Halaman ini memberikan definisi singkat dan link ke informasi selengkapnya tentang istilah yang digunakan dalam dokumentasi Anthos Service Mesh.
A
- Workload Identity Anthos
- tuple
dari
trust domain
,namespace
, danservice account
. Fungsi ini memiliki format identitas SPIFFEspiffe://<workload_identity_pool>/ns/<namespace>/sa/<serviceaccount>
dalam sertifikat workload Anthos x509. Untuk jenis kredensial lainnya (mis., token OIDC), formatnya dapat bervariasi.
C
- migrasi cluster canary
- Migrasi cluster Canary adalah strategi migrasi umum yang digunakan untuk melakukan migrasi dari Istio ke Anthos Service Mesh tempat Anda mengaktifkan Anthos Service Mesh di cluster baru yang terpisah. Strategi migrasi cluster Canary dijelaskan dalam tutorial, Memigrasikan Istio 1.11 atau yang lebih baru ke Anthos Service Mesh terkelola. Migrasi cluster canary juga dapat digunakan saat melakukan migrasi dari Anthos Service Mesh dalam cluster ke Anthos Service Mesh terkelola. Strategi migrasi umum lainnya adalah migrasi bidang kontrol canary.
- migrasi bidang kontrol canary
- Migrasi bidang kontrol canary adalah strategi migrasi umum yang digunakan untuk bermigrasi dari Istio ke Anthos Service Mesh, dengan Anthos Service Mesh diaktifkan di cluster yang sudah diinstal dengan Istio yang sudah ada. Migrasi terdiri dari pelabelan ulang namespace sehingga bidang data menggunakan Anthos Service Mesh. Migrasi cluster canary juga dapat digunakan saat melakukan migrasi dari Anthos Service Mesh dalam cluster ke Anthos Service Mesh terkelola. Strategi migrasi umum lainnya adalah migrasi cluster canary.
- upgrade canary
- Lihat upgrade berbasis revisi.
- Canonical Service
- Label yang diterapkan ke workload di Anthos Service Mesh, yang memungkinkan Anda mengelompokkan satu atau beberapa workload sebagai layanan logis dalam mesh layanan. Beban kerja termasuk dalam satu layanan kanonis, sedangkan beban kerja dapat dimiliki oleh beberapa layanan Kubernetes. Layanan kanonis diidentifikasi dengan nama dan namespace, serta dapat dibagi lagi menjadi satu atau beberapa revisi kanonis.
- bidang kontrol
Bidang kontrol adalah kumpulan layanan sistem yang mengonfigurasi mesh atau sebagian mesh untuk mengelola komunikasi antara instance beban kerja di dalamnya. Anthos Service Mesh 1.9 dan yang lebih baru menyediakan dua bidang kontrol:
Bidang kontrol yang dikelola Google: Ini adalah layanan Google Cloud terkelola sepenuhnya yang hanya perlu Anda konfigurasi, sementara Google menangani keandalan, upgrade, penskalaan, dan keamanannya untuk Anda. Anthos Service Mesh terkelola terdiri dari bidang kontrol yang dikelola Google dan bidang data opsional yang dikelola Google, yang ada di Pratinjau.
Bidang kontrol dalam cluster: Ini adalah distribusi
istiod
yang didukung Google yang diinstal di cluster Anda. Saat menginstal Anthos Service Mesh denganistiod
, Anda bertanggung jawab untuk mengupgrade serta mengonfigurasi keamanan dan penskalaan.
Meskipun bidang kontrol mendistribusikan konfigurasinya ke proxy file bantuan, bidang kontrol tidak secara langsung berpartisipasi dalam menangani traffic untuk workload di mesh.
D
- bidang data
- Bidang data adalah bagian dari mesh yang langsung menangani komunikasi antar-instance workload. Bidang data Anthos Service Mesh menggunakan proxy yang di-deploy sebagai file bantuan untuk memediasi dan mengontrol semua traffic TCP yang dikirim dan diterima oleh layanan mesh Anda. Anthos Service Mesh terkelola menawarkan bidang data yang dikelola Google, yang berada dalam Pratinjau.
