Tentang Cloud Service Mesh
Cloud Service Mesh adalah rangkaian alat yang membantu Anda memantau dan mengelola mesh layanan lokal atau di Google Cloud.
Apa yang dimaksud dengan mesh layanan?
Mesh layanan adalah arsitektur yang memungkinkan data terkelola, dapat diamati, dan aman komunikasi di seluruh layanan Anda, memungkinkan Anda membuat aplikasi yang terdiri dari banyak microservice di infrastruktur pilihan Anda. Mesh layanan memperhitungkan semua masalah umum dalam menjalankan layanan seperti pemantauan, jaringan, dan keamanan, dengan alat yang konsisten dan canggih, lebih mudah bagi developer dan operator layanan untuk berfokus pada pembuatan dan pengelolaan aplikasi yang hebat untuk pengguna mereka.
Cloud Service Mesh didukung oleh Istio, platform mesh layanan open source yang sangat mudah dikonfigurasi dan andal, dengan alat dan fitur yang memungkinkan praktik terbaik industri. Cloud Service Mesh adalah di-deploy sebagai lapisan seragam di seluruh infrastruktur Anda. Layanan developer dan operator dapat menggunakan set fiturnya yang beragam tanpa mengubah pada kode aplikasi Anda.
Secara arsitektur, mesh layanan terdiri dari satu atau beberapa bidang kontrol dan bidang data. Mesh layanan memantau semua traffic melalui proxy. Di Kubernetes, proxy di-deploy oleh pola file bantuan ke microservice di mesh. Pola ini memisahkan aplikasi atau bisnis logika dari fungsi jaringan, dan memungkinkan pengembang untuk fokus pada fitur yang dibutuhkan perusahaan. Mesh layanan juga memungkinkan tim operasi dan tim pengembangan memisahkan pekerjaan mereka satu sama lain.
Bagaimana cara Cloud Service Mesh membantu saya?
Dengan Cloud Service Mesh, Anda mendapatkan GKE Enterprise yang diuji dan didukung distribusi Istio, yang memungkinkan Anda membuat dan men-deploy mesh layanan GKE di Google Cloud dan platform dengan dukungan penuh Google.
Fitur
Cloud Service Mesh memiliki serangkaian fitur dan alat yang membantu Anda mengamati dan mengelola layanan yang aman dan andal secara terpadu.
Pengelolaan traffic
Cloud Service Mesh mengontrol aliran traffic antarlayanan, ke dalam mesh (masuk), dan ke layanan luar (keluar). Anda mengonfigurasi dan men-deploy Resource kustom yang kompatibel dengan Istio untuk mengelola traffic ini di lapisan aplikasi (L7). Misalnya, dengan resource kustom, Anda dapat:
- Buat canary dan biru-hijau deployment.
- Memberikan kontrol terperinci atas rute spesifik untuk layanan.
- Mengonfigurasi load balancing antarlayanan.
- Siapkan pemutus sirkuit.
Cloud Service Mesh mengelola registry layanan untuk semua layanan di mesh dengan nama dan berdasarkan endpoint masing-masing. Ia memelihara {i>registry<i} untuk mengelola aliran traffic (misalnya, alamat IP Pod Kubernetes). Dengan menggunakan {i>service registry<i}, dan dengan menjalankan {i> proxy<i} secara berdampingan, dapat mengarahkan traffic ke titik akhir yang sesuai.
Insight kemampuan observasi
Halaman Cloud Service Mesh di Konsol Google Cloud menyediakan hal berikut insight ke dalam mesh layanan Anda:
Metrik dan log layanan untuk traffic HTTP dalam mesh Anda Cluster GKE akan otomatis ditransfer ke Google Cloud.
Dasbor layanan yang telah dikonfigurasi sebelumnya memberikan informasi yang perlu Anda pahami layanan Anda.
Telemetri mendalam, yang didukung oleh Cloud Monitoring, Cloud Logging, dan Cloud Trace—memungkinkan Anda mempelajari metrik dan log layanan Anda secara mendalam. Anda dapat memfilter dan membagi data dari berbagai atribut.
Sekilas tentang hubungan antarlayanan membantu Anda memahami siapa yang terhubung dengan setiap layanan dan layanan yang diandalkan oleh setiap layanan.
Anda dapat dengan cepat melihat postur keamanan komunikasi tidak hanya dari layanan Anda, tetapi hubungannya dengan layanan lain.
Tujuan tingkat layanan (SLO) memberikan insight tentang kondisi layanan IT perusahaan mereka. Anda dapat dengan mudah menentukan SLO dan pemberitahuan dengan standar Anda sendiri kondisi layanan.
Pelajari lebih lanjut fitur kemampuan observasi Cloud Service Mesh di Panduan kemampuan observasi.
Manfaat keamanan
Mengurangi risiko serangan replay atau peniruan identitas yang menggunakan kredensial yang dicuri. Cloud Service Mesh mengandalkan sertifikat TLS bersama (mTLS) untuk mengautentikasi rekan-rekan, bukan token pembawa seperti Token Web JSON (JWT).
Memastikan enkripsi saat proses pengiriman. Menggunakan mTLS untuk otentikasi juga memastikan bahwa semua komunikasi TCP dienkripsi saat transit.
Memastikan bahwa hanya klien yang diotorisasi yang dapat mengakses layanan dengan data sensitif, terlepas dari lokasi jaringan klien dan tingkat aplikasi memiliki kredensial yang lengkap.
Mengurangi risiko pelanggaran data pengguna dalam jaringan produksi Anda. Anda dapat memastikan bahwa orang dalam hanya dapat mengakses data sensitif melalui klien yang diotorisasi.
Mengidentifikasi klien mana yang mengakses layanan dengan data sensitif. Logging akses Cloud Service Mesh merekam identitas mTLS klien dalam di samping alamat IP.
Semua komponen dan proxy bidang kontrol dalam cluster menggunakan Enkripsi tervalidasi FIPS 140-2 modul.
Pelajari lebih lanjut manfaat dan fitur keamanan Cloud Service Mesh di Panduan keamanan.
Opsi penerapan
Anda memiliki opsi deployment berikut di Cloud Service Mesh:
- Mesh Layanan Cloud Terkelola
- Bidang kontrol dalam cluster
Mesh Layanan Anthos Terkelola
Mesh Layanan Cloud Terkelola terdiri dari bidang kontrol terkelola dan data terkelola pesawat terbang. Dengan Cloud Service Mesh terkelola, Google menangani upgrade, penskalaan, dan keamanan untuk Anda, meminimalkan pemeliharaan pengguna secara manual. Dengan dalam bidang data terkelola, Google menginstal pengontrol dalam cluster yang mengelola proxy file bantuan untuk Anda.
Diagram berikut menunjukkan komponen dan fitur Cloud Service Mesh untuk Cloud Service Mesh terkelola:
Untuk mengetahui informasi tentang penyiapan atau migrasi ke Cloud Service Mesh terkelola, Menyediakan Cloud Service Mesh yang terkelola.
Bidang kontrol dalam cluster
Diagram berikut menunjukkan komponen dan fitur Cloud Service Mesh untuk bidang kontrol dalam cluster dan proxy file bantuan.
Untuk mengetahui informasi tentang cara menginstal Cloud Service Mesh dalam cluster, lihat Instal Cloud Service Mesh.