Anthos Service Mesh è una suite di strumenti che consente di monitorare e gestire un mesh di servizi affidabile on-premise o su Google Cloud.
Che cos'è un mesh di servizi?
Un mesh di servizi è un'architettura che consente comunicazioni gestite, osservabili e sicure tra i tuoi servizi, consentendoti di creare applicazioni aziendali solide composte da molti microservizi sull'infrastruttura scelta. I mesh di servizi tengono conto di tutti i problemi comuni legati all'esecuzione di un servizio, come monitoraggio, networking e sicurezza, con strumenti coerenti e potenti. In questo modo, gli sviluppatori e gli operatori di servizi possono concentrarsi più facilmente sulla creazione e sulla gestione di applicazioni straordinarie per i propri utenti.
Anthos Service Mesh si basa su Istio, una piattaforma mesh di servizi open source altamente configurabile, con strumenti e funzionalità che consentono di seguire le best practice del settore. Anthos Service Mesh viene distribuito come livello uniforme nell'intera infrastruttura. Gli sviluppatori e gli operatori di servizi possono utilizzare il proprio set di funzionalità avanzate senza apportare modifiche al codice dell'applicazione.
Dal punto di vista dell'architettura, un mesh di servizi è costituito da uno o più piani di controllo e un piano dati. Il mesh di servizi monitora tutto il traffico attraverso un proxy. Su Kubernetes, il deployment del proxy viene eseguito tramite un pattern collaterale ai microservizi nel mesh. Sulle macchine virtuali (VM), il proxy è installato al suo interno. Questo pattern separa l'applicazione o la logica di business dalle funzioni di rete e consente agli sviluppatori di concentrarsi sulle funzionalità di cui l'azienda ha bisogno. I mesh di servizi consentono inoltre ai team operativi e ai team di sviluppo di disaccoppiare il proprio lavoro l'uno dall'altro.
In che modo Anthos Service Mesh può aiutarmi?
Con Anthos Service Mesh, puoi usufruire di una distribuzione GKE Enterprise testata e supportata di Istio, che ti consente di creare ed eseguire il deployment di un mesh di servizi su GKE su Google Cloud e su altre piattaforme con il supporto completo di Google.
Funzionalità
Anthos Service Mesh offre una suite di funzionalità e strumenti che ti consentono di osservare e gestire servizi sicuri e affidabili in modo unificato.
Gestione del traffico
Anthos Service Mesh controlla il flusso del traffico tra i servizi, nel mesh (in entrata) e nei servizi esterni (in uscita). Puoi configurare ed eseguire il deployment di risorse personalizzate compatibili con Istio per gestire questo traffico a livello di applicazione (L7). Ad esempio, con le risorse personalizzate puoi:
- Crea deployment canary e blu-verde.
- Fornisci un controllo granulare su route specifiche per i servizi.
- Configura il bilanciamento del carico tra i servizi.
- Configura gli interruttori di sicurezza.
Anthos Service Mesh gestisce un registro dei servizi di tutti i servizi nel mesh per nome e in base ai rispettivi endpoint. Gestisce il registry per gestire il flusso di traffico (ad esempio, gli indirizzi IP dei pod di Kubernetes). Utilizzando questo registro di servizi ed eseguendo i proxy accanto ai servizi, la rete mesh può indirizzare il traffico all'endpoint appropriato.
Insight sull'osservabilità
Le pagine di Anthos Service Mesh nella console Google Cloud forniscono le seguenti informazioni sul mesh di servizi:
Le metriche e i log di servizio per il traffico HTTP all'interno del cluster GKE del tuo mesh vengono importati automaticamente in Google Cloud.
Le dashboard dei servizi preconfigurate forniscono le informazioni necessarie per comprendere i servizi.
La telemetria approfondita, basata su Cloud Monitoring, Cloud Logging e Cloud Trace, ti consente di approfondire le metriche e i log dei tuoi servizi. Puoi filtrare e suddividere i dati in base a un'ampia gamma di attributi.