E
- gateway keluar
- Gateway keluar adalah proxy Envoy yang memungkinkan Anda mengonfigurasi node keluar khusus untuk traffic yang keluar dari mesh. Gunakan resource kustom Gateway untuk mengonfigurasi proxy. Gateway traffic keluar memungkinkan Anda membatasi layanan mana yang dapat atau harus mengakses jaringan eksternal. Lihat Menginstal dan mengupgrade gateway untuk informasi selengkapnya.
F
- perangkat [refers to 'device fleet', please consult TMM and adjust with the context accordingly]
- armada (sebelumnya disebut environ) memungkinkan Anda mengatur cluster untuk mempermudah pengelolaan multi-cluster. Mendaftarkan cluster Anda dalam fleet akan menyederhanakan pengelolaan mesh multi-cluster dengan memperkenalkan konsep "kesamaan" untuk identitas, namespace, dan layanan. Jika memiliki cluster di project yang berbeda, Anda harus mendaftarkan cluster dengan project host armada, bukan project tempat cluster dibuat. Untuk mempelajari armada lebih lanjut, lihat Memperkenalkan fleet.
H
- manifes terhidrasi
- Sebuah manifes yang siap di-deploy di aplikasi target. Untuk melembabkan
manifes, biasanya Anda menggunakan alat seperti Helm, Kustomize, atau
kpt
untuk menetapkan nilai bagi variabel dalam manifes.
I
- identitas
Identitas adalah konsep infrastruktur keamanan yang mendasar. Model identitas Anthos Service Mesh didasarkan pada identitas workload kelas satu. Pada awal komunikasi layanan-ke-layanan, kedua pihak bertukar kredensial dengan informasi identitas mereka untuk tujuan autentikasi bersama.
Klien memeriksa identitas server terhadap informasi penamaan aman mereka untuk menentukan apakah server diizinkan untuk menjalankan layanan.
Server memeriksa identitas klien untuk menentukan informasi yang dapat diakses klien. Server memutuskan apakah akan mengizinkan akses berdasarkan kebijakan otorisasi yang dikonfigurasi.
Dengan menggunakan identitas, server dapat mengaudit waktu akses informasi dan informasi yang diakses oleh klien tertentu. Mereka juga dapat menagih klien berdasarkan layanan yang mereka gunakan dan menolak setiap klien yang tidak membayar tagihannya untuk mengakses layanan tersebut.
Model identitas Anthos Service Mesh cukup fleksibel dan cukup terperinci untuk mewakili pengguna manusia, layanan individu, atau sekelompok layanan. Pada platform tanpa identitas layanan kelas satu, Anthos Service Mesh dapat menggunakan identitas lain yang dapat mengelompokkan instance layanan, seperti nama layanan.
Anthos Service Mesh mendukung identitas layanan berikut di berbagai platform:
Kubernetes: Akun layanan Kubernetes
Google Kubernetes Engine: Akun layanan Google Cloud
Google Cloud: Akun layanan Google Cloud
- gateway masuk
Gateway masuk adalah proxy Envoy yang berfungsi sebagai load balancer untuk menangani traffic masuk yang masuk dari luar mesh. Anda menggunakan resource kustom Gateway untuk mengonfigurasi load balancer dan membuat layanan virtual serta kebijakan autentikasi untuk mengontrol cara traffic masuk diamankan dan dirutekan ke workload Anda. Lihat Menginstal dan mengupgrade gateway untuk informasi selengkapnya.
- injeksi
Injeksi, atau injeksi otomatis, mengacu pada penggunaan mengubah webhook untuk mengubah spesifikasi Pod pada waktu pembuatan. Anda menggunakan injeksi untuk menambahkan konfigurasi file bantuan proxy Envoy untuk layanan mesh Anda atau untuk mengonfigurasi proxy gateway Envoy.
- upgrade di tempat
Upgrade yang sudah ada menggantikan bidang kontrol yang ada dengan revisi baru. Sebagai praktik terbaik, sebaiknya upgrade berbasis revisi.
istiod
istiod
("d" adalah untuk "daemon)" adalah biner monolitik gabungan yang menyediakan layanan bidang kontrol. Sebelum Anthos Service Mesh 1.5, layanan bidang kontrol disediakan oleh komponen terpisah yang disebut Pilot, Citadel, Mixer, dan Galley.IstioOperator
Resource kustom yang Anda gunakan untuk mengonfigurasi bidang kontrol dalam cluster. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan fitur opsional.
