Información sobre Cloud Service Mesh

Cloud Service Mesh es un conjunto de herramientas que te ayuda a monitorizar y gestionar una malla de servicios fiable on-premise o en Google Cloud.

¿Qué es una malla de servicios?

Una malla de servicios es una arquitectura que permite una comunicación gestionada, observable y segura entre tus servicios, lo que te permite crear aplicaciones empresariales sólidas formadas por muchos microservicios en la infraestructura que elijas. Las mallas de servicios tienen en cuenta todas las preocupaciones más comunes relativas al funcionamiento de un servicio, como la monitorización, las redes y la seguridad, con herramientas coherentes y potentes, lo que facilita a los desarrolladores y operadores de servicios centrarse en crear y gestionar aplicaciones excelentes para sus usuarios.

Cloud Service Mesh se basa en Istio, una plataforma de malla de servicios de código abierto potente y altamente configurable, con herramientas y funciones que permiten aplicar las prácticas recomendadas del sector. Cloud Service Mesh se despliega como una capa uniforme en toda la infraestructura. Los desarrolladores y operadores de servicios pueden usar su amplio conjunto de funciones sin tener que modificar el código de la aplicación.

Desde el punto de vista de la arquitectura, una malla de servicios consta de uno o varios planos de control y un plano de datos. La malla de servicios monitoriza todo el tráfico a través de un proxy. En Kubernetes, el proxy se implementa mediante un patrón sidecar en los microservicios de la malla. Este patrón desacopla la lógica de la aplicación o de la empresa de las funciones de red y permite a los desarrolladores centrarse en las funciones que necesita la empresa. Las mallas de servicios también permiten que los equipos de operaciones y los de desarrollo desvinculen su trabajo.

¿Cómo puede ayudarme Cloud Service Mesh?

Con Cloud Service Mesh, obtienes una distribución de Istio probada y compatible con GKE Enterprise, lo que te permite crear y desplegar una malla de servicios en GKE y en otras plataformas con asistencia completa de Google. Google Cloud

Funciones

Cloud Service Mesh incluye un conjunto de funciones y herramientas que te ayudan a observar y gestionar servicios seguros y fiables de forma unificada.

Gestión del tráfico

Cloud Service Mesh controla el flujo de tráfico entre los servicios, hacia la malla (entrada) y hacia los servicios externos (salida). Configura e implementa recursos personalizados compatibles con Istio para gestionar este tráfico en la capa de aplicación (L7). Por ejemplo, con los recursos personalizados, puedes hacer lo siguiente:

• Crea despliegues canario y azul-verde.
• Proporciona un control detallado sobre rutas específicas de los servicios.
• Configura el balanceo de carga entre servicios.
• Configura interruptores.

Cloud Service Mesh mantiene un registro de todos los servicios de la malla por nombre y por sus respectivos endpoints. Mantiene el registro para gestionar el flujo de tráfico (por ejemplo, las direcciones IP de los pods de Kubernetes). Al usar este registro de servicios y ejecutar los proxies junto a los servicios, la malla puede dirigir el tráfico al endpoint adecuado.

Estadísticas de observabilidad

Las páginas de Cloud Service Mesh de la consola de Google Cloud proporcionan las siguientes estadísticas sobre tu malla de servicios:

• Las métricas y los registros de servicio del tráfico HTTP de tu clúster de GKE de la malla se ingieren automáticamente en Google Cloud.

• Los paneles de control de servicios preconfigurados te proporcionan la información que necesitas para entender tus servicios.

• La telemetría detallada, basada en Cloud Monitoring, Cloud Logging y Cloud Trace, te permite analizar en profundidad las métricas y los registros de tu servicio. Puede filtrar y segmentar sus datos por una gran variedad de atributos.

• Las relaciones entre servicios de un vistazo te ayudan a saber quién se conecta a cada servicio y de qué servicios depende cada uno.

• Puede ver rápidamente el estado de seguridad de las comunicaciones no solo de su servicio, sino también de sus relaciones con otros servicios.

• Los objetivos de nivel de servicio te permiten conocer el estado de tus servicios. Puedes definir fácilmente un SLO y configurar alertas según tus propios estándares de estado del servicio.

Consulta más información sobre las funciones de observabilidad de Cloud Service Mesh en nuestra guía de observabilidad.

Ventajas para la seguridad

• Mitiga el riesgo de sufrir ataques de repetición o de suplantación de identidad que usen credenciales robadas. Cloud Service Mesh usa certificados TLS mutuos (mTLS) para autenticar a los peers, en lugar de tokens de portador, como los JSON Web Tokens (JWT).

• Asegura el cifrado en tránsito. Usar mTLS para la autenticación también asegura que todas las comunicaciones TCP se cifren en tránsito.

• Asegura que solo los clientes autorizados puedan acceder a un servicio con datos sensibles, independientemente de la ubicación de red del cliente y de las credenciales a nivel de aplicación.

• Mitiga el riesgo de que se produzcan brechas de seguridad en los datos de los usuarios en tu red de producción. Puedes asegurarte de que los usuarios internos solo puedan acceder a datos sensibles a través de clientes autorizados.

• Identifica qué clientes han accedido a un servicio con datos sensibles. El registro de acceso de Cloud Service Mesh registra la identidad mTLS del cliente, además de la dirección IP.

• Todos los componentes y proxies del plano de control en clústeres usan módulos de cifrado validados por el estándar FIPS 140-2.

Consulta más información sobre las ventajas y las funciones de seguridad de Cloud Service Mesh en nuestra guía de seguridad.

Opciones de implementación

En Cloud Service Mesh, tienes las siguientes opciones de implementación:

• Cloud Service Mesh gestionado
• Plano de control en clústeres

Anthos Service Mesh gestionado

Managed Cloud Service Mesh consta del plano de control gestionado y del plano de datos gestionado. Con Cloud Service Mesh gestionado, Google se encarga de las actualizaciones, el escalado y la seguridad, lo que minimiza el mantenimiento manual por parte del usuario. Si el plano de datos gestionado está habilitado, Google instala un controlador en el clúster que gestiona los proxies sidecar.

En el siguiente diagrama se muestran los componentes y las funciones de Cloud Service Mesh gestionado:

Para obtener información sobre cómo configurar o migrar a una malla de servicios de Cloud gestionada, consulta el artículo Aprovisionar una malla de servicios de Cloud gestionada.

Plano de control en clústeres

En el siguiente diagrama se muestran los componentes y las funciones de Cloud Service Mesh para el plano de control en el clúster y los proxies sidecar.

Para obtener información sobre cómo instalar Cloud Service Mesh en un clúster, consulta Instalar Cloud Service Mesh.

Siguientes pasos

• Instalar Cloud Service Mesh
• Configurar la seguridad de transporte