Diese Seite enthält kurze Definitionen und Links zu weiteren Informationen für die Begriffe, die in der Anthos Service Mesh-Dokumentation verwendet werden.
A
- Anthos Workload Identity
- Ein tuple aus
trust domain
,namespace
undservice account
. Es hat ein SPIFFE-Identitätsformat vonspiffe://<workload_identity_pool>/ns/<namespace>/sa/<serviceaccount>
in Anthos-x509-Zertifikaten. Für andere Arten von Anmeldedaten, z.B. OIDC-Tokens) kann das Format variieren.
C
- Canary-Clustermigration
- Die Canary-Clustermigration ist eine gängige Migrationsstrategie zur Migration von Istio zu Anthos Service Mesh, bei dem Sie Anthos Service Mesh in einem neuen, separaten Cluster aktivieren. Die Migrationsstrategie für Canary-Cluster wird in der Anleitung Istio 1.11 oder höher zu verwaltetem Anthos Service Mesh migrieren erläutert. Die Canary-Clustermigration kann auch bei der Migration von Anthos Service Mesh innerhalb von Clustern zu verwaltetem Anthos Service Mesh verwendet werden. Die andere gängige Migrationsstrategie ist die Migration der Canary-Steuerungsebene.
- Canary-Steuerungsebene migrieren
- Die Migration der Canary-Steuerungsebene ist eine gängige Migrationsstrategie für die Migration von Istio zu Anthos Service Mesh, wobei Anthos Service Mesh für den vorhandenen Istio-installierten Cluster aktiviert ist. Die Migration besteht aus der Neubeschriftung von Namespaces, sodass die Datenebene Anthos Service Mesh verwendet. Die Canary-Clustermigration kann auch bei der Migration von Anthos Service Mesh innerhalb von Clustern zu verwaltetem Anthos Service Mesh verwendet werden. Die andere gängige Migrationsstrategie ist die Canary-Cluster-Migration.
- Canary-Upgrade
- Siehe Überarbeitungsbasiertes Upgrade.
- Kanonischer Dienst
- Ein Label, das auf Arbeitslasten in Anthos Service Mesh angewendet wird und es Ihnen ermöglicht, eine oder mehrere Arbeitslasten als logischer Dienst im Service Mesh zu gruppieren. Eine Arbeitslast gehört zu genau einem kanonischen Dienst, kann aber zu mehreren Kubernetes-Diensten gehören Ein kanonischer Dienst wird durch einen Namen und einen Namespace identifiziert und kann in eine oder mehrere kanonische Überarbeitungen unterteilt werden.
- Steuerungsebene
Eine Steuerungsebene besteht aus einer Reihe von Systemdiensten, die das Mesh-Netzwerk oder eine Teilmenge des Mesh-Netzwerks konfigurieren, um die Kommunikation zwischen den Arbeitslastinstanzen zu verwalten. Anthos Service Mesh 1.9 und höher bietet zwei Steuerungsebenen:
Von Google verwaltete Steuerungsebene: Dies ist ein vollständig verwalteter Google Cloud-Dienst, den Sie nur konfigurieren müssen. Google sorgt für dessen Zuverlässigkeit, Upgrades, Skalierung und Sicherheit. Verwaltetes Anthos Service Mesh besteht aus der von Google verwalteten Steuerungsebene und der optionalen von Google verwalteten Datenebene, die sich in der Vorschau befindet.
Clusterinterne Steuerungsebene: Dies ist eine von Google unterstützte Verteilung von
istiod
, die Sie auf Ihrem Cluster installieren. Wenn Sie Anthos Service Mesh mitistiod
installieren, sind Sie für die Aktualisierung sowie die Konfiguration der Sicherheit und Skalierung verantwortlich.
Obwohl die Steuerungsebene ihre Konfiguration an die Sidecar-Proxys verteilt, ist die Steuerungsebene nicht direkt an der Verarbeitung von Traffic für Arbeitslasten im Mesh-Netzwerk beteiligt.
D
- Datenebene
- Die Datenebene ist der Teil des Mesh-Netzwerks, mit dem die Kommunikation zwischen Arbeitslastinstanzen direkt gesteuert wird. Die Datenebene von Anthos Service Mesh verwendet Proxys, die als Sidecars bereitgestellt werden, um den gesamten von Ihren Mesh-Diensten gesendeten und empfangenen TCP-Traffic zu vermitteln und zu steuern. Managed Anthos Service Mesh bietet eine von Google verwaltete Datenebene, die sich in der Vorschau befindet.