La panoramica delle relazioni tra servizi consente di capire chi si connette a ciascun servizio e da quali servizi dipende.
Puoi vedere rapidamente il livello di sicurezza della comunicazione non solo del tuo servizio, ma anche delle sue relazioni con gli altri servizi.
Gli obiettivi del livello di servizio (SLO) forniscono insight sull'integrità dei servizi. Puoi definire facilmente uno SLO e avvisi sui tuoi standard di integrità dei servizi.
Scopri di più sulle funzionalità di osservabilità di Anthos Service Mesh nella nostra guida sull'osservabilità.
Vantaggi per la sicurezza
Riduce il rischio di attacchi di riproduzione o furto d'identità che utilizzano credenziali rubate. Anthos Service Mesh si basa su certificati mTLS (mutual TLS) per l'autenticazione dei peer, anziché token di connessione come i token web JSON (JWT).
Garantisce la crittografia in transito. L'uso di mTLS per l'autenticazione assicura inoltre che tutte le comunicazioni TCP siano criptate in transito.
Assicura che solo i client autorizzati possano accedere a un servizio con dati sensibili, indipendentemente dalla località di rete del client e dalle credenziali a livello di applicazione.
Riduce il rischio di violazione dei dati utente all'interno della tua rete di produzione. Puoi assicurarti che gli addetti ai lavori possano accedere ai dati sensibili solo tramite clienti autorizzati.
Identifica quali client hanno eseguito l'accesso a un servizio con dati sensibili. Il logging degli accessi di Anthos Service Mesh acquisisce l'identità mTLS del client oltre all'indirizzo IP.
Tutti i componenti e i proxy del piano di controllo nel cluster utilizzano moduli di crittografia convalidati FIPS 140-2.
Scopri di più sui vantaggi e sulle funzionalità di sicurezza di Anthos Service Mesh nella nostra guida alla sicurezza.
Opzioni di relative al deployment
In Anthos Service Mesh 10.3 e versioni successive, sono disponibili le seguenti opzioni di deployment:
- Piano di controllo in-cluster
- Anthos Service Mesh gestito
- Includi le VM di Compute Engine nel mesh di servizi.
Piano di controllo in-cluster
Il seguente diagramma mostra i componenti e le funzionalità di Anthos Service Mesh per il piano di controllo nel cluster e i proxy sidecar.
Anthos Service Mesh gestito
Anthos Service Mesh gestito è costituito dal piano di controllo gestito da Google e in Anthos Service Mesh 1.10.4 e versioni successive puoi facoltativamente abilitare il piano dati gestito da Google. Con Anthos Service Mesh gestito, Google gestisce gli upgrade, la scalabilità e la sicurezza per consentirti di ridurre al minimo la manutenzione manuale degli utenti. Quando abiliti il piano dati gestito da Google, aggiungi un'annotazione agli spazi dei nomi che installa un controller nel cluster che gestisce per te i proxy sidecar.
Il seguente diagramma mostra i componenti e le funzionalità di Anthos Service Mesh per Anthos Service Mesh gestito:
Per informazioni sulla configurazione o la migrazione ad Anthos Service Mesh gestito, consulta Configurazione di Anthos Service Mesh gestito.
Anthos Service Mesh per VM di Compute Engine
Anthos Service Mesh per le VM di Compute Engine è disponibile come funzionalità di anteprima. Puoi gestire, osservare e proteggere i servizi in esecuzione sui gruppi di istanze gestite (MIG) di Compute Engine e su GKE sui cluster Google Cloud nella stessa rete mesh. Puoi combinare e scegliere l'ambiente migliore per l'esecuzione dei tuoi servizi sfruttando al contempo i vantaggi di Anthos Service Mesh. Il seguente diagramma mostra un gruppo di istanze gestite nella stessa rete di servizio di un cluster GKE:
Per ulteriori informazioni, consulta Aggiungere VM di Compute Engine ad Anthos Service Mesh.