Acerca da Cloud Service Mesh

O Cloud Service Mesh é um conjunto de ferramentas que ajuda a monitorizar e gerir uma malha de serviços fiável no local ou no Google Cloud.

O que é uma malha de serviços?

Uma malha de serviços é uma arquitetura que permite uma comunicação gerida, observável e segura entre os seus serviços, o que lhe permite criar aplicações empresariais robustas compostas por muitos microsserviços na infraestrutura escolhida. As malhas de serviço têm em conta todas as preocupações comuns da execução de um serviço, como a monitorização, a rede e a segurança, com ferramentas consistentes e poderosas, o que facilita aos programadores e operadores de serviços a concentração na criação e gestão de excelentes aplicações para os respetivos utilizadores.

A malha de serviço na nuvem é baseada no Istio, uma plataforma de malha de serviço de código aberto altamente configurável e potente, com ferramentas e funcionalidades que permitem as práticas recomendadas da indústria. A malha de serviços na nuvem é implementada como uma camada uniforme em toda a sua infraestrutura. Os programadores e os operadores de serviços podem usar o respetivo conjunto de funcionalidades avançadas sem fazer alterações ao código da aplicação.

Do ponto de vista da arquitetura, uma malha de serviços consiste num ou mais planos de controlo e num plano de dados. A malha de serviços monitoriza todo o tráfego através de um proxy. No Kubernetes, o proxy é implementado por um padrão de sidecar para os microserviços na malha. Este padrão desvincula a lógica da aplicação ou da empresa das funções de rede e permite que os programadores se concentrem nas funcionalidades de que a empresa precisa. As malhas de serviços também permitem que as equipas de operações e as equipas de desenvolvimento desassociem o respetivo trabalho.

Como é que a Cloud Service Mesh me pode ajudar?

Com o Cloud Service Mesh, recebe uma distribuição do Istio testada e suportada pelo GKE Enterprise, o que lhe permite criar e implementar uma malha de serviços no GKE e noutras plataformas com apoio técnico completo da Google. Google Cloud

Funcionalidades

O Cloud Service Mesh tem um conjunto de funcionalidades e ferramentas que ajudam a observar e gerir serviços seguros e fiáveis de forma unificada.

Gestão de tráfego

O Cloud Service Mesh controla o fluxo de tráfego entre serviços, para a malha (entrada) e para serviços externos (saída). Configura e implementa recursos personalizados compatíveis com o Istio para gerir este tráfego na camada de aplicação (L7). Por exemplo, com os recursos personalizados, pode:

• Crie implementações canary e azul-verde.
• Oferecer controlo detalhado sobre rotas específicas para serviços.
• Configurar o equilíbrio de carga entre serviços.
• Configure disjuntores.

O Cloud Service Mesh mantém um registo de serviços de todos os serviços na malha por nome e pelos respetivos pontos finais. Mantém o registo para gerir o fluxo de tráfego (por exemplo, endereços IP de pods do Kubernetes). Ao usar este registo de serviços e executar os proxies lado a lado com os serviços, a malha pode direcionar o tráfego para o ponto final adequado.

Estatísticas de observabilidade

As páginas do Cloud Service Mesh na Google Cloud consola fornecem as seguintes estatísticas sobre a sua malha de serviços:

• As métricas e os registos de serviços para o tráfego HTTP no cluster do GKE da sua malha são carregados automaticamente para o Google Cloud.

• Os painéis de controlo de serviços pré-configurados dão-lhe as informações de que precisa para compreender os seus serviços.

• A telemetria detalhada, com tecnologia do Cloud Monitoring, Cloud Logging e Cloud Trace, permite-lhe analisar detalhadamente as métricas e os registos do seu serviço. Pode filtrar e segmentar os seus dados numa grande variedade de atributos.

• As relações entre serviços num relance ajudam a compreender quem se liga a cada serviço e os serviços dos quais cada serviço depende.

• Pode ver rapidamente a postura de segurança da comunicação não só do seu serviço, mas também das respetivas relações com outros serviços.

• Os objetivos ao nível do serviço (SLOs) dão-lhe estatísticas sobre o estado dos seus serviços. Pode definir facilmente um SLO e receber alertas com base nos seus próprios padrões de estado do serviço.

Saiba mais sobre as funcionalidades de observabilidade do Cloud Service Mesh no nosso guia de observabilidade.

Vantagens de segurança

• Mitiga o risco de ataques de repetição ou roubo de identidade que usam credenciais roubadas. O Cloud Service Mesh baseia-se em certificados TLS mútuos (mTLS) para autenticar pares, em vez de tokens de portador, como tokens da Web JSON (JWT).

• Garante a encriptação em trânsito. A utilização do mTLS para autenticação também garante que todas as comunicações TCP são encriptadas em trânsito.

• Garante que apenas os clientes autorizados podem aceder a um serviço com dados confidenciais, independentemente da localização de rede do cliente e das credenciais ao nível da aplicação.

• Mitiga o risco de violação de dados de utilizadores na sua rede de produção. Pode garantir que os intervenientes só podem aceder a dados confidenciais através de clientes autorizados.

• Identifica os clientes que acederam a um serviço com dados sensíveis. O registo de acesso da malha de serviços na nuvem captura a identidade mTLS do cliente, além do endereço IP.

• Todos os componentes e proxies do plano de controlo no cluster usam módulos de encriptação validados pela FIPS 140-2.

Saiba mais sobre as vantagens e as funcionalidades de segurança do Cloud Service Mesh no nosso guia de segurança.

Opções de implementação

Tem as seguintes opções de implementação na Cloud Service Mesh:

• Managed Cloud Service Mesh
• Painel de controlo no cluster

Anthos Service Mesh gerido

A malha de serviços na nuvem gerida consiste no plano de controlo gerido e no plano de dados gerido. Com a malha de serviços na nuvem gerida, a Google processa as atualizações, o escalonamento e a segurança por si, minimizando a manutenção manual do utilizador. Com o plano de dados gerido ativado, a Google instala um controlador no cluster que gere os proxies sidecar por si.

O diagrama seguinte mostra os componentes e as funcionalidades da malha de serviço na nuvem para a malha de serviço na nuvem gerida:

Para obter informações sobre a configuração ou a migração para uma malha de serviços na nuvem gerida, consulte o artigo Aprovisione uma malha de serviços na nuvem gerida.

Painel de controlo no cluster

O diagrama seguinte mostra os componentes e as funcionalidades do Cloud Service Mesh para o plano de controlo no cluster e os proxies sidecar.

Para ver informações sobre a instalação de um Cloud Service Mesh no cluster, consulte o artigo Instalar o Cloud Service Mesh.

O que se segue?

• Instale o Cloud Service Mesh
• Configure a segurança de transporte