E
- Ausgangsgateway
- Ein Ausgangsgateway ist ein Envoy-Proxy, mit dem Sie einen bestimmten Ausgangsknoten für den Traffic konfigurieren können, der das Mesh-Netzwerk verlässt. Zur Konfiguration des Proxys verwenden Sie die benutzerdefinierte Gateway-Ressource. Mit einem Ausgangsgateway können Sie einschränken, welche Dienste auf externe Netzwerke zugreifen können. Weitere Informationen finden Sie unter Gateways installieren und aktualisieren.
F
- Flotte
- Mit einer Flotte (früher als Environ bezeichnet) können Sie Cluster organisieren und so die Verwaltung mehrerer Cluster vereinfachen. Die Registrierung Ihrer Cluster in einer Flotte vereinfacht die Verwaltung eines Multi-Cluster-Mesh-Netzwerks, indem das Konzept der „Gleichheit“ für Identität, Namespaces und Dienste eingeführt wird. Wenn Sie Cluster in verschiedenen Projekten haben, müssen Sie die Cluster beim Flotten-Hostprojekt statt bei dem Projekt registrieren, in dem der Cluster erstellt wurde. Weitere Informationen zu Flotten finden Sie unter Einführung in Flotten.
H
- Hydrierte Manifeste
- Ein Manifest, das im Ziel bereitgestellt werden kann. Wenn Sie ein Manifest hydrieren möchten, verwenden Sie in der Regel ein Tool wie Helm, Kustomize oder
kpt
, um Werte für die Variablen im Manifest festzulegen.
I
- identity
Identity ist ein grundlegendes Konzept der Sicherheitsinfrastruktur. Das Anthos Service Mesh-Identitätsmodell basiert auf einer Workload Identity der ersten Klasse. Am Anfang der Dienst-zu-Dienst-Kommunikation tauschen die beiden Parteien Anmeldedaten zur Identität zwecks gegenseitiger Authentifizierung aus.
Clients überprüfen die Identität des Servers im Hinblick auf deren sichere Namensinformationen, um festzustellen, ob der Server zur Ausführung des Dienstes autorisiert ist.
Server überprüfen die Identität des Clients, um festzustellen, auf welche Informationen der Client zugreifen kann. Server entscheiden, ob der Zugriff anhand der konfigurierten Autorisierungsrichtlinien zugelassen wird.
Mithilfe der Identität können Server prüfen, wann auf welche Informationen zugegriffen wurde und welche Informationen von einem bestimmten Client aufgerufen wurden. Sie können Clients auch basierend auf den von ihnen verwendeten Diensten Gebühren in Rechnung stellen und Clients, deren Rechnung nicht bezahlt wurde, den Zugriff auf Dienste verweigern.
Das Identitätsmodell von Anthos Service Mesh ist flexibel und detailliert genug, um einen Nutzer, einen einzelnen Dienst oder eine Gruppe von Diensten darzustellen. Auf Plattformen ohne erstklassige Dienstidentität kann Anthos Service Mesh andere Identitäten verwenden, die Dienstinstanzen wie etwa Dienstnamen gruppieren können.
Anthos Service Mesh unterstützt die folgenden Dienstidentitäten auf verschiedenen Plattformen:
Kubernetes: Kubernetes-Dienstkonto
Google Kubernetes Engine: Google Cloud-Dienstkonto
Google Cloud: Google Cloud-Dienstkonto
- Ingress-Gateway
Ein Ingress-Gateway ist ein Envoy-Proxy, der als Load-Balancer für die Verarbeitung des von außerhalb des Mesh-Netzwerks eingehenden Traffics fungiert. Mit der benutzerdefinierten Gateway-Ressource konfigurieren Sie den Load-Balancer. Außerdem erstellen Sie virtuelle Dienste und Authentifizierungsrichtlinien, um zu steuern, wie eingehender Traffic gesichert und an Ihre Arbeitslasten weitergeleitet wird. Weitere Informationen finden Sie unter Gateways installieren und aktualisieren.
- Injektion
Mit Injektion oder automatischer Injektion ist die Verwendung von mutierenden Webhooks zum Ändern von Pod-Spezifikationen bei der Erstellung gemeint. Sie verwenden Injektion, um die Envoy-Proxy-Sidecar-Konfiguration für Ihre Mesh-Netzwerk-Dienste hinzuzufügen oder den Envoy-Proxy von Gateways zu konfigurieren.
- Direktes Upgrade
Ein direktes Upgrade ersetzt die vorhandene Steuerungsebene durch eine neue Überarbeitung. Als Best Practice empfehlen wir Überarbeitungsupgrades.
istiod
istiod
(das "d" steht für "Daemon") ist die konsolidierte monolithische Binärdatei, die Dienste der Steuerungsebene bereitstellt. Vor Anthos Service Mesh 1.5 wurden die Dienste der Steuerungsebene von den separaten Komponenten Pilot, Citadel, Mixer und Galley bereitgestellt.IstioOperator
Eine benutzerdefinierte Ressource, mit der Sie die Steuerungsebene im Cluster konfigurieren. Weitere Informationen finden Sie unter Optionale Funktionen aktivieren.
