Cloud Service Mesh – Übersicht

Cloud Service Mesh ist ein Service Mesh, das in Google Cloud und auf unterstützten GKE Enterprise-Plattformen verfügbar ist. Es unterstützt Dienste auf verschiedenen von Datenverarbeitungsinfrastrukturen. Cloud Service Mesh wird über APIs gesteuert, die für Google Cloud, für Open Source oder für beides entwickelt wurden.

Dieses Dokument richtet sich an neue Cloud Service Mesh-Nutzer oder bestehende Anthos Service Mesh- oder Traffic Director-Kunden.

Was ist ein Service Mesh?

Ein Service Mesh ist eine Architektur, die verwaltete, beobachtbare und sichere Kommunikation zwischen Ihren Diensten, was es Ihnen erleichtert, aus vielen Mikrodiensten auf Ihrem und Infrastruktur. Service Meshes verwalten die gängigen Anforderungen an die Ausführung eines Dienstes wie Monitoring, Netzwerk und Sicherheit mit einheitlichen, leistungsstarken Tools. So können sich Entwickler und Betreiber von Diensten leichter auf die Erstellung und Verwaltung nützlicher Anwendungen für ihre Nutzer konzentrieren.

Architektonisch besteht ein Service Mesh aus einer oder mehreren Steuerungsebenen und einer Datenebene. Das Service Mesh überwacht den gesamten Traffic in Ihre Dienste und von Ihren Diensten. In Kubernetes wird ein Proxy durch ein Sidecar-Muster für die Mikrodienste im Mesh-Netzwerk bereitgestellt. In Compute Engine können Sie Proxys auf VMs bereitstellen oder proxylose gRPC-Dienste für die Datenebene verwenden.

Dieses Muster entkoppelt die Anwendungs- oder Geschäftslogik von Netzwerkfunktionen und ermöglicht es Entwicklern, sich auf die Funktionen zu konzentrieren, die das Unternehmen benötigt. Mit Service Meshes können Betriebsteams und Entwicklungsteams ihre Arbeit auch entkoppeln.

Die Architektur Ihrer Anwendungen als Mikrodienste bietet viele Vorteile. Sie können jedoch Ihre Arbeitslasten können bei der Skalierung komplexer und fragmentierter werden. Service Mesh hilft, das Fragmentierungsproblem zu lösen und die Verwaltung Ihrer Microservices zu vereinfachen.

Was ist ein Cloud Service Mesh?

Cloud Service Mesh ist die Lösung von Google sowohl für Google Cloud als auch für unterstützte GKE Enterprise-Umgebungen.

  • In Google Cloud: Cloud Service Mesh bietet APIs, die und zwar speziell für die Computing-Infrastruktur, auf der Ihre Arbeitslasten ausgeführt werden.
  • Aus Google Cloud: Mit Distributed Cloud oder GKE-Multi-Cloud Cloud Service Mesh unterstützt die Istio APIs für Kubernetes Arbeitsbelastungen.

Ob in oder außerhalb von Google Cloud – mit Cloud Service Mesh können Sie Dienste zu verwalten, zu beobachten und zu sichern, ohne Anwendungscode.

Cloud Service Mesh reduziert den Aufwand für Betrieb und Entwicklung die Bereitstellung von Diensten vereinfachen, von Traffic-Verwaltung bis Mesh-Netzwerk. um die Kommunikation zwischen Diensten zu sichern. Mit der vollständig verwalteten Mit einem Service Mesh können Sie komplexe Umgebungen verwalten und von ihren Vorteilen profitieren versprochen.

Features

Cloud Service Mesh bietet eine Reihe von Funktionen für die Traffic-Verwaltung, die Beobachtbarkeit und Telemetrie sowie die Sicherheit.

