Glossar

Diese Seite enthält kurze Definitionen und Links zu weiteren Informationen für die Begriffe, die in der Anthos Service Mesh-Dokumentation verwendet werden.

C

Steuerungsebene

Eine Steuerungsebene besteht aus einer Reihe von Systemdiensten, die das Mesh-Netzwerk oder eine Teilmenge des Mesh-Netzwerks konfigurieren, um die Kommunikation zwischen den Arbeitslastinstanzen zu verwalten. Anthos Service Mesh 1.9 und höher bietet zwei Steuerungsebenen:

Von Google verwaltete Steuerungsebene (Vorschau): Dies ist ein vollständig verwalteter Google Cloud-Dienst, den Sie nur konfigurieren müssen. Google sorgt für dessen Zuverlässigkeit, Upgrades, Skalierung und Sicherheit.
Clusterinterne Steuerungsebene: Dies ist eine von Google unterstützte Verteilung von istiod, die Sie auf Ihrem Cluster installieren. Wenn Sie Anthos Service Mesh mit istiod installieren, sind Sie für die Aktualisierung sowie die Konfiguration der Sicherheit und Skalierung verantwortlich.

Obwohl die Steuerungsebene ihre Konfiguration an die Sidecar-Proxys verteilt, ist die Steuerungsebene nicht direkt an der Verarbeitung von Traffic für Arbeitslasten im Mesh-Netzwerk beteiligt.

D

Datenebene: Die Datenebene ist der Teil des Mesh-Netzwerks, mit dem die Kommunikation zwischen Arbeitslastinstanzen direkt gesteuert wird. Die Datenebene von Anthos Service Mesh verwendet Proxys, die als Sidecars bereitgestellt werden, um den gesamten von Ihren Mesh-Diensten gesendeten und empfangenen TCP-Traffic zu vermitteln und zu steuern.

F

Flotte: Mit einer Flotte (früher als Environ bezeichnet) können Sie Cluster organisieren und so die Verwaltung mehrerer Cluster vereinfachen. Die Registrierung Ihrer Cluster in einer Flotte vereinfacht die Verwaltung eines Multi-Cluster-Mesh-Netzwerks, indem das Konzept der „Gleichheit“ für Identität, Namespaces und Dienste eingeführt wird. Wenn Sie Cluster in verschiedenen Projekten haben, müssen Sie die Cluster beim Flotten-Hostprojekt statt bei dem Projekt registrieren, in dem der Cluster erstellt wurde. Weitere Informationen zu Flotten finden Sie unter Einführung in Flotten.

I

identity

Identity ist ein grundlegendes Konzept der Sicherheitsinfrastruktur. Das Anthos Service Mesh-Identitätsmodell basiert auf einer Workload Identity der ersten Klasse. Am Anfang der Dienst-zu-Dienst-Kommunikation tauschen die beiden Parteien Anmeldedaten zur Identität zwecks gegenseitiger Authentifizierung aus.

Clients überprüfen die Identität des Servers im Hinblick auf deren sichere Namensinformationen, um festzustellen, ob der Server zur Ausführung des Dienstes autorisiert ist.

Server überprüfen die Identität des Clients, um festzustellen, auf welche Informationen der Client zugreifen kann. Server entscheiden, ob der Zugriff anhand der konfigurierten Autorisierungsrichtlinien zugelassen wird.

Mithilfe der Identität können Server prüfen, wann auf welche Informationen zugegriffen wurde und welche Informationen von einem bestimmten Client aufgerufen wurden. Sie können Clients auch basierend auf den von ihnen verwendeten Diensten Gebühren in Rechnung stellen und Clients, deren Rechnung nicht bezahlt wurde, den Zugriff auf Dienste verweigern.

Das Identitätsmodell von Anthos Service Mesh ist flexibel und detailliert genug, um einen Nutzer, einen einzelnen Dienst oder eine Gruppe von Diensten darzustellen. Auf Plattformen ohne erstklassige Dienstidentität kann Anthos Service Mesh andere Identitäten verwenden, die Dienstinstanzen wie etwa Dienstnamen gruppieren können.

Anthos Service Mesh unterstützt die folgenden Dienstidentitäten auf verschiedenen Plattformen:

Kubernetes: Kubernetes-Dienstkonto
Google Kubernetes Engine: Google Cloud-Dienstkonto
Google Cloud: Google Cloud-Dienstkonto

istiod

Istiod ist eine konsolidierte monolithische Binärdatei, die Dienste derSteuerungsebene bereitstellt. Vor Anthos Service Mesh 1.5 wurden die Dienste der Steuerungsebene von den separaten Komponenten Pilot, Citadel, Mixer und Galley bereitgestellt.