M
- Grup Instance Terkelola (MIG)
- Memungkinkan Anda mengoperasikan aplikasi di beberapa VM yang identik, dimulai dengan ukuran MIG minimum satu VM. Anda dapat membuat workload Anda skalabel dan sangat tersedia dengan memanfaatkan layanan MIG otomatis, termasuk: penskalaan otomatis, autohealing, deployment regional (beberapa zona), dan update otomatis. Untuk mengetahui informasi selengkapnya, lihat grup instance terkelola (MIG).
- Manifes
Objek konfigurasi Kubernetes yang digunakan untuk membuat, memodifikasi, dan menghapus resource Kubernetes seperti Pod, deployment, layanan, atau ingress. Dalam dokumentasi Anthos Service Mesh, manifes yang Anda gunakan untuk mengonfigurasi bidang kontrol disebut sebagai file overlay.
Manifes ada dalam salah satu dari dua status: dirender (juga disebut sebagai terhidrasi) atau tidak dirender. Manifes yang tidak dirender belum siap untuk di-deploy ke target. Proses rendering, yang mencakup pengisian nilai tertentu ke dalam manifes, sering dilakukan oleh alat seperti Helm, Kustomize, dan
kpt
.- Mesh CA
Nama certificate authority yang dikelola Google yang mengelola sertifikat mTLS. Mesh CA diaktifkan secara default saat Anda menginstal Anthos Service Mesh di cluster GKE di Google Cloud, dan Anda dapat mengaktifkan Mesh CA secara opsional saat menginstal Anthos Service Mesh 1.10 atau yang lebih tinggi di GKE pada VMware atau Bare metal.
- TLS bersama
Anthos Service Mesh menggunakan TLSal (mTLS) untuk autentikasi dan enkripsi antarlayanan dalam mesh. mTLS memungkinkan beban kerja saling memverifikasi identitas satu sama lain dan melakukan autentikasi satu sama lain. Anda mungkin sudah terbiasa dengan TLS sederhana melalui penggunaannya di HTTPS untuk memungkinkan browser memercayai server web dan mengenkripsi data yang dipertukarkan. Ketika TLS sederhana digunakan, klien menetapkan bahwa server dapat dipercaya dengan memvalidasi sertifikatnya. mTLS adalah implementasi TLS di mana klien dan server memberikan sertifikat satu sama lain dan memverifikasi identitas masing-masing.
N
- jaringan
- Anthos Service Mesh menggunakan definisi jaringan yang disederhanakan berdasarkan konektivitas umum. Instance beban kerja berada di jaringan yang sama jika dapat berkomunikasi secara langsung, tanpa gateway.
O
- file overlay
- File YAML yang berisi resource kustom (CR)
IstioOperator
. Anda menggunakan file overlay untuk mengonfigurasi bidang kontrol. Anda dapat mengganti konfigurasi bidang kontrol default dan mengaktifkan fitur Opsional yang didukung dalam file YAML yang diteruskan keistioctl install
,install_asm
, atauasmcli install
. Anda dapat menambahkan lapisan pada lebih banyak overlay, dan setiap file overlay akan menggantikan konfigurasi pada lapisan sebelumnya. Lihat Mengaktifkan fitur opsional untuk YAML yang dapat Anda gunakan untuk mengaktifkan fitur yang tidak diaktifkan secara default.
P
- cluster utama
- Cluster utama adalah cluster dengan bidang kontrol. Satu mesh dapat memiliki lebih dari satu cluster utama untuk ketersediaan tinggi atau untuk mengurangi latensi. Dalam dokumentasi Istio 1.7, deployment multi-utama disebut sebagai bidang kontrol replika.
R
- cluster jarak jauh
- Cluster jarak jauh adalah cluster yang terhubung ke bidang kontrol yang berada di luar cluster. Cluster jarak jauh dapat terhubung ke bidang kontrol yang berjalan di cluster utama atau ke bidang kontrol eksternal.
