Informationen zum Cloud Service Mesh

Cloud Service Mesh ist eine Suite von Tools, mit denen Sie eine zuverlässige, lokalen Service Mesh oder in Google Cloud.

Was ist ein Service Mesh?

Ein Service Mesh ist eine Architektur, die eine verwaltete, beobachtbare und sichere Kommunikation zwischen Ihren Diensten ermöglicht. Damit können Sie robuste Unternehmensanwendungen erstellen, die aus vielen Mikrodiensten in der ausgewählten Infrastruktur bestehen. Ein Service Mesh berücksichtigt alle gängigen Probleme bei der Ausführung eines Dienstes wie Monitoring, Netzwerk und Sicherheit mit konsistenten, leistungsstarken Tools, die es Dienstentwicklern und -betreibern ermöglichen, sich auf die Erstellung und Verwaltung nützlicher Anwendungen für ihre Nutzer zu konzentrieren.

Cloud Service Mesh basiert auf Istio, eine hoch konfigurierbare und leistungsstarke Open-Source-Service-Mesh-Plattform mit Tools und Funktionen, die branchenübliche Best Practices ermöglichen. Cloud Service Mesh ist in der gesamten Infrastruktur als einheitliche Ebene bereitgestellt. Dienstentwickler und -operatoren können ein umfassendes Feature-Set verwenden, ohne Änderungen am Anwendungscode vornehmen zu müssen.

Architektonisch besteht ein Service Mesh aus einer oder mehreren Steuerungsebenen und einer Datenebene. Das Service Mesh überwacht den gesamten Traffic über einen Proxy. In Kubernetes wird der Proxy von einem Sidecar-Muster zu den Mikrodiensten im Mesh-Netzwerk hinzu. Dieses Muster entkoppelt die Anwendungs- oder Geschäftslogik von Netzwerkfunktionen und ermöglicht es Entwicklern, sich auf die Funktionen zu konzentrieren, die das Unternehmen benötigt. Mit Service Meshes können Betriebsteams und Entwicklungsteams ihre Arbeit auch entkoppeln.

Wie kann mir Cloud Service Mesh helfen?

Mit Cloud Service Mesh können Sie GKE Enterprise testen und unterstützen Istio-Distribution, mit der Sie ein Service Mesh erstellen und bereitstellen können GKE in Google Cloud und anderen Plattformen mit umfassendem Google-Support.

Features

Cloud Service Mesh bietet eine Reihe von Features und Tools, mit denen Sie sichere, zuverlässige Dienste auf einheitliche Weise verwalten.

Trafficverwaltung

Cloud Service Mesh steuert den Trafficfluss zwischen Diensten in das Mesh (eingehender Traffic) und an externe Dienste (ausgehend). Sie konfigurieren und stellen Istio-kompatible benutzerdefinierte Ressourcen um diesen Traffic auf der L7-Ebene (Anwendungsebene) zu verwalten. Mit den benutzerdefinierten Ressourcen können Sie beispielsweise:

• Erstellen Sie Canary und Blaugrün Bereitstellungen.
• Eine genaue Kontrolle über bestimmte Routen für Dienste bereitstellen.
• Load-Balancing zwischen Diensten konfigurieren.
• Schutzschalter einrichten.

Cloud Service Mesh unterhält eine Dienstregistrierung für alle Dienste im Mesh, indem es Namen und die jeweiligen Endpunkte. Die Registry verwaltet die Verwaltung des Trafficflusses (z. B. IP-Adressen von Kubernetes-Pods). Durch die Verwendung dieser Dienst-Registry und das Ausführen der Proxys parallel zu den Diensten leitet das Mesh den Traffic an den entsprechenden Endpunkt weiter.

Informationen zur Sichtbarkeit

Die Cloud Service Mesh-Seiten in der Google Cloud Console bieten Folgendes: Informationen zu Ihrem Service Mesh erhalten:

• Dienstmesswerte und Logs für HTTP-Traffic innerhalb des GKE-Clusters des Mesh-Netzwerks werden automatisch in Google Cloud aufgenommen.

• Vorkonfigurierte Dienst-Dashboards liefern Ihnen hilfreiche Informationen zu Ihren Diensten.

