Anthos Service Mesh とは

Anthos Service Mesh は、オンプレミスまたは Google Cloud で信頼性の高いサービス メッシュをモニタリングし、管理するのに便利な一連のツールです。

サービス メッシュとは

サービス メッシュは、サービス間で管理され、監視可能な安全な通信を可能にするインフラストラクチャ レイヤです。これにより、選択したインフラストラクチャ上に多くのマイクロサービスで構成される堅牢なエンタープライズ アプリケーションを作成できます。サービス メッシュでは、モニタリング、ネットワーキング、セキュリティなどのサービスの実行についての共通の懸念を整合性のある強力なツールで分析するため、サービス デベロッパーやオペレーターはユーザー向けのアプリケーションの開発と管理に専念しやすくなります。

Anthos Service Mesh は、強力で高度な構成が可能なオープンソース サービス メッシュ プラットフォームである Istio を利用しています。このプラットフォームには、業界のベスト プラクティスを実現するツールと機能が用意されています。Anthos Service Mesh は、インフラストラクチャ全体にわたって統一されたレイヤとしてデプロイされます。サービス デベロッパーとオペレーターは、アプリケーションのコードを変更することなく、さまざまな機能セットを使用できます。

Istio とその使用方法については、Istio のドキュメントをご覧ください。

Anthos Service Mesh を活用するには

Anthos Service Mesh によって、GKE Enterprise によってテストされサポートされている Istio のディストリビューションを入手し、Google のフルサポートで Google Cloud または GKE on VMware のサービス メッシュを作成してデプロイできます。また、Google Kubernetes Engine(GKE)では、Anthos Service Mesh の使用時の推奨設定付きの構成プロファイルと、GKE on VMware 用に設計された別のプロファイルも用意されています。

Google がサポートするサービス メッシュ機能については、サポートされる機能をご覧ください。

マネージド コンポーネント

Anthos Service Mesh には、この他にも充実した機能とツールが含まれ、信頼性の高い安全なサービスを次のような形で一元的にモニタリングおよび管理できます。

注: Google Cloud コンソールの [Anthos Service Mesh] ページなどのマネージド コンポーネントは、GKE on VMware、GKE on AWS、Amazon Elastic Kubernetes Service(Amazon EKS)、Microsoft Azure Kubernetes Service(Microsoft AKS)でサポートされません。

オブザーバビリティ機能

Google Cloud コンソールの Anthos の [サービス メッシュ] ページでは、次のようにサービス メッシュに関する情報を利用できます。

  • メッシュの GKE クラスタ内の HTTP トラフィックに関して、サービスの指標とログが自動的に Google Cloud に取り込まれます。

  • 事前構成されたサービス ダッシュボードで、サービスの理解に必要な情報を確認できます。

  • 詳細なテレメトリーで指標とログを詳しく分析し、さまざまな属性に基づきデータをフィルタ、スライスできます。

  • サービス同士の関係が可視化されるため、各サービスの接続関係、依存関係を理解するのに役立ちます。

  • 自分のサービスだけでなく、他のサービスとの関係のコミュニケーション セキュリティの分析情報もすばやく確認できます。

  • Cloud Monitoring によって、サービス指標の詳細を詳しく分析し、他の指標と組み合わせて評価できます。

  • サービスレベル目標(SLO)により、サービスの状態についての分析情報を取得できます。サービスの状態に関する独自の基準を使用して SLO とアラートを簡単に定義できます。

セキュリティ上のメリット

  • 盗まれた認証情報によるリプレイまたはなりすまし攻撃のリスクを軽減する。Anthos Service Mesh では、JSON Web Token(JWT)などの署名なしトークンではなく、相互 TLS 証明書(mTLS)を使用してピアを認証します。

  • 通信中の暗号化を保証する。認証に mTLS を使用すると、すべての TCP 通信が通信中に暗号化されます。

  • クライアントのネットワークのロケーションやアプリケーション レベルの認証情報にかかわらず、承認されたクライアントだけが機密データを含むサービスにアクセスできるようにします。

  • 本番環境ネットワーク内でユーザーデータ侵害のリスクを軽減する。インサイダーが機密データにアクセスするときには、必ず承認されたクライアントを使用するようにします。

  • 機密データのあるサービスにアクセスしたクライアントを識別する。Anthos Service Mesh のアクセス ロギングを使用すると、IP アドレスだけでなく、クライアントの mTLS ID も収集できます。

  • クラスタ内コントロール プレーンのすべてのコンポーネントとプロキシで、FIPS 140-2 認証取得済みの暗号化モジュールが使用されます。

次のステップ