- revisi
- Revisi merepresentasikan snapshot versi dan konfigurasi kode aplikasi pada saat itu. Saat Anda menginstal atau mengupgrade Anthos Service Mesh, label revisi akan ditambahkan ke bidang kontrol. Untuk mengaktifkan injeksi bantuan otomatis, tambahkan label revisi ke namespace Anda, lalu mulai ulang Pod Anda. Label revisi mengaitkan Pod dalam namespace dengan revisi bidang kontrol tertentu.
- upgrade berbasis revisi
- Migrasi dari Istio dan upgrade OSS mengikuti proses upgrade berbasis revisi (disebut sebagai "upgrade canary" dalam dokumentasi Istio). Dengan upgrade berbasis revisi, revisi baru bidang kontrol akan diinstal bersama bidang kontrol yang ada. Kemudian, Anda dapat memindahkan beberapa workload ke revisi baru, yang memungkinkan Anda memantau efek upgrade dengan sebagian kecil beban kerja sebelum memigrasikan semua traffic ke revisi baru.
S
- penamaan yang aman
- Identitas server dienkode dalam sertifikat, tetapi nama layanan diambil melalui layanan penemuan atau DNS. Informasi penamaan yang aman
memetakan identitas server ke nama layanan. Pemetaan identitas A ke
nama layanan B berarti "A diizinkan untuk menjalankan layanan B". Bidang kontrol
mengamati
apiserver
, menghasilkan pemetaan penamaan yang aman, dan mendistribusikannya dengan aman ke proxy file bantuan. - mesh layanan
- Mesh layanan atau biasa disebut mesh adalah lapisan infrastruktur yang memungkinkan komunikasi yang terkelola, dapat diamati, dan aman antara instance beban kerja.
- file bantuan
- Pola untuk menjalankan utilitas atau helper bersama beban kerja. Jika Anda menggunakan Kubernetes, file bantuan berjalan bersama container beban kerja dalam sebuah pod. Saat membahas mesh layanan, kata "file bantuan" sering digunakan untuk merujuk ke proxy.
T
- domain tepercaya
Domain kepercayaan terkait dengan root kepercayaan sistem dan merupakan bagian dari identitas beban kerja.
Anthos Service Mesh menggunakan domain kepercayaan untuk membuat semua identitas dalam mesh. Misalnya, dalam ID SPIFFE
spiffe://mytrustdomain.com/ns/default/sa/myname
, substringmytrustdomain.com
menentukan bahwa beban kerja berasal dari domain tepercaya yang disebutmytrustdomain.com
.Saat menggunakan Mesh CA, domain kepercayaan dibuat secara otomatis oleh Anthos Service Mesh. Ini didasarkan pada kumpulan beban kerja cluster.
Anda dapat memiliki satu atau beberapa domain kepercayaan dalam mesh multi-cluster, selama cluster tersebut memiliki root kepercayaan yang sama.
W
- beban kerja
- Beban kerja adalah aplikasi, layanan, atau program lain dalam container seperti tugas batch atau daemon yang berjalan di platform. Platformnya dapat berupa cluster Kubernetes, virtual machine, atau lingkungan lain seperti Google Distributed Cloud Virtual untuk Bare Metal. Beban kerja memiliki nama, namespace, dan ID unik. Di Kubernetes, beban kerja biasanya sesuai dengan Deployment, tetapi ada jenis beban kerja lainnya, seperti StatefulSet.
- WorkloadEntry
- Memungkinkan Anda untuk mendeskripsikan endpoint non-Kubernetes-Pod yang seharusnya menjadi bagian dari mesh, dan memperlakukannya sama seperti Pod Kubernetes. Dalam kasus ini, setiap VM terdaftar sebagai WorkloadEntry di mesh. Untuk informasi selengkapnya, lihat https://istio.io/latest/blog/2020/workload-entry/
- WorkloadGroup
- Menjelaskan kumpulan instance beban kerja. Lihat WorkloadGroup.
- Kumpulan Workload Identity
- Batas kepercayaan, juga dikenal sebagai domain kepercayaan Anthos Service Mesh.