoti deployment, il mesh di controllo di integrità risultante potrebbe causare e un carico eccessivo sugli endpoint remoti. Puoi scegliere di non e configurare i controlli di integrità.
Lo stato del controllo di integrità non è visibile nella console Google Cloud per il nome di dominio completo di backend.
Il controllo di integrità che utilizza i protocolli UDP, SSL e gRPC non è supportato.
Le seguenti opzioni di controllo di integrità non sono supportate:
- Controllo di integrità HTTP/HTTP2/HTTPS
--proxy-header
--response
- controllo di integrità TCP
--proxy-header
--request
--response
- Controllo di integrità HTTP/HTTP2/HTTPS
Passaggi successivi
- Per configurare Cloud Service Mesh con NEG internet, consulta Configura backend esterni.
- Per scoprire di più sui NEG di connettività ibrida, consulta Cloud Service Mesh con NEG di connettività ibrida.