IstioOperator

Eine benutzerdefinierte Ressource, mit der Sie die Steuerungsebene konfigurieren. Weitere Informationen finden Sie in der Istio-Dokumentation unter IstioOperator.

$

Gegenseitiges TLS: Anthos Service Mesh nutzt gegenseitiges TLS (mTLS) für die Authentifizierung und Verschlüsselung zwischen Diensten im Mesh. Mit mTLS können Arbeitslasten die Identitäten untereinander prüfen und sich gegenseitig authentifizieren. Möglicherweise sind Sie mit einfachem TLS vertraut. Dies wird in HTTPS genutzt, um es Browsern zu ermöglichen, Webservern zu vertrauen und die ausgetauschten Daten zu verschlüsseln. Wenn einfaches TLS verwendet wird, stellt der Client fest, dass der Server als vertrauenswürdig eingestuft werden kann, indem er sein Zertifikat validiert. mTLS ist eine Implementierung von TLS, in der sowohl der Client als auch der Server Zertifikate bereitstellen und die Identität des jeweils anderen überprüft wird.

✘

network: Anthos Service Mesh verwendet eine vereinfachte Definition von Netzwerken auf der Grundlage allgemeiner Konnektivität. Arbeitslastinstanzen befinden sich im selben Netzwerk, wenn sie direkt ohne Gateway direkt kommunizieren können.

Overlay-Datei: Eine YAML-Datei mit einer benutzerdefinierten Ressource vom Typ IstioOperator. Mit Overlay-Dateien lässt sich die Steuerungsebene konfigurieren. Sie können die Standardkonfiguration der Steuerungsebene überschreiben und die optional unterstützten Features in einer YAML-Datei aktivieren, die Sie an istioctl install oder an das Skript install_asm übergeben. Sie können mehr Overlays übereinander legen. Jede Overlay-Datei überschreibt die Konfiguration auf den vorherigen Ebenen. Unter Optionale Features aktivieren finden Sie Informationen zur YAML-Datei, die Sie für die Aktivierung von Features verwenden können, die nicht standardmäßig aktiviert werden.

P

Primärer Cluster: Ein primärer Cluster ist ein Cluster mit einer Steuerungsebene. Ein einzelnes Mesh-Netzwerk kann für eine hohe Verfügbarkeit und zur Reduzierung der Latenz mehr als einen primären Cluster haben. In der Dokumentation zu Istio 1.7 wird eine mehrfache Bereitstellung als replizierte Steuerungsebene bezeichnet.

R

Remote-Cluster: Ein Remote-Cluster ist ein Cluster, der eine Verbindung zu einer Steuerungsebene herstellt, die sich außerhalb des Clusters befindet. Ein Remote-Cluster kann eine Verbindung zu einer Steuerungsebene herstellen, die in einem primären Cluster oder einer externen Steuerungsebene ausgeführt wird.
Revision: Eine Überarbeitung stellt eine Snapshot-Version der Anwendung sowie einen Snapshot in einer bestimmten Zeit dar. Wenn Sie Anthos Service Mesh installieren oder aktualisieren, wird istiod ein Überarbeitungslabel hinzugefügt, das die Version identifiziert. Um die automatische Sidecar-Injektion zu aktivieren, fügen Sie das Überarbeitungslabel zu Ihren Namespaces hinzu und starten Ihre Pods neu. Sie verwenden das Überarbeitungslabel, um die Pods in einem Namespace einer bestimmten istiod-Überarbeitung zuzuordnen. Damit lässt sich ein sicheres Upgrade auf eine neue Steuerungsebene und bei Problemen ein Rollback zur ursprünglichen Überarbeitung ausführen.

S

Sichere Benennung: Serveridentitäten werden in Zertifikaten codiert. Dienstnamen werden jedoch über den Discovery-Dienst oder DNS abgerufen. Die sicheren Benennungsinformationen ordnen die Serveridentitäten den Dienstnamen zu. Die Zuordnung von Identität A zu Dienstname B bedeutet „A ist zur Ausführung von Dienst B berechtigt". Die Steuerungsebene beobachtet den apiserver, generiert die sicheren Namenszuordnungen und verteilt sie sicher an die Sidecar-Proxys.
Service Mesh: Ein Service Mesh oder ein einfaches Mesh-Netzwerk ist eine Infrastrukturebene, die eine verwaltete, beobachtbare und sichere Kommunikation zwischen Arbeitslastinstanzen ermöglicht.
Sidecar: Ein Muster zum Ausführen eines Dienstprogramms oder eines Hilfsprogramms mit einer Arbeitslast. Wenn Sie Kubernetes verwenden, werden Sidecars zusammen mit dem Arbeitslastcontainