什么是 Anthos Service Mesh?

Anthos Service Mesh 是一套工具,可帮助您在本地或在 Google Cloud 上监控和管理可靠的服务网格。

什么是服务网格?

服务网格是一个基础架构层,可在您的服务之间实现代管、可观测的安全通信,让您在所选基础架构上创建由众多微服务组成的稳健的企业应用。服务网格会考虑运行服务(例如监控、网络和安全)的所有常见问题,并使用一致的强大工具,使服务开发者和运营商更轻松地专注于为其用户创建和管理出色的应用。

Anthos Service Mesh 由 Istio 提供支持,Istio 是一种高度可配置且功能强大的开源服务网格平台,具有支持行业最佳做法的工具和功能。Anthos Service Mesh 部署为整个基础架构的统一层。服务开发者和运营商可以使用其丰富的功能集,而无需对应用代码进行任何更改。

如需详细了解 Istio 及其用法,请参阅 Istio 文档

Anthos Service Mesh 有何好处?

借助 Anthos Service Mesh,GKE Enterprise 可以对 Istio 分发进行测试和支持,从而让您能够在 Google 的全面支持下在 Google Cloud 或 GKE On VMware 上创建和部署服务网格。我们还提供一个配置文件,其中包含在 Google Kubernetes Engine (GKE) 上使用 Anthos Service Mesh 的推荐设置,并提供另一个专为 GKE on VMware 设计的配置文件。

如需了解我们支持的服务网格功能,请参阅支持的功能

代管式组件

Anthos Service Mesh 具有一套额外的功能和工具,可帮助您以统一的方式观察和管理安全、可靠的服务。

注意:GKE on VMware、GKE on AWS、Amazon Elastic Kubernetes Service (Amazon EKS) 或 Microsoft Azure Kubernetes Service (Microsoft AKS) 不支持代管式组件,包括 Google Cloud 控制台中的 Anthos Service Mesh 页面。

可观测性功能

Google Cloud 控制台中的 Anthos Service Mesh 页面提供了以下有关服务网格的数据分析:

  • 网格 GKE 集群中的 HTTP 流量服务指标和日志会自动提取到 Google Cloud。

  • 预配置的服务信息中心可为您提供了解服务所需的信息。

  • 借助深入遥测,您可以深入了解指标和日志,按各种特性过滤和划分数据。

  • 服务到服务关系快览有助于您了解连接到每项服务的用户,以及每项服务所依赖的服务。

  • 您不仅可以快速了解您的服务的通信安全状况,还可以了解该服务与其他服务的关系。

  • 借助 Cloud Monitoring,您可以更深入了解您的服务指标,并将其与其他指标结合使用。

  • 通过服务等级目标 (SLO),您可以深入了解服务的运行状况。您可以轻松定义 SLO 并针对您自己的服务运行状况标准发出提醒。

安全优势

  • 降低使用被盗凭据重放或冒充别人攻击的风险。Anthos Service Mesh 依赖于双向 TLS (mTLS) 证书进行对等身份验证,而不是 JSON Web 令牌 (JWT) 等不记名令牌。

  • 确保传输加密。使用 mTLS 进行身份验证还可确保所有 TCP 通信在传输过程中都经过加密。

  • 确保只有经过授权的客户端才能访问包含敏感数据的服务,而不考虑客户端的网络位置和应用级层凭据。

  • 降低您的生产网络中发生用户数据泄露的风险。您可以确保内部人员只能通过获授权的客户端访问敏感数据。

  • 识别哪些客户端访问了包含敏感数据的服务。除 IP 地址外,Anthos Service Mesh 访问日志记录还会捕获客户端的 mTLS 身份。

  • 所有集群内控制层面组件和代理均使用已通过 FIPS 140-2 验证的加密模块。

后续步骤

  • 参阅我们的可观测性指南,详细了解 Anthos Service Mesh 的可观测性功能。

  • 参阅我们的安全指南,详细了解 Anthos Service Mesh 的安全功能。

  • 使用我们的安装指南安装 Anthos Service Mesh。