Tentang Cloud Service Mesh
Cloud Service Mesh adalah serangkaian alat yang membantu Anda memantau dan mengelola mesh layanan yang andal di infrastruktur lokal atau di Google Cloud.
Apa yang dimaksud dengan mesh layanan?
Mesh layanan adalah arsitektur yang memungkinkan komunikasi yang terkelola, dapat diamati, dan aman di seluruh layanan Anda, sehingga Anda dapat membuat aplikasi perusahaan yang tangguh dan terdiri dari banyak microservice pada infrastruktur pilihan Anda. Mesh layanan memperhitungkan semua masalah umum dalam menjalankan layanan seperti pemantauan, jaringan, dan keamanan, dengan alat yang konsisten dan canggih, sehingga developer dan operator layanan lebih mudah berfokus dalam membuat dan mengelola aplikasi yang bagus bagi pengguna mereka.
Cloud Service Mesh didukung oleh Istio, platform mesh layanan open source yang sangat andal dan dapat dikonfigurasi, dengan alat dan fitur yang mendukung praktik terbaik industri. Cloud Service Mesh di-deploy sebagai lapisan seragam di seluruh infrastruktur Anda. Developer dan operator layanan dapat menggunakan set fitur kayanya tanpa mengubah kode aplikasi.
Secara arsitektur, mesh layanan terdiri dari satu atau beberapa bidang kontrol dan bidang data. Mesh layanan memantau semua traffic melalui proxy. Di Kubernetes, proxy di-deploy oleh pola bantuan ke microservice di mesh. Pola ini memisahkan logika aplikasi atau bisnis dari fungsi jaringan, dan memungkinkan developer berfokus pada fitur yang dibutuhkan bisnis. Mesh layanan juga memungkinkan tim operasi dan tim pengembangan memisahkan pekerjaan mereka satu sama lain.
Bagaimana cara Cloud Service Mesh membantu saya?
Dengan Cloud Service Mesh, Anda mendapatkan distribusi Istio yang telah diuji dan didukung oleh GKE Enterprise, sehingga Anda dapat membuat dan men-deploy mesh layanan di GKE pada Google Cloud dan platform lainnya dengan dukungan penuh Google.
Fitur
Cloud Service Mesh memiliki serangkaian fitur dan alat yang membantu Anda mengamati serta mengelola layanan yang aman dan andal secara terpadu.
Pengelolaan traffic
Cloud Service Mesh mengontrol aliran traffic antarlayanan, ke dalam mesh (masuk), dan ke layanan luar (keluar). Anda mengonfigurasi dan men-deploy resource kustom yang kompatibel dengan Istio untuk mengelola traffic ini di lapisan aplikasi (L7). Misalnya, dengan resource kustom, Anda dapat:
- Buat deployment canary dan blue-green.
- Memberikan kontrol terperinci atas rute spesifik untuk layanan.
- Mengonfigurasi load balancing antarlayanan.
- Siapkan pemutus sirkuit.
Cloud Service Mesh mengelola registry layanan untuk semua layanan di mesh berdasarkan nama dan berdasarkan endpoint masing-masing. Otorisasi mengelola registry untuk mengelola arus traffic (misalnya, alamat IP Pod Kubernetes). Dengan menggunakan registry layanan ini, dan dengan menjalankan proxy secara berdampingan dengan layanan, mesh dapat mengarahkan traffic ke endpoint yang sesuai.
Insight kemampuan observasi
Halaman Cloud Service Mesh di Konsol Google Cloud memberikan insight berikut terkait mesh layanan Anda:
Metrik dan log layanan untuk traffic HTTP dalam cluster GKE mesh Anda otomatis diserap ke Google Cloud.
Dasbor layanan yang telah dikonfigurasi sebelumnya memberi Anda informasi yang diperlukan untuk memahami layanan Anda.
Telemetri mendalam, yang didukung oleh Cloud Monitoring, Cloud Logging, dan Cloud Trace, memungkinkan Anda mempelajari metrik dan log layanan secara mendalam. Anda dapat memfilter dan mengelompokkan data pada berbagai atribut.
Dengan sekilas hubungan layanan-ke-layanan, Anda dapat memahami siapa yang terhubung ke setiap layanan dan layanan yang diandalkan oleh setiap layanan.
Anda dapat dengan cepat melihat postur keamanan komunikasi tidak hanya pada layanan Anda, tetapi juga hubungannya dengan layanan lain.
Tujuan tingkat layanan (SLO) memberikan insight tentang kondisi layanan Anda. Anda dapat dengan mudah menentukan SLO dan pemberitahuan tentang standar kondisi layanan Anda sendiri.
Pelajari lebih lanjut fitur kemampuan observasi Cloud Service Mesh dalam Panduan kemampuan observasi kami.
Manfaat keamanan
Mengurangi risiko serangan replay atau peniruan identitas yang menggunakan kredensial yang dicuri. Cloud Service Mesh mengandalkan sertifikat TLS bersama (mTLS) untuk mengautentikasi peer, bukan token pemilik seperti Token Web JSON (JWT).
Memastikan enkripsi saat proses pengiriman. Penggunaan mTLS untuk autentikasi juga memastikan semua komunikasi TCP dienkripsi saat transit.
Memastikan bahwa hanya klien yang diberi otorisasi yang dapat mengakses layanan dengan data sensitif, terlepas dari lokasi jaringan klien dan kredensial tingkat aplikasi.
Mengurangi risiko pelanggaran data pengguna dalam jaringan produksi Anda. Anda dapat memastikan bahwa orang dalam hanya dapat mengakses data sensitif melalui klien yang diotorisasi.
Mengidentifikasi klien mana yang mengakses layanan dengan data sensitif. Logging akses Cloud Service Mesh merekam identitas mTLS klien selain alamat IP.
Semua komponen dan proxy bidang kontrol dalam cluster menggunakan modul enkripsi FIPS 140-2 yang divalidasi.
Pelajari lebih lanjut manfaat dan fitur keamanan Cloud Service Mesh di Panduan keamanan kami.
Opsi penerapan
Anda memiliki opsi deployment berikut di Cloud Service Mesh:
- Mesh Layanan Cloud Terkelola
- Bidang kontrol dalam cluster
Mesh Layanan Anthos Terkelola
Managed Cloud Service Mesh terdiri dari bidang kontrol terkelola dan bidang data terkelola. Dengan Cloud Service Mesh terkelola, Google menangani upgrade, penskalaan, dan keamanan untuk Anda, sehingga meminimalkan pemeliharaan pengguna secara manual. Dengan mengaktifkan bidang data terkelola, Google akan menginstal pengontrol dalam cluster yang mengelola proxy file bantuan untuk Anda.
Diagram berikut menunjukkan komponen dan fitur Cloud Service Mesh untuk Cloud Service Mesh yang dikelola:
Untuk mengetahui informasi tentang cara menyiapkan atau bermigrasi ke Cloud Service Mesh terkelola, lihat Menyediakan Cloud Service Mesh yang terkelola.
Bidang kontrol dalam cluster
Diagram berikut menunjukkan komponen dan fitur Cloud Service Mesh untuk bidang kontrol dalam cluster dan proxy file bantuan.
Untuk mengetahui informasi tentang cara menginstal Cloud Service Mesh dalam cluster, lihat Menginstal Cloud Service Mesh.