Informazioni su Cloud Service Mesh

Cloud Service Mesh è una suite di strumenti che ti aiuta a monitorare e gestire un mesh di servizi affidabile on-premise o su Google Cloud.

Che cos'è un'infrastruttura mesh di servizi?

Un mesh di servizi è un'architettura che consente comunicazioni gestite, osservabili e sicure tra i tuoi servizi, consentendoti di creare applicazioni aziendali solide composte da molti microservizi sull'infrastruttura scelta. I mesh di servizi risolvono tutti i problemi comuni legati all'esecuzione di un servizio, come monitoraggio, networking e sicurezza, con strumenti coerenti e potenti, consentendo agli sviluppatori e agli operatori di servizi di concentrarsi sulla creazione e sulla gestione di applicazioni straordinarie per i propri utenti.

Cloud Service Mesh è basato su Istio, una piattaforma di mesh di servizi open source altamente configurabile e potente, con strumenti e funzionalità che consentono le best practice del settore. Cloud Service Mesh viene distribuito come livello uniforme nell'intera infrastruttura. Gli sviluppatori e gli operatori di servizi possono utilizzare la sua ricca gamma di funzionalità senza apportare modifiche al codice dell'applicazione.

Dal punto di vista dell'architettura, un mesh di servizi è costituito da uno o più piani di controllo e da un piano dati. Il mesh di servizi monitora tutto il traffico tramite un proxy. In Kubernetes, il proxy viene disegnato da un pattern sidecar ai microservizi nel mesh. Questo pattern separa l'applicazione o la logica di business dalle funzioni di rete e consente agli sviluppatori di concentrarsi sulle funzionalità di cui l'attività ha bisogno. Le mesh di servizi consentono inoltre ai team di operazioni e ai team di sviluppo di disaccoppiare il proprio lavoro.

In che modo Cloud Service Mesh può essermi utile?

Con Cloud Service Mesh, puoi usufruire di una distribuzione di Istio testata e supportata da GKE Enterprise, che ti consente di creare e implementare un mesh di servizi su GKE su Google Cloud e altre piattaforme con il pieno supporto di Google.

Funzionalità

Cloud Service Mesh offre una suite di funzionalità e strumenti che ti aiutano a osservare e gestire servizi sicuri e affidabili in modo unificato.

Gestione del traffico

Cloud Service Mesh controlla il flusso di traffico tra i servizi, all'interno del mesh (ingress) e verso i servizi esterni (egress). Configura e esegui il deployment di risorse personalizzate compatibili con Istio per gestire questo traffico a livello di applicazione (L7). Ad esempio, con le risorse personalizzate puoi:

Cloud Service Mesh gestisce un registry di tutti i servizi della mesh per nome e per i rispettivi endpoint. Gestisce il registry per gestire il flusso di traffico (ad esempio gli indirizzi IP dei pod Kubernetes). Utilizzando questo registry dei servizi ed eseguendo i proxy insieme ai servizi, la mesh può indirizzare il traffico all'endpoint appropriato.

Approfondimenti sull'osservabilità

Le pagine di Cloud Service Mesh nella console Google Cloud forniscono le seguenti informazioni sul tuo mesh di servizi:

  • Le metriche e i log dei servizi per il traffico HTTP all'interno del cluster GKE del tuo mesh vengono importati automaticamente in Google Cloud.

  • Le dashboard dei servizi preconfigurate forniscono le informazioni necessarie per comprendere i tuoi servizi.

  • La telemetria approfondita, basata su Cloud Monitoring, Cloud Logging e Cloud Trace, ti consente di approfondire le metriche e i log dei tuoi servizi. Puoi filtrare e suddividere i dati in base a una vasta gamma di attributi.

  • Le relazioni tra servizi a colpo d'occhio ti aiutano a capire chi si connette a ciascun servizio e i servizi di cui ciascun servizio dipende.

  • Puoi visualizzare rapidamente la posizione di sicurezza delle comunicazioni non solo del tuo servizio, ma anche delle sue relazioni con altri servizi.

  • Gli obiettivi del livello di servizio (SLO) ti forniscono informazioni sullo stato di integrità dei tuoi servizi. Puoi definire facilmente uno SLO e un avviso in base ai tuoi standard di stato del servizio.

Scopri di più sulle funzionalità di osservabilità di Cloud Service Mesh nella nostra guida all'osservabilità.

Vantaggi per la sicurezza

  • Riduce il rischio di attacchi di replay o di furto d'identità che utilizzano credenziali rubate. Cloud Service Mesh si basa su certificati TLS reciproci (mTLS) per autenticare i peer, anziché su token bearer come i token web JSON (JWT).

  • Garantisce la crittografia dei dati in transito. L'utilizzo di mTLS per l'autenticazione garantisce inoltre che tutte le comunicazioni TCP siano criptate in transito.

  • Garantisce che solo i client autorizzati possano accedere a un servizio con dati sensibili, indipendentemente dalla posizione di rete del client e dalle credenziali a livello di applicazione.

  • Riduce il rischio di violazione dei dati utente all'interno della rete di produzione. Puoi assicurarti che gli addetti ai lavori possano accedere ai dati sensibili solo tramite client autorizzati.

  • Identifica i client che hanno eseguito l'accesso a un servizio con dati sensibili. I log di accesso di Cloud Service Mesh acquisiscono l'identità mTLS del client oltre all'indirizzo IP.

  • Tutti i componenti del piano di controllo in-cluster e i proxy utilizzano moduli di crittografia convalidati FIPS 140-2.

Scopri di più sui vantaggi e sulle funzionalità di sicurezza di Cloud Service Mesh nella nostra guida alla sicurezza.

Opzioni di implementazione

In Cloud Service Mesh sono disponibili le seguenti opzioni di deployment:

  • Cloud Service Mesh gestito
  • Piano di controllo in-cluster

Anthos Service Mesh gestito

Cloud Service Mesh gestito è costituito dal piano di controllo gestito e dal piano di dati gestito. Con Cloud Service Mesh gestito, Google gestisce gli upgrade, la scalabilità e la sicurezza al posto tuo, riducendo al minimo la manutenzione manuale da parte dell'utente. Con il piano dati gestito abilitato, Google installa un controller in-cluster che gestisce i proxy sidecar per te.

Il seguente diagramma mostra i componenti e le funzionalità di Cloud Service Mesh per Cloud Service Mesh gestito:

Cloud Service Mesh gestito

Per informazioni sulla configurazione o sulla migrazione a un Cloud Service Mesh gestito, consulta Eseguire il provisioning di Cloud Service Mesh gestito.

Piano di controllo in-cluster

Il seguente diagramma mostra i componenti e le funzionalità di Cloud Service Mesh per il piano di controllo in cluster e i proxy sidecar.

Architettura del mesh di servizi con piano di controllo in-cluster

Per informazioni sull'installazione di Cloud Service Mesh nel cluster, consulta Installare Cloud Service Mesh.

Passaggi successivi