• Mithilfe der detaillierten Telemetriedaten von Cloud Monitoring, Cloud Logging und Cloud Trace erhalten Sie detaillierte Informationen zu Dienstmesswerten und Logs. Sie können Ihre Daten nach einer Vielzahl von Attributen filtern und segmentieren.

• Mit dem Überblick über die Dienst-zu-Dienst-Beziehungen können Sie sofort erkennen, wer sich mit dem jeweiligen Dienst verbindet und welche Abhängigkeiten bestehen.

• Sie können schnell den Kommunikationssicherheitsstatus nicht nur für den Dienst, sondern auch für seine Beziehungen zu anderen Diensten sehen.

• Service Level Objectives (SLOs) geben Ihnen einen Einblick in den Status Ihrer Dienste. Sie können jederzeit neue SLOs und Warnungen für Ihre eigenen Anforderungen in Bezug auf den Dienststatus definieren.

Weitere Informationen zu den Beobachtbarkeitsfunktionen von Cloud Service Mesh finden Sie in unserer Leitfaden zur Beobachtbarkeit

Sicherheitsvorteile

• Verminderung des Risikos von Replay- oder Imitationsangriffen, bei denen gestohlene Anmeldedaten verwendet werden. Cloud Service Mesh stützt sich zur Authentifizierung auf gegenseitige TLS-Zertifikate (mTLS) Peers statt Inhabertokens wie JSON-Webtokens (JWT):

• Sicherstellen der Verschlüsselung während der Übertragung. Durch die Verwendung von mTLS für die Authentifizierung wird außerdem sichergestellt, dass alle TCP-Kommunikationen bei der Übertragung verschlüsselt werden.

• Nur autorisierte Clients können auf einen Dienst mit vertraulichen Daten zugreifen, unabhängig vom Netzwerkstandort des Clients und den Anmeldedaten auf Anwendungsebene.

• Verminderung des Risikos von Verstößen gegen Nutzerdaten in Ihrem Produktionsnetzwerk. Sie können gewährleisten, dass Insider nur über autorisierte Clients auf vertrauliche Daten zugreifen können.

• Identifikation von Clients, die auf einen Dienst mit vertraulichen Daten zugegriffen haben. Das Cloud Service Mesh-Zugriffs-Logging erfasst die mTLS-Identität des Clients in zusätzlich zur IP-Adresse.

• Alle Komponenten und Proxys in der clusterinternen Steuerungsebene verwenden gemäß FIPS 140–2 validierte Verschlüsselungsmodule.

Weitere Informationen zu den Sicherheitsvorteilen und -funktionen von Cloud Service Mesh finden Sie in unserer Sicherheitsleitfaden.

Optionen der Bereitstellung

In Cloud Service Mesh haben Sie die folgenden Bereitstellungsoptionen:

• Verwaltetes Cloud Service Mesh
• Clusterinterne Steuerungsebene

Verwaltetes Anthos Service Mesh

Das verwaltete Cloud Service Mesh besteht aus der verwalteten Steuerungsebene und den verwalteten Daten. Flugzeug. Mit verwaltetem Cloud Service Mesh übernimmt Google Upgrades, Skalierungen und die manuelle Wartung der Nutzer minimieren. Mit der verwaltete Datenebene aktiviert ist, installiert Google einen clusterinternen Controller, der die die Sidecar-Proxys für Sie.

Das folgende Diagramm zeigt die Cloud Service Mesh-Komponenten und -Features für verwaltetes Cloud Service Mesh:

Informationen zum Einrichten oder Migrieren an ein verwaltetes Cloud Service Mesh, siehe Stellen Sie das verwaltete Cloud Service Mesh bereit.

Clusterinterne Steuerungsebene

Das folgende Diagramm zeigt die Komponenten und Features von Cloud Service Mesh für die clusterinterne Steuerungsebene und die Sidecar-Proxys.

Informationen zum Installieren eines Cloud Service Mesh im Cluster finden Sie unter Installieren Sie das Cloud Service Mesh.

Nächste Schritte

• Cloud Service Mesh installieren
• Transportsicherheit konfigurieren