Stai visualizzando la documentazione di Service Mesh precedente alla versione 1.20.

Versioni disponibili

Cloud Service Mesh
Archivio 1.22
Archivio 1.21
Archivio 1.20
Archivio 1.19
Archivio 1.18

Questa pagina è stata tradotta dall'API Cloud Translation.

Informazioni su Cloud Service Mesh

Cloud Service Mesh è una suite di strumenti che ti aiuta a monitorare e gestire un mesh di servizi affidabile on-premise o su Google Cloud.

Che cos'è un mesh di servizi?

Un mesh di servizi è un'architettura che consente una soluzione gestita, osservabile e sicura comunicazione tra i tuoi servizi, per creare solide funzionalità costituite da molti microservizi sull'infrastruttura scelta. I mesh di servizi risolvono tutti i problemi comuni legati all'esecuzione di un servizio, come monitoraggio, networking e sicurezza, con strumenti coerenti e potenti, consentendo agli sviluppatori e agli operatori di servizi di concentrarsi sulla creazione e sulla gestione di applicazioni straordinarie per i propri utenti.

Cloud Service Mesh è basato su Istio, una piattaforma di mesh di servizi open source altamente configurabile e potente, con strumenti e funzionalità che consentono le best practice del settore. Cloud Service Mesh è distribuiti come livello uniforme in tutta l'infrastruttura. Servizio sviluppatori e operatori possono utilizzare il suo ricco set di funzionalità senza apportare modifiche a il codice dell'applicazione.

Dal punto di vista dell'architettura, un mesh di servizi è costituito da uno o più piani di controllo e da un piano dati. Il mesh di servizi monitora tutto il traffico tramite un proxy. In Kubernetes, il deployment del proxy viene eseguito pattern collaterale ai microservizi nel mesh. Questo pattern separa l'applicazione o la logica di business dalle funzioni di rete e consente agli sviluppatori di concentrarsi sulle funzionalità di cui l'attività ha bisogno. Le mesh di servizi consentono inoltre ai team di operazioni e ai team di sviluppo di disaccoppiare il proprio lavoro.

In che modo Cloud Service Mesh può aiutarmi?

Con Cloud Service Mesh, puoi usufruire di una distribuzione di Istio testata e supportata da GKE Enterprise, che ti consente di creare e implementare un service mesh su GKE su Google Cloud e altre piattaforme con il pieno supporto di Google.

Funzionalità

Cloud Service Mesh offre una suite di funzionalità e strumenti che ti aiutano a osservare e gestire in modo unificato servizi affidabili e sicuri.

Gestione del traffico

Cloud Service Mesh controlla il flusso di traffico tra i servizi nel mesh (in entrata) e verso servizi esterni (in uscita). Configura e esegui il deployment di risorse personalizzate compatibili con Istio per gestire questo traffico a livello di applicazione (L7). Ad esempio, con di risorse personalizzate, puoi:

Crea deployment canary e blu/verde.
Fornire un controllo granulare su route specifiche per i servizi.
Configurare il bilanciamento del carico tra i servizi.
Configura gli interruttori di sicurezza.

Cloud Service Mesh gestisce un registro di servizi di tutti i servizi nel mesh nome e dai rispettivi endpoint. Gestisce il registry per gestire il flusso di traffico (ad esempio gli indirizzi IP dei pod Kubernetes). Utilizzando questo registry dei servizi ed eseguendo i proxy insieme ai servizi, la mesh può indirizzare il traffico all'endpoint appropriato.

Approfondimenti sull'osservabilità

Le pagine di Cloud Service Mesh nella console Google Cloud forniscono le seguenti informazioni sul tuo service mesh:

Metriche di servizio e log per il traffico HTTP all'interno del mesh I cluster GKE vengono importati automaticamente in Google Cloud.
Le dashboard dei servizi preconfigurate forniscono le informazioni necessarie per comprendere i tuoi servizi.
La telemetria approfondita, basata su Cloud Monitoring, Cloud Logging e Cloud Trace, ti consente di approfondire le metriche e i log dei tuoi servizi. Puoi filtrare e suddividere i dati dati su un'ampia varietà di attributi.
Le relazioni tra servizi a colpo d'occhio ti aiutano a capire chi si connette a ciascun servizio e i servizi di cui ciascun servizio dipende.
Puoi visualizzare rapidamente la posizione di sicurezza delle comunicazioni non solo del tuo servizio, ma anche delle sue relazioni con altri servizi.
Gli obiettivi del livello di servizio (SLO) ti forniscono informazioni sullo stato di integrità dei tuoi servizi. Puoi definire facilmente uno SLO e un avviso in base ai tuoi standard di stato del servizio.

Scopri di più sulle funzionalità di osservabilità di Cloud Service Mesh nel nostro Guida all'osservabilità.

Vantaggi per la sicurezza

Riduce il rischio di attacchi di replay o di furto d'identità che utilizzano credenziali rubate. Cloud Service Mesh utilizza certificati TLS reciproci (mTLS) per l'autenticazione peer, anziché token di connessione come JSON Web Tokens (JWT).
Garantisce la crittografia dei dati in transito. L'uso di mTLS per l'autenticazione garantisce inoltre tutte le comunicazioni TCP sono criptate in transito.
Garantisce che solo i client autorizzati possano accedere a un servizio con dati sensibili, indipendentemente dalla località di rete del client e a livello di applicazione e credenziali.
Riduce il rischio di violazione dei dati utente all'interno della tua rete di produzione. Puoi assicurarti che gli addetti ai lavori possano accedere ai dati sensibili solo tramite con i client autorizzati.
Identifica i client che hanno eseguito l'accesso a un servizio con dati sensibili. I log di accesso di Cloud Service Mesh acquisiscono l'identità mTLS del client oltre all'indirizzo IP.
Tutti i componenti e i proxy del piano di controllo nel cluster utilizzano Crittografia convalidata FIPS 140-2 moduli.

Scopri di più sui vantaggi e sulle funzionalità di sicurezza di Cloud Service Mesh nella nostra guida alla sicurezza.

Opzioni di implementazione

In Cloud Service Mesh hai le seguenti opzioni di deployment:

Cloud Service Mesh gestito
Piano di controllo in-cluster

Anthos Service Mesh gestito

Managed Cloud Service Mesh è costituito dal piano di controllo gestito e dai dati gestiti aereo. Con Cloud Service Mesh gestito, Google gestisce gli upgrade, la scalabilità e la sicurezza al posto tuo, riducendo al minimo la manutenzione manuale da parte dell'utente. Con il piano dati gestito abilitato, Google installa un controller in-cluster che gestisce i proxy sidecar per te.

Il seguente diagramma mostra i componenti e le funzionalità di Cloud Service Mesh per Cloud Service Mesh gestito:

Cloud Service Mesh gestito

Per informazioni sulla configurazione o la migrazione a un Cloud Service Mesh gestito, consulta Esegui il provisioning di Cloud Service Mesh gestito.

Piano di controllo in-cluster

Il seguente diagramma mostra i componenti e le funzionalità di Cloud Service Mesh per il piano di controllo in cluster e i proxy sidecar.

Architettura del mesh di servizi con piano di controllo in-cluster

Per informazioni sull'installazione di Cloud Service Mesh nel cluster, consulta Installare Cloud Service Mesh.