Informazioni su Cloud Service Mesh
Cloud Service Mesh è una suite di strumenti che consente di monitorare e gestire un ambiente mesh di servizi on-premise o su Google Cloud.
Che cos'è un mesh di servizi?
Un mesh di servizi è un'architettura che consente una soluzione gestita, osservabile e sicura comunicazione tra i tuoi servizi, per creare solide funzionalità costituite da molti microservizi sull'infrastruttura scelta. I mesh di servizi tengono conto di tutti i problemi comuni legati all'esecuzione di un servizio, come il monitoraggio, il networking e la sicurezza con strumenti coerenti e potenti, per gli sviluppatori e gli operatori di servizi è più facile concentrarsi sulla creazione e sulla gestione applicazioni straordinarie per i propri utenti.
Cloud Service Mesh è basato su Istio, una piattaforma mesh di servizi open source potente e configurabile, con di strumenti e funzionalità che abilitano le best practice del settore. Cloud Service Mesh è distribuiti come livello uniforme in tutta l'infrastruttura. Servizio sviluppatori e operatori possono utilizzare il suo ricco set di funzionalità senza apportare modifiche a il codice dell'applicazione.
Dal punto di vista architetturale, un mesh di servizi è costituito da uno o più piani di controllo e da una piano dati. Il mesh di servizi monitora tutto il traffico attraverso un proxy. In Kubernetes, il deployment del proxy viene eseguito pattern collaterale ai microservizi nel mesh. Questo pattern disaccoppia l'applicazione o l'attività logica dalle funzioni di rete e consente agli sviluppatori di concentrarsi sulle caratteristiche di cui l'azienda ha bisogno. I mesh di servizi consentono inoltre ai team operativi i team di sviluppo disaccoppiano il lavoro l'uno dall'altro.
In che modo Cloud Service Mesh può aiutarmi?
Con Cloud Service Mesh, puoi usufruire di un servizio GKE Enterprise testato e supportato di Istio, che ti permette di creare ed eseguire il deployment di un mesh di servizi GKE su Google Cloud e altri piattaforme con l'Assistenza Google completa.
Funzionalità
Cloud Service Mesh offre una suite di funzionalità e strumenti che ti aiutano a osservare e gestire servizi sicuri e affidabili in modo unificato.
Gestione del traffico
Cloud Service Mesh controlla il flusso di traffico tra i servizi nel mesh (in entrata) e verso servizi esterni (in uscita). La configurazione e il deployment Risorse personalizzate compatibili con Istio per gestire questo traffico al livello dell'applicazione (L7). Ad esempio, con di risorse personalizzate, puoi:
- Crea canary e blu-verde deployment di machine learning.
- Fornire un controllo granulare su route specifiche per i servizi.
- Configurare il bilanciamento del carico tra i servizi.
- Configura gli interruttori di sicurezza.
Cloud Service Mesh gestisce un registro di servizi di tutti i servizi nel mesh nome e dai rispettivi endpoint. Conserva il registry per gestire di traffico (ad esempio, indirizzi IP dei pod di Kubernetes). Utilizzando questo registro dei servizi ed eseguendo i proxy uno accanto ai servizi, il mesh può indirizzare il traffico all'endpoint appropriato.
Insight sull'osservabilità
Le pagine Cloud Service Mesh nella console Google Cloud forniscono quanto segue: insight sul tuo mesh di servizi:
Metriche di servizio e log per il traffico HTTP all'interno del mesh I cluster GKE vengono importati automaticamente in Google Cloud.
Le dashboard di servizio preconfigurate ti forniscono le informazioni che devi comprendere i tuoi servizi.
Telemetria approfondita basata su Cloud Monitoring, Cloud Logging e Cloud Trace: analizzare in dettaglio le metriche e i log dei tuoi servizi. Puoi filtrare e suddividere i dati dati su un'ampia varietà di attributi.
Il riepilogo delle relazioni tra servizi ti aiuta a capire a chi si collega ogni servizio e dai servizi da cui dipende.
Puoi vedere rapidamente il livello di sicurezza delle comunicazioni non solo del tuo servizio, ma dalle sue relazioni con altri servizi.
Gli obiettivi del livello di servizio (SLO) ti offrono insight sull'integrità del tuo i servizi di machine learning. Puoi definire facilmente uno SLO e creare avvisi in base ai tuoi standard l'integrità del servizio.
Scopri di più sulle funzionalità di osservabilità di Cloud Service Mesh nel nostro Guida all'osservabilità.
Vantaggi per la sicurezza
Riduce il rischio di attacchi di ripetizione o di impersonificazione che utilizzano le credenziali rubate. Cloud Service Mesh si basa su certificati TLS reciproci (mTLS) per l'autenticazione peer, anziché token di connessione come JSON Web Tokens (JWT).
Assicura la crittografia in transito. L'uso di mTLS per l'autenticazione garantisce inoltre tutte le comunicazioni TCP sono criptate in transito.
Garantisce che solo i client autorizzati possano accedere a un servizio con dati sensibili, indipendentemente dalla località di rete del client e a livello di applicazione e credenziali.
Riduce il rischio di violazione dei dati utente all'interno della tua rete di produzione. Puoi assicurarti che gli addetti ai lavori possano accedere ai dati sensibili solo tramite con i client autorizzati.
Identifica i client che hanno eseguito l'accesso a un servizio con dati sensibili. Il logging degli accessi di Cloud Service Mesh acquisisce l'identità mTLS del client oltre all'indirizzo IP.
Tutti i componenti e i proxy del piano di controllo nel cluster utilizzano Crittografia convalidata FIPS 140-2 moduli.
Scopri di più sui vantaggi e sulle funzionalità di sicurezza di Cloud Service Mesh nel nostro Guida alla sicurezza.
Opzioni di relative al deployment
In Cloud Service Mesh hai le seguenti opzioni di deployment:
- Mesh di servizi cloud gestito
- Piano di controllo in-cluster
Anthos Service Mesh gestito
Managed Cloud Service Mesh è costituito dal piano di controllo gestito e dai dati gestiti aereo. Con Cloud Service Mesh gestito, Google gestisce gli upgrade, la scalabilità la sicurezza, riducendo al minimo la manutenzione manuale dell'utente. Con abilitato, Google installa un controller in-cluster che gestisce i proxy collaterali per te.
Il seguente diagramma mostra i componenti e le funzionalità di Cloud Service Mesh per Cloud Service Mesh gestito:
Per informazioni sulla configurazione o la migrazione a un Cloud Service Mesh gestito, consulta Esegui il provisioning di Cloud Service Mesh gestito.
Piano di controllo in-cluster
Il seguente diagramma mostra i componenti e le funzionalità di Cloud Service Mesh per il piano di controllo nel cluster e i proxy sidecar.
Per informazioni sull'installazione di Cloud Service Mesh nel cluster, consulta Installa Cloud Service Mesh.