Informazioni su Cloud Service Mesh

Cloud Service Mesh è una suite di strumenti che consente di monitorare e gestire un ambiente mesh di servizi on-premise o su Google Cloud.

Che cos'è un'infrastruttura mesh di servizi?

Un mesh di servizi è un'architettura che consente comunicazioni gestite, osservabili e sicure tra i tuoi servizi, consentendoti di creare applicazioni aziendali solide composte da molti microservizi sull'infrastruttura scelta. I mesh di servizi tengono conto di tutti i problemi comuni legati all'esecuzione di un servizio, come il monitoraggio, il networking e la sicurezza con strumenti coerenti e potenti, per gli sviluppatori e gli operatori di servizi è più facile concentrarsi sulla creazione e sulla gestione applicazioni straordinarie per i propri utenti.

Cloud Service Mesh è basato su Istio, una piattaforma di mesh di servizi open source altamente configurabile e potente, con strumenti e funzionalità che consentono le best practice del settore. Cloud Service Mesh viene distribuito come livello uniforme nell'intera infrastruttura. Gli sviluppatori e gli operatori di servizi possono utilizzare la sua ricca gamma di funzionalità senza apportare modifiche al codice dell'applicazione.

Dal punto di vista dell'architettura, un mesh di servizi è costituito da uno o più piani di controllo e da un piano dati. Il mesh di servizi monitora tutto il traffico tramite un proxy. In Kubernetes, il deployment del proxy viene eseguito pattern collaterale ai microservizi nel mesh. Questo pattern disaccoppia l'applicazione o l'attività logica dalle funzioni di rete e consente agli sviluppatori di concentrarsi sulle caratteristiche di cui l'azienda ha bisogno. Le mesh di servizi consentono inoltre ai team di operazioni e ai team di sviluppo di disaccoppiare il proprio lavoro.

In che modo Cloud Service Mesh può essermi utile?

Con Cloud Service Mesh, puoi usufruire di una distribuzione di Istio testata e supportata da GKE Enterprise, che ti consente di creare e implementare un service mesh su GKE su Google Cloud e altre piattaforme con il pieno supporto di Google.

Funzionalità

Cloud Service Mesh offre una suite di funzionalità e strumenti che ti aiutano a osservare e gestire servizi sicuri e affidabili in modo unificato.

Gestione del traffico

Cloud Service Mesh controlla il flusso di traffico tra i servizi nel mesh (in entrata) e verso servizi esterni (in uscita). Configura e esegui il deployment di risorse personalizzate compatibili con Istio per gestire questo traffico a livello di applicazione (L7). Ad esempio, con le risorse personalizzate puoi:

• Crea canary e blu-verde deployment di machine learning.
• Fornire un controllo granulare su route specifiche per i servizi.
• Configura il bilanciamento del carico tra i servizi.
• Configura gli interruttori di sicurezza.

Cloud Service Mesh gestisce un registro di servizi di tutti i servizi nel mesh nome e dai rispettivi endpoint. Conserva il registry per gestire di traffico (ad esempio, indirizzi IP dei pod di Kubernetes). Utilizzando questo registro dei servizi ed eseguendo i proxy uno accanto ai servizi, il mesh può indirizzare il traffico all'endpoint appropriato.

Insight sull'osservabilità

Le pagine di Cloud Service Mesh nella console Google Cloud forniscono le seguenti informazioni sul tuo service mesh:

• Le metriche e i log dei servizi per il traffico HTTP all'interno del cluster GKE del tuo mesh vengono importati automaticamente in Google Cloud.

• Le dashboard dei servizi preconfigurate forniscono le informazioni necessarie per comprendere i tuoi servizi.

• La telemetria approfondita, basata su Cloud Monitoring, Cloud Logging e Cloud Trace, ti consente di approfondire le metriche e i log dei tuoi servizi. Puoi filtrare e suddividere i dati in base a una vasta gamma di attributi.

• Le relazioni tra servizi a colpo d'occhio ti aiutano a capire chi si connette a ciascun servizio e i servizi di cui ciascun servizio dipende.

• Puoi visualizzare rapidamente la posizione di sicurezza delle comunicazioni non solo del tuo servizio, ma anche delle sue relazioni con altri servizi.

• Gli obiettivi del livello di servizio (SLO) ti forniscono informazioni sullo stato di integrità dei tuoi servizi. Puoi definire facilmente uno SLO e creare avvisi in base ai tuoi standard l'integrità del servizio.

Scopri di più sulle funzionalità di osservabilità di Cloud Service Mesh nella nostra guida all'osservabilità.

Vantaggi per la sicurezza

• Minimizza il rischio di attacchi di ripetizione o di impersonificazione che utilizzano le credenziali rubate. Cloud Service Mesh utilizza certificati TLS reciproci (mTLS) per l'autenticazione peer, anziché token di connessione come JSON Web Tokens (JWT).

• Assicura la crittografia in transito. L'utilizzo di mTLS per l'autenticazione garantisce inoltre che tutte le comunicazioni TCP siano criptate in transito.

• Garantisce che solo i client autorizzati possano accedere a un servizio con dati sensibili, indipendentemente dalla località di rete del client e a livello di applicazione e credenziali.

• Riduce il rischio di violazione dei dati utente all'interno della tua rete di produzione. Puoi assicurarti che gli addetti ai lavori possano accedere ai dati sensibili solo tramite client autorizzati.

• Identifica i client che hanno eseguito l'accesso a un servizio con dati sensibili. I log di accesso di Cloud Service Mesh acquisiscono l'identità mTLS del client oltre all'indirizzo IP.

• Tutti i componenti e i proxy del piano di controllo nel cluster utilizzano Crittografia convalidata FIPS 140-2 moduli.

Scopri di più sui vantaggi e sulle funzionalità di sicurezza di Cloud Service Mesh nel nostro Guida alla sicurezza.

Opzioni di implementazione

In Cloud Service Mesh hai le seguenti opzioni di deployment:

• Cloud Service Mesh gestito
• Piano di controllo in-cluster

Anthos Service Mesh gestito

Cloud Service Mesh gestito è costituito dal piano di controllo gestito e dal piano di dati gestito. Con Cloud Service Mesh gestito, Google gestisce gli upgrade, la scalabilità e la sicurezza al posto tuo, riducendo al minimo la manutenzione manuale da parte dell'utente. Con abilitato, Google installa un controller in-cluster che gestisce i proxy collaterali per te.

Il seguente diagramma mostra i componenti e le funzionalità di Cloud Service Mesh per Cloud Service Mesh gestito:

Per informazioni sulla configurazione o la migrazione a un Cloud Service Mesh gestito, consulta Esegui il provisioning di Cloud Service Mesh gestito.

Piano di controllo in-cluster

Il seguente diagramma mostra i componenti e le funzionalità di Cloud Service Mesh per il piano di controllo in cluster e i proxy sidecar.

Per informazioni sull'installazione di Cloud Service Mesh nel cluster, consulta Installa Cloud Service Mesh.

Passaggi successivi

• Installa Cloud Service Mesh
• Configurare la sicurezza del trasporto