Tentang Anthos Service Mesh

Anthos Service Mesh adalah rangkaian alat yang membantu Anda memantau dan mengelola mesh layanan yang andal di infrastruktur lokal atau di Google Cloud.

Apa yang dimaksud dengan mesh layanan?

Mesh layanan adalah arsitektur yang memungkinkan komunikasi yang terkelola, dapat diamati, dan aman di seluruh layanan Anda, sehingga Anda dapat membuat aplikasi perusahaan yang andal yang terdiri dari banyak microservice di infrastruktur yang Anda pilih. Mesh layanan memperhitungkan semua masalah umum dalam menjalankan layanan seperti pemantauan, jaringan, dan keamanan, dengan alat yang konsisten dan andal, sehingga memudahkan developer dan operator layanan untuk fokus membuat dan mengelola aplikasi yang bagus bagi pengguna mereka.

Anthos Service Mesh didukung oleh Istio, platform mesh layanan open source yang sangat dapat dikonfigurasi dan andal, dengan alat dan fitur yang memungkinkan praktik terbaik industri. Anthos Service Mesh di-deploy sebagai lapisan seragam di seluruh infrastruktur Anda. Developer dan operator layanan dapat menggunakan set fitur lengkap tanpa mengubah kode aplikasi.

Secara arsitektur, mesh layanan terdiri dari satu atau beberapa bidang kontrol dan bidang data. Mesh layanan memantau semua traffic melalui proxy. Di Kubernetes, proxy di-deploy oleh pola bantuan ke microservice di mesh. Di Virtual Machine (VM), proxy diinstal pada VM. Pola ini memisahkan logika aplikasi atau bisnis dari fungsi jaringan, dan memungkinkan developer berfokus pada fitur yang diperlukan bisnis. Mesh layanan juga memungkinkan tim operasi dan tim pengembangan memisahkan pekerjaan mereka satu sama lain.

Bagaimana Anthos Service Mesh dapat membantu saya?

Dengan Anthos Service Mesh, Anda mendapatkan distribusi Istio yang teruji dan didukung oleh GKE Enterprise, sehingga Anda dapat membuat dan men-deploy mesh layanan di GKE di Google Cloud dan platform lainnya dengan dukungan penuh dari Google.

Fitur

Anthos Service Mesh memiliki serangkaian fitur dan alat yang membantu Anda mengamati serta mengelola layanan yang aman dan andal secara terpadu.

Pengelolaan traffic

Anthos Service Mesh mengontrol aliran traffic antarlayanan, ke dalam mesh (akses masuk), dan ke layanan luar (traffic keluar). Anda mengonfigurasi dan men-deploy Resource kustom yang kompatibel dengan Istio untuk mengelola traffic ini pada lapisan aplikasi (L7). Misalnya, dengan resource kustom, Anda dapat:

Anthos Service Mesh mengelola registry layanan untuk semua layanan di mesh menurut nama dan endpoint-nya masing-masing. Emulator mempertahankan registry untuk mengelola alur traffic (misalnya, alamat IP Pod Kubernetes). Dengan menggunakan registry layanan ini, dan dengan menjalankan proxy secara berdampingan dengan layanan, mesh dapat mengarahkan traffic ke endpoint yang sesuai.

Insight kemampuan observasi

Halaman Anthos Service Mesh di Google Cloud Console memberikan insight berikut ke dalam mesh layanan Anda:

  • Log dan metrik layanan untuk traffic HTTP dalam cluster GKE mesh Anda akan otomatis diserap ke Google Cloud.

  • Dasbor layanan yang telah dikonfigurasi sebelumnya memberi Anda informasi yang diperlukan untuk memahami layanan Anda.

  • Telemetri mendalam—yang didukung oleh Cloud Monitoring, Cloud Logging, dan Cloud Trace—memungkinkan Anda mempelajari metrik layanan dan log Anda secara mendalam. Anda dapat memfilter dan mengelompokkan data Anda pada berbagai atribut.

  • Hubungan layanan-ke-layanan secara sekilas membantu Anda memahami siapa yang terhubung ke setiap layanan dan layanan yang menjadi dependensi setiap layanan.

