Informazioni su Cloud Service Mesh
Cloud Service Mesh è una suite di strumenti che ti aiuta a monitorare e gestire un mesh di servizi affidabile on-premise o su Google Cloud.
Che cos'è un mesh di servizi?
Un mesh di servizi è un'architettura che consente una soluzione gestita, osservabile e sicura comunicazione tra i tuoi servizi, per creare solide funzionalità costituite da molti microservizi sull'infrastruttura scelta. I mesh di servizi risolvono tutti i problemi comuni legati all'esecuzione di un servizio, come monitoraggio, networking e sicurezza, con strumenti coerenti e potenti, consentendo agli sviluppatori e agli operatori di servizi di concentrarsi sulla creazione e sulla gestione di applicazioni straordinarie per i propri utenti.
Cloud Service Mesh è basato su Istio, una piattaforma di mesh di servizi open source altamente configurabile e potente, con strumenti e funzionalità che consentono le best practice del settore. Cloud Service Mesh è distribuiti come livello uniforme in tutta l'infrastruttura. Servizio sviluppatori e operatori possono utilizzare il suo ricco set di funzionalità senza apportare modifiche a il codice dell'applicazione.
Dal punto di vista dell'architettura, un mesh di servizi è costituito da uno o più piani di controllo e da un piano dati. Il mesh di servizi monitora tutto il traffico tramite un proxy. In Kubernetes, il deployment del proxy viene eseguito pattern collaterale ai microservizi nel mesh. Questo pattern separa l'applicazione o la logica di business dalle funzioni di rete e consente agli sviluppatori di concentrarsi sulle funzionalità di cui l'attività ha bisogno. Le mesh di servizi consentono inoltre ai team di operazioni e ai team di sviluppo di disaccoppiare il proprio lavoro.
In che modo Cloud Service Mesh può essermi utile?
Con Cloud Service Mesh, puoi usufruire di un servizio GKE Enterprise testato e supportato di Istio, che ti permette di creare ed eseguire il deployment di un mesh di servizi GKE su Google Cloud e altri piattaforme con l'Assistenza Google completa.
Funzionalità
Cloud Service Mesh offre una suite di funzionalità e strumenti che ti aiutano a osservare e gestire in modo unificato servizi affidabili e sicuri.
Gestione del traffico
Cloud Service Mesh controlla il flusso di traffico tra i servizi nel mesh (in entrata) e verso servizi esterni (in uscita). Configura e esegui il deployment di risorse personalizzate compatibili con Istio per gestire questo traffico a livello di applicazione (L7). Ad esempio, con le risorse personalizzate puoi:
- Crea deployment canary e blu/verde.
- Forniscono un controllo granulare su percorsi specifici per i servizi.
- Configura il bilanciamento del carico tra i servizi.
- Configura gli interruttori di sicurezza.
Cloud Service Mesh gestisce un registro di servizi di tutti i servizi nel mesh nome e dai rispettivi endpoint. Gestisce il registry per gestire il flusso di traffico (ad esempio gli indirizzi IP dei pod Kubernetes). Utilizzando questo registry dei servizi ed eseguendo i proxy insieme ai servizi, la mesh può indirizzare il traffico all'endpoint appropriato.
Approfondimenti sull'osservabilità
Le pagine Cloud Service Mesh nella console Google Cloud forniscono quanto segue: insight sul tuo mesh di servizi:
Le metriche e i log dei servizi per il traffico HTTP all'interno del cluster GKE del tuo mesh vengono importati automaticamente in Google Cloud.
Le dashboard dei servizi preconfigurate forniscono le informazioni necessarie per comprendere i tuoi servizi.
Telemetria approfondita basata su Cloud Monitoring, Cloud Logging e Cloud Trace: analizzare in dettaglio le metriche e i log dei tuoi servizi. Puoi filtrare e suddividere i dati dati su un'ampia varietà di attributi.
Le relazioni tra servizi a colpo d'occhio ti aiutano a capire chi si connette a ciascun servizio e i servizi di cui ciascun servizio dipende.
Puoi vedere rapidamente il livello di sicurezza delle comunicazioni non solo del tuo servizio, ma dalle sue relazioni con altri servizi.
Gli obiettivi del livello di servizio (SLO) ti forniscono informazioni sullo stato di integrità dei tuoi servizi. Puoi definire facilmente uno SLO e creare avvisi in base ai tuoi standard l'integrità del servizio.
Scopri di più sulle funzionalità di osservabilità di Cloud Service Mesh nella nostra guida all'osservabilità.
Vantaggi per la sicurezza
Minimizza il rischio di attacchi di ripetizione o di impersonificazione che utilizzano le credenziali rubate. Cloud Service Mesh si basa su certificati TLS reciproci (mTLS) per autenticare i peer, anziché su token bearer come i token web JSON (JWT).
Garantisce la crittografia dei dati in transito. L'uso di mTLS per l'autenticazione garantisce inoltre tutte le comunicazioni TCP sono criptate in transito.
Garantisce che solo i client autorizzati possano accedere a un servizio con dati sensibili, indipendentemente dalla località di rete del client e a livello di applicazione e credenziali.
Riduce il rischio di violazione dei dati utente all'interno della tua rete di produzione. Puoi assicurarti che gli addetti ai lavori possano accedere ai dati sensibili solo tramite client autorizzati.
Identifica i client che hanno eseguito l'accesso a un servizio con dati sensibili. I log di accesso di Cloud Service Mesh acquisiscono l'identità mTLS del client oltre all'indirizzo IP.
Tutti i componenti e i proxy del piano di controllo nel cluster utilizzano Crittografia convalidata FIPS 140-2 moduli.
Scopri di più sui vantaggi e sulle funzionalità di sicurezza di Cloud Service Mesh nella nostra guida alla sicurezza.
Opzioni di implementazione
In Cloud Service Mesh sono disponibili le seguenti opzioni di deployment:
- Cloud Service Mesh gestito
- Piano di controllo in-cluster
Anthos Service Mesh gestito
Managed Cloud Service Mesh è costituito dal piano di controllo gestito e dai dati gestiti aereo. Con Cloud Service Mesh gestito, Google gestisce gli upgrade, la scalabilità la sicurezza, riducendo al minimo la manutenzione manuale dell'utente. Con abilitato, Google installa un controller in-cluster che gestisce i proxy collaterali per te.
Il seguente diagramma mostra i componenti e le funzionalità di Cloud Service Mesh per Cloud Service Mesh gestito:
Per informazioni sulla configurazione o la migrazione a un Cloud Service Mesh gestito, consulta Esegui il provisioning di Cloud Service Mesh gestito.
Piano di controllo in-cluster
Il seguente diagramma mostra i componenti e le funzionalità di Cloud Service Mesh per il piano di controllo nel cluster e i proxy sidecar.
Per informazioni sull'installazione di Cloud Service Mesh nel cluster, consulta Installare Cloud Service Mesh.