$
- Verwaltete Instanzgruppe (Managed Instance Group, MIG)
- Ermöglicht das Ausführen von Anwendungen auf mehreren identischen VMs, wobei mindestens eine MIG-Größe einer VM verwendet wird. Sie können Ihre Arbeitslasten skalierbar und hochverfügbar machen, indem Sie automatisierte MIG-Dienste nutzen, darunter Autoscaling, automatische Reparatur, regionale Bereitstellung (in mehreren Zonen) und automatische Aktualisierung. Weitere Informationen finden Sie unter Verwaltete Instanzgruppen (MIGs).
- Manifest
Ein Kubernetes-Konfigurationsobjekt, mit dem Kubernetes-Ressourcen wie Pods, Deployments, Services oder Ingresses erstellt, geändert und gelöscht werden. In der Anthos Service Mesh-Dokumentation wird das Manifest, das Sie zum Konfigurieren der Steuerungsebene verwenden, als Overlay-Datei bezeichnet.
Manifeste haben einen von zwei Status: gerendert (auch als hydriert bezeichnet) oder nicht gerendert. Ein nicht gerendertes Manifest ist nicht für die Bereitstellung in einem Ziel bereit. Der Renderingprozess, der das Einfügen bestimmter Werte in das Manifest umfasst, wird häufig von Tools wie Helm, Kustomize und
kpt
ausgeführt.- Mesh CA
Der Name der von Google verwalteten Zertifizierungsstelle, die mTLS-Zertifikate verwaltet. Mesh CA ist standardmäßig aktiviert, wenn Sie Anthos Service Mesh in GKE-Clustern in Google Cloud installieren. Sie können Mesh CA optional aktivieren, wenn Sie Anthos Service Mesh 1.10 oder höher in GKE on VMware oder Bare Metal installieren.
- Gegenseitiges TLS
Anthos Service Mesh nutzt gegenseitiges TLS (mTLS) für die Authentifizierung und Verschlüsselung zwischen Diensten im Mesh. Mit mTLS können Arbeitslasten die Identitäten untereinander prüfen und sich gegenseitig authentifizieren. Möglicherweise sind Sie mit einfachem TLS vertraut. Dies wird in HTTPS genutzt, um es Browsern zu ermöglichen, Webservern zu vertrauen und die ausgetauschten Daten zu verschlüsseln. Wenn einfaches TLS verwendet wird, stellt der Client fest, dass der Server als vertrauenswürdig eingestuft werden kann, indem er sein Zertifikat validiert. mTLS ist eine Implementierung von TLS, in der sowohl der Client als auch der Server Zertifikate bereitstellen und die Identität des jeweils anderen überprüft wird.
✘
- network
- Anthos Service Mesh verwendet eine vereinfachte Definition von Netzwerken auf der Grundlage allgemeiner Konnektivität. Arbeitslastinstanzen befinden sich im selben Netzwerk, wenn sie ohne Gateway direkt kommunizieren können.
O
- Overlay-Datei
- Eine YAML-Datei mit einer benutzerdefinierten Ressource vom Typ
IstioOperator
. Mit Overlay-Dateien lässt sich die Steuerungsebene konfigurieren. Sie können die Standardkonfiguration der Steuerungsebene überschreiben und unterstützte optionale Features in einer YAML-Datei aktivieren, die Sie anistioctl install
,install_asm
oderasmcli install
übergeben. Sie können mehr Overlays übereinander legen. Jede Overlay-Datei überschreibt die Konfiguration auf den vorherigen Ebenen. Unter Optionale Features aktivieren finden Sie Informationen zur YAML-Datei, die Sie für die Aktivierung von Features verwenden können, die nicht standardmäßig aktiviert werden.
P
- Primärer Cluster
- Ein primärer Cluster ist ein Cluster mit einer Steuerungsebene. Ein einzelnes Mesh-Netzwerk kann für eine hohe Verfügbarkeit und zur Reduzierung der Latenz mehr als einen primären Cluster haben. In der Dokumentation zu Istio 1.7 wird eine mehrfache Bereitstellung als replizierte Steuerungsebene bezeichnet.
R
- Remote-Cluster
- Ein Remote-Cluster ist ein Cluster, der eine Verbindung zu einer Steuerungsebene herstellt, die sich außerhalb des Clusters befindet. Ein Remote-Cluster kann eine Verbindung zu einer Steuerungsebene herstellen, die in einem primären Cluster oder einer externen Steuerungsebene ausgeführt wird.
- Revision
- Eine Überarbeitung stellt eine Snapshot-Version der Anwendung sowie einen Snapshot in einer bestimmten Zeit dar. Wenn Sie Anthos Service Mesh installieren oder aktualisieren, wird der Steuerungsebene ein Überarbeitungslabel hinzugefügt. Um die automatische Sidecar-Injektion zu aktivieren, fügen Sie das Überarbeitungslabel zu Ihren Namespaces hinzu und starten Ihre Pods neu. Das Überarbeitungslabel verknüpft die Pods in einem Namespace mit einer bestimmten Überarbeitung der Steuerungsebene.
- Überarbeitungsbasiertes Upgrade
- Migrationen von OSS Istio sowie Upgrades folgen einem revisionsbasierten Upgradevorgang. Dieser wird in der Istio-Dokumentation als „Canary-Upgrade“ bezeichnet. Bei einem Überarbeitungsupgrade wird die neue Überarbeitung der Steuerungsebene zusammen mit der vorhandenen Steuerungsebene installiert. Anschließend verschieben Sie einige Ihrer Arbeitslasten auf die neue Überarbeitung. Damit können Sie die Auswirkungen des Upgrades mit einem kleinen Prozentsatz der Arbeitslasten prüfen, bevor Sie den gesamten Traffic zur neuen Überarbeitung migrieren.
S
- Sichere Benennung
- Serveridentitäten werden in Zertifikaten codiert. Dienstnamen werden jedoch über den Discovery-Dienst oder DNS abgerufen. Die sicheren Benennungsinformationen ordnen die Serveridentitäten den Dienstnamen zu. Die Zuordnung von Identität A zu Dienstname B bedeutet „A ist zur Ausführung von Dienst B berechtigt". Die Steuerungsebene beobachtet den
apiserver
, generiert die sicheren Namenszuordnungen und verteilt sie sicher an die Sidecar-Proxys. - Service Mesh
- Ein Service Mesh oder ein einfaches Mesh-Netzwerk ist eine Infrastrukturebene, die eine verwaltete, beobachtbare und sichere Kommunikation zwischen Arbeitslastinstanzen ermöglicht.
- Sidecar
- Ein Muster zum Ausführen eines Dienstprogramms oder eines Hilfsprogramms mit einer Arbeitslast. Wenn Sie Kubernetes verwenden, werden Sidecars zusammen mit dem Arbeitslastcontainer in einem Pod ausgeführt. Beim Thema „Service Mesh“ wird der Begriff „Sidecar“ häufig verwendet, um auf den Proxy zu verweisen.
T
- Trust-Domain
Trust-Domain ist eine vertrauenswürdige Domain und entspricht dem Root of Trust eines Systems. Sie ist Teil einer Workload Identity.
Anthos Service Mesh verwendet eine vertrauenswürdige Domain, um alle Identitäten in einem Mesh-Netzwerk zu erstellen. Beispiel: In der SPIFFE-ID
spiffe://mytrustdomain.com/ns/default/sa/myname
wird mit dem Teilstringmytrustdomain.com
angegeben, dass die Arbeitslast von einer vertrauenswürdigen Domain mit dem Namenmytrustdomain.com
stammt.Bei Verwendung der Mesh-CA wird die vertrauenswürdige Domain automatisch von Anthos Service Mesh generiert. Sie basiert auf dem Arbeitslast-Pool des Clusters.
Sie können eine oder mehrere vertrauenswürdige Domains in einem Multi-Cluster-Mesh haben, sofern die Cluster über denselben Root of Trust verfügen.
W
- Arbeitslast
- Eine Arbeitslast ist eine containerisierte Anwendung, ein Dienst oder ein anderes Programm, z. B. ein Batchjob oder ein Daemon, der auf einer Plattform ausgeführt wird. Die Plattform kann ein Kubernetes-Cluster, eine virtuelle Maschine oder eine andere Umgebung wie Google Distributed Cloud Virtual for Bare Metal sein. Arbeitslasten haben Namen, Namespaces und eindeutige IDs. In Kubernetes entspricht eine Arbeitslast normalerweise einem Deployment. Es gibt aber auch andere Arten von Arbeitslasten, z. B. ein StatefulSet.
- WorkloadEntry
- Ermöglicht es Ihnen, Nicht-Kubernetes-Pod-Endpunkten zu beschreiben, die Teil des Mesh-Netzwerks sein sollen, und diese als Kubernetes-Pod zu behandeln. In unserem Fall wird jede VM als WorkloadEntry im Mesh-Netzwerk registriert. Weitere Informationen finden Sie unter https://istio.io/latest/blog/2020/workload-entry/
- WorkloadGroup
- Beschreibt eine Sammlung von Arbeitslastinstanzen. Siehe WorkloadGroup.
- Workload Identity-Pool
- Die Vertrauensgrenze, die auch als vertrauenswürdige Domain eines Anthos Service Mesh bezeichnet wird.