  • Anda dapat dengan cepat melihat postur keamanan komunikasi, bukan hanya dari layanan Anda, tetapi hubungannya dengan layanan lainnya.

  • Tujuan tingkat layanan (SLO) memberi Anda insight tentang kondisi layanan. Anda dapat dengan mudah menentukan SLO dan pemberitahuan berdasarkan standar kondisi layanan Anda sendiri.

Pelajari lebih lanjut fitur kemampuan observasi Anthos Service Mesh di Panduan kemampuan observasi kami.

Manfaat keamanan

  • Mengurangi risiko serangan replay atau peniruan identitas yang menggunakan kredensial yang dicuri. Anthos Service Mesh mengandalkan sertifikat TLS bersama (mTLS) untuk mengautentikasi pembanding, bukan token pembawa seperti Token Web JSON (JWT).

  • Memastikan enkripsi saat transit. Menggunakan mTLS untuk otentikasi juga memastikan bahwa semua komunikasi TCP dienkripsi saat transit.

  • Memastikan bahwa hanya klien yang diotorisasi yang dapat mengakses layanan dengan data sensitif, terlepas dari lokasi jaringan klien dan kredensial level aplikasi.

  • Mengurangi risiko pelanggaran data pengguna dalam jaringan produksi Anda. Anda dapat memastikan bahwa orang dalam hanya dapat mengakses data sensitif melalui klien yang diizinkan.

  • Mengidentifikasi klien mana yang mengakses layanan dengan data sensitif. Logging akses Anthos Service Mesh menangkap identitas mTLS klien selain alamat IP.

  • Semua komponen dan proxy bidang kontrol dalam cluster menggunakan modul enkripsi tervalidasi FIPS 140-2.

Pelajari lebih lanjut manfaat dan fitur keamanan Anthos Service Mesh di Panduan keamanan kami.

Opsi penerapan

Di Anthos Service Mesh 10.3 dan yang lebih baru, Anda memiliki opsi deployment berikut:

  • Bidang kontrol dalam cluster
  • Anthos Service Mesh Terkelola
  • Menyertakan VM Compute Engine di mesh layanan.

Bidang kontrol dalam cluster

Diagram berikut menunjukkan komponen dan fitur Anthos Service Mesh untuk bidang kontrol dalam cluster dan proxy file bantuan.

arsitektur mesh layanan dengan bidang kontrol dalam cluster

Anthos Service Mesh Terkelola

Anthos Service Mesh terkelola terdiri dari bidang kontrol yang dikelola Google, dan di Anthos Service Mesh 1.10.4 dan yang lebih baru, Anda dapat mengaktifkan bidang data yang dikelola Google secara opsional. Dengan Anthos Service Mesh terkelola, Google menangani upgrade, penskalaan, dan keamanan untuk Anda meminimalkan pemeliharaan pengguna secara manual. Saat mengaktifkan bidang data yang dikelola Google, Anda akan menambahkan anotasi ke namespace yang menginstal pengontrol dalam cluster yang mengelola proxy file bantuan untuk Anda.

Diagram berikut menunjukkan komponen dan fitur Anthos Service Mesh untuk Anthos Service Mesh terkelola:

Anthos Service Mesh Terkelola

Untuk mengetahui informasi tentang cara menyiapkan atau bermigrasi ke Anthos Service Mesh terkelola, lihat Mengonfigurasi Anthos Service Mesh terkelola.

Anthos Service Mesh untuk VM Compute Engine

Anthos Service Mesh untuk VM Compute Engine tersedia sebagai fitur pratinjau. Anda dapat mengelola, mengamati, dan mengamankan layanan yang berjalan di Grup Instance Terkelola (MIG) Compute Engine dan GKE di Google Cloud dalam mesh yang sama. Anda dapat memadupadankan dan memilih lingkungan terbaik untuk menjalankan layanan sambil menikmati manfaat Anthos Service Mesh. Diagram berikut menunjukkan MIG dalam mesh layanan yang sama dengan cluster GKE:

arsitektur mesh layanan dengan VM Compute Engine

Untuk mengetahui informasi selengkapnya, lihat Menambahkan VM Compute Engine ke Anthos Service Mesh.

Apa langkah selanjutnya?