Trafficverwaltung

Cloud Service Mesh steuert den Trafficfluss zwischen Diensten im in das Mesh-Netzwerk (eingehender Traffic) und externe Dienste (ausgehender Traffic). Sie konfigurieren und implementieren Ressourcen, um diesen Traffic auf der Anwendungsebene (L7) zu verwalten. Sie haben zum Beispiel folgende Möglichkeiten:

  • Verwenden Sie die Diensterkennung.
  • Konfigurieren Sie das Load-Balancing zwischen Diensten.
  • Erstellen Sie Canary- und Blau/Grün-Bereitstellungen.
  • Routing für Ihre Dienste genau steuern.
  • Schutzschalter einrichten.

Cloud Service Mesh verwaltet eine Liste aller Dienste im Mesh nach Namen und zugehörigen Endpunkten. Diese Liste wird verwaltet, um den Trafficfluss zu steuern (z. B. IP-Adressen von Kubernetes-Pods oder die IP-Adressen von Compute Engine-VMs in einer verwalteten Instanzgruppe). Wenn Sie diese Dienstregistrierung verwenden und die Proxys parallel zum kann das Mesh-Netzwerk Traffic an den entsprechenden Endpunkt weiterleiten. Proxylose gRPC-Arbeitslasten kann auch parallel zu Arbeitslasten mit Envoy-Proxys verwendet werden.

Informationen zur Sichtbarkeit

Die Cloud Service Mesh-Benutzeroberfläche in der Google Cloud Console und liefert Informationen zu Ihrem Service Mesh. Diese Messwerte werden automatisch für Arbeitslasten generiert, die über die Istio APIs konfiguriert wurden.

  • Dienstmesswerte und Logs für HTTP-Traffic in der GKE des Mesh-Netzwerks werden automatisch in Google Cloud aufgenommen.
  • Vorkonfigurierte Dienst-Dashboards bieten Ihnen die nötigen Informationen, um Ihre Dienste zu verstehen.
  • Ausführliche Telemetrie – unterstützt von Cloud Monitoring, Mit Cloud Logging und Cloud Trace können Sie tief in Ihre Dienstmesswerte und Logs eintauchen. Sie können Ihre Daten nach einer Vielzahl von Attributen filtern und segmentieren.
  • Mit Dienst-zu-Dienst-Beziehungen können Sie auf einen Blick Dienstabhängigkeiten und die Verbindungen zu den einzelnen Diensten erkennen.
  • Sie können schnell den Kommunikationssicherheitsstatus nicht nur für den Dienst, sondern auch für seine Beziehungen zu anderen Diensten sehen.
  • Service Level Objectives (SLOs) geben Ihnen einen Einblick in den Status Ihrer Dienste. Sie können ein SLO und eine Benachrichtigung zu Ihren eigenen Dienststandards definieren Gesundheit.

Weitere Informationen zu den Beobachtbarkeitsfunktionen von Cloud Service Mesh finden Sie in unserem Leitfaden zur Beobachtbarkeit.

Sicherheitsvorteile

Cloud Service Mesh bietet Ihnen viele Sicherheitsvorteile.

  • Verminderung des Risikos von Replay- oder Imitationsangriffen, bei denen gestohlene Anmeldedaten verwendet werden. Cloud Service Mesh verwendet mTLS-Zertifikate (Mutual TLS) zur Authentifizierung von Peers anstelle von Inhabertokens wie JSON Web Tokens (JWT).
  • Sicherstellen der Verschlüsselung während der Übertragung. Durch die Verwendung von mTLS für die Authentifizierung wird außerdem sichergestellt, dass alle TCP-Kommunikationen bei der Übertragung verschlüsselt werden.
  • mindert das Risiko, dass nicht autorisierte Clients auf einen Dienst mit sensiblen Daten zugreifen können, unabhängig vom Netzwerkstandort des Clients und der Anwendungsebene, Anmeldedaten.
  • Verminderung des Risikos von Verstößen gegen Nutzerdaten in Ihrem Produktionsnetzwerk. Sie können sicherzustellen, dass Insider nur über autorisierte Kunden auf sensible Daten zugreifen können.
  • Identifikation von Clients, die auf einen Dienst mit vertraulichen Daten zugegriffen haben. Das Zugriffs-Logging von Cloud Service Mesh erfasst zusätzlich zur IP-Adresse die mTLS-Identität des Clients.
  • Alle Komponenten der clusterinternen Steuerungsebene werden mit gemäß FIPS 140–2 validierten Verschlüsselungsmodulen erstellt.

