Panoramica di Cloud Service Mesh

Cloud Service Mesh è un mesh di servizi disponibile su Google Cloud e sulle piattaforme GKE Enterprise supportate. Supporta i servizi in esecuzione su una serie di infrastruttura di calcolo. Cloud Service Mesh è controllato da API progettate per Google Cloud, per open source o per entrambi.

Questo documento è rivolto ai nuovi utenti di Cloud Service Mesh o ai clienti di Anthos Service Mesh o Traffic Director.

Che cos'è un'infrastruttura mesh di servizi?

Un mesh di servizi è un'architettura che consente comunicazioni gestite, osservabili e sicure tra i tuoi servizi, semplificando la creazione di applicazioni aziendali solide composte da molti microservizi sull'infrastruttura scelta. I mesh di servizi gestiscono i requisiti comuni per l'esecuzione di un servizio, come monitoraggio, networking e sicurezza, con strumenti coerenti e potenti, consentendo agli sviluppatori e agli operatori di servizi di concentrarsi sulla creazione e sulla gestione di applicazioni straordinarie per i propri utenti.

Dal punto di vista dell'architettura, un mesh di servizi è costituito da uno o più piani di controllo e da un piano dati. Il mesh di servizi monitora tutto il traffico in entrata e in uscita dai tuoi servizi. In Kubernetes, un proxy viene disegnato da un pattern sidecar per i microservizi nel mesh. Su Compute Engine, puoi implementare i proxy sulle VM o utilizzare gRPC proxyless per il piano dati.

Questo pattern separa l'applicazione o la logica di business dalle funzioni di rete e consente agli sviluppatori di concentrarsi sulle funzionalità di cui l'attività ha bisogno. Le mesh di servizi consentono inoltre ai team di operazioni e ai team di sviluppo di disaccoppiare il proprio lavoro.

L'architettura delle applicazioni come microservizi offre numerosi vantaggi. Tuttavia, i carichi di lavoro possono diventare più complessi e frammentati in funzione della scalabilità. La mesh di servizi aiuta a risolvere il problema della frammentazione e semplifica la gestione dei microservizi.

Che cos'è Cloud Service Mesh?

Cloud Service Mesh è la soluzione di Google sia per Google Cloud sia per gli ambienti GKE Enterprise supportati.

  • Su Google Cloud: Cloud Service Mesh fornisce API specifiche per l'infrastruttura di calcolo su cui vengono eseguiti i carichi di lavoro.
  • Al di fuori di Google Cloud: con Distributed Cloud o GKE multicloud, Cloud Service Mesh supporta le API Istio per i carichi di lavoro Kubernetes.

Che tu sia su Google Cloud o meno, Cloud Service Mesh ti consente di gestire, osservare e proteggere i tuoi servizi senza dover modificare il codice dell'applicazione.

Cloud Service Mesh riduce il lavoro dei team di operazioni e sviluppo semplificando la fornitura di servizi, dalla gestione del traffico alla telemetria mesh, fino alla protezione delle comunicazioni tra i servizi. Il mesh di servizi completamente gestiti di Google ti consente di gestire ambienti complessi e di ottenere i vantaggi promessi.

Funzionalità

Cloud Service Mesh dispone di una suite di funzionalità per la gestione del traffico, l'osservabilità e la telemetria e la sicurezza.

Gestione del traffico

Cloud Service Mesh controlla il flusso di traffico tra i servizi all'interno del mesh, all'interno del mesh (ingress) e verso i servizi esterni (egress). Configura e implementa le risorse per gestire questo traffico a livello di applicazione (L7). Ad esempio, puoi eseguire le seguenti operazioni:

  • Utilizza Service Discovery.
  • Configura il bilanciamento del carico tra i servizi.
  • Crea deployment canary e blu/verde.
  • Controlla con precisione il routing per i tuoi servizi.
  • Configura gli interruttori di sicurezza.

Cloud Service Mesh gestisce un elenco di tutti i servizi nel mesh per nome e per i rispettivi endpoint. Mantiene questo elenco per gestire il flusso di traffico (ad esempio, gli indirizzi IP dei pod Kubernetes o gli indirizzi IP delle VM Compute Engine in un gruppo di istanze gestite). Utilizzando questo registry dei servizi ed eseguendo i proxy insieme ai servizi, il mesh può indirizzare il traffico all'endpoint appropriato. I carichi di lavoro gRPC senza proxy possono essere utilizzati anche in parallelo con i carichi di lavoro che utilizzano i proxy Envoy.

Approfondimenti sull'osservabilità

L'interfaccia utente di Cloud Service Mesh nella console Google Cloud fornisce informazioni sul tuo mesh di servizi. Queste metriche vengono generate automaticamente per i carichi di lavoro configurati tramite le API Istio.

  • Le metriche e i log dei servizi per il traffico HTTP all'interno del cluster GKE del tuo mesh vengono importati automaticamente in Google Cloud.
  • Le dashboard dei servizi preconfigurati forniscono le informazioni necessarie per comprendere i servizi.
  • La telemetria approfondita, basata su Cloud Monitoring, Cloud Logging e Cloud Trace, ti consente di approfondire le metriche e i log dei tuoi servizi. Puoi filtrare e segmentare i dati in base a una vasta gamma di attributi.
  • Le relazioni tra servizi ti aiutano a comprendere a colpo d'occhio le dipendenze tra servizi e chi si connette a ciascun servizio.
  • Puoi visualizzare rapidamente la posizione di sicurezza delle comunicazioni non solo del tuo servizio, ma anche delle sue relazioni con altri servizi.
  • Gli obiettivi del livello di servizio (SLO) ti forniscono informazioni sullo stato di integrità dei tuoi servizi. Puoi definire uno SLO e un avviso in base ai tuoi standard di salute del servizio.

Scopri di più sulle funzionalità di osservabilità di Cloud Service Mesh nella nostra guida all'osservabilità.

Vantaggi per la sicurezza

Cloud Service Mesh offre numerosi vantaggi in termini di sicurezza.

  • Riduce il rischio di attacchi di replay o di furto d'identità che utilizzano credenziali rubate. Cloud Service Mesh si basa su certificati TLS reciproci (mTLS) per autenticare i peer, anziché su token bearer come i token web JSON (JWT).
  • Garantisce la crittografia dei dati in transito. L'utilizzo di mTLS per l'autenticazione garantisce inoltre che tutte le comunicazioni TCP siano criptate in transito.
  • Mitiga il rischio che client non autorizzati possano accedere a un servizio con dati sensibili, indipendentemente dalla posizione di rete del client e dalle credenziali a livello di applicazione.
  • Riduce il rischio di violazione dei dati utente all'interno della rete di produzione. Puoi assicurarti che gli addetti ai lavori possano accedere ai dati sensibili solo tramite client autorizzati.
  • Identifica i client che hanno eseguito l'accesso a un servizio con dati sensibili. I log di accesso di Cloud Service Mesh acquisiscono l'identità mTLS del client oltre all'indirizzo IP.
  • Tutti i componenti del piano di controllo in-cluster sono creati con moduli di crittografia convalidati FIPS 140-2.

Scopri di più sui vantaggi e sulle funzionalità di sicurezza di Service Mesh nella guida alla sicurezza.

Opzioni di implementazione

In Cloud Service Mesh sono disponibili le seguenti opzioni di deployment:

  • Su Google Cloud
    • Cloud Service Mesh gestito: piano di controllo e di dati gestito per GKE (opzione consigliata)
    • Cloud Service Mesh gestito: piano di controllo e piano dati gestiti per Compute Engine con VM (opzione consigliata)
    • Piano di controllo interno al cluster per GKE con API Istio (sconsigliato)
  • Al di fuori di Google Cloud
    • Piano di controllo in-cluster per Kubernetes con API Istio

Cloud Service Mesh gestito

Cloud Service Mesh gestito è costituito dal piano di controllo gestito per tutte le infrastrutture e dal piano dati gestito per GKE. Con Cloud Service Mesh gestito, Google gestisce gli upgrade, la scalabilità e la sicurezza al posto tuo, riducendo al minimo la manutenzione manuale da parte dell'utente. Sono inclusi il piano di controllo, il piano di dati e le risorse correlate.

Implementazione del piano dati

Se utilizzi le API Google Cloud, il tuo piano dati può essere fornito da proxy Envoy o da applicazioni gRPC senza proxy. Se stai aggiornando un'applicazione esistente, l'approccio basato su sidecar consente l'integrazione nella mesh senza modificare l'applicazione. Se vuoi evitare l'overhead dell'esecuzione di un sidecar, puoi aggiornare l'applicazione in modo che utilizzi gRPC.

I proxy Envoy e gRPC senza proxy utilizzano entrambi l'API xDS per connettersi al piano di controllo. Se utilizzi gRPC senza proxy, hai a disposizione una scelta di linguaggi supportati per le tue applicazioni, tra cui Go, C++, Java e Python.

Se utilizzi le API Istio open source, il piano dati è fornito dai proxy Envoy.

Implementazione del piano di controllo

Il control plane di Cloud Service Mesh dipende dal fatto che la configurazione sia attiva o meno su Google Cloud e se sei un nuovo cliente.

Implementazione del piano di controllo per gli utenti esistenti

Per determinare il tuo attuale piano di controllo, leggi l'articolo Identificare l'implementazione del piano di controllo. Per maggiori informazioni sui control plane e sulla migrazione del control plane, consulta la Panoramica del control plane gestito per i clienti di lunga data.

Implementazione del piano di controllo per i nuovi utenti

Migrazione del piano di controllo

Se sei un cliente Anthos Service Mesh e utilizzi le API Istio, inizierai a eseguire la migrazione dei tuoi cluster al piano di controllo di Traffic Director. Puoi continuare a utilizzare le API Istio per la configurazione.

Per determinare se i tuoi cluster utilizzano ancora il piano di controllo Istio o se è stata eseguita la migrazione al nuovo piano di controllo globale, leggi Identificare l'implementazione del piano di controllo.

Passaggi successivi