Weitere Informationen zu den Sicherheitsvorteilen und -funktionen von Service Mesh finden Sie im Sicherheitsleitfaden.

Optionen der Bereitstellung

In Cloud Service Mesh haben Sie die folgenden Bereitstellungsoptionen:

  • In Google Cloud
    • Verwaltetes Cloud Service Mesh – verwaltete Steuerung und Datenebene für GKE (empfohlen)
    • Verwaltetes Cloud Service Mesh – verwaltete Steuerungs- und Datenebene für die Compute Engine mit VMs (empfohlen)
    • Clusterinterne Steuerungsebene für GKE mit Istio APIs (nicht empfohlen)
  • Nicht in Google Cloud
    • Clusterinterne Steuerungsebene für Kubernetes mit Istio APIs

Verwaltetes Cloud Service Mesh

Das verwaltete Cloud Service Mesh besteht aus der verwalteten Steuerungsebene für alle Infrastrukturen und die verwaltete Datenebene für GKE. Bei verwaltetem Cloud Service Mesh organisiert Google Upgrades, Skalierung und Sicherheit für Sie und minimiert so die manuelle Nutzerwartung. Dazu gehören die Steuerungsebene, die Datenebene und zugehörige Ressourcen.

Implementierung der Datenebene

Wenn Sie Google Cloud APIs verwenden, kann Ihre Datenebene von Envoy zur Verfügung gestellt werden. Proxys oder proxylose gRPC-Anwendungen nutzen. Wenn Sie eine vorhandene ermöglicht der Sidecar-basierte Ansatz die Integration in das Mesh-Netzwerk. ohne die Anwendung zu ändern. Wenn Sie den Overhead der Ausführung eines Sidecars vermeiden möchten, können Sie Ihre Anwendung so aktualisieren, dass sie gRPC verwendet.

Envoy-Proxys und proxylose gRPC-Dienste verwenden beide die xDS API, um eine Verbindung zur Steuerung herzustellen Flugzeug. Wenn Sie proxylose gRPC-Dienste verwenden, können Sie mehrere unterstützte Sprachen für wie Go, C++, Java und Python.

Wenn Sie Open-Source-Istio-APIs verwenden, wird Ihre Datenebene von Envoy-Proxys bereitgestellt.

Implementierung der Steuerungsebene

Die Cloud Service Mesh-Steuerungsebene hängt davon ab, ob Ihre Konfiguration in Google Cloud oder außerhalb von Google Cloud ausgeführt wird und ob Sie ein neuer Kunde sind.

Implementierung der Steuerungsebene für bestehende Nutzer

Informationen dazu, wie Sie Ihre aktuelle Steuerungsebene ermitteln, finden Sie unter Steuerungsebenenimplementierung ermitteln. Weitere Informationen zu Steuerungsebenen und zur Migration der Steuerungsebene finden Sie unter Verwaltete Steuerungsebene – Übersicht für Bestandskunden.

Implementierung der Steuerungsebene für neue Nutzer

Migration der Steuerungsebene

Wenn Sie Anthos Service Mesh weiterhin nutzen und die Istio APIs verwenden, werden Ihre Cluster zur Traffic Director-Steuerungsebene migriert. Sie können die Istio APIs weiterhin für die Konfiguration verwenden.

Informationen dazu, ob Ihre Cluster noch die Istio-Steuerungsebene verwenden oder zur neuen globalen Steuerungsebene migriert wurden, finden Sie unter Steuerungsebenenimplementierung ermitteln.

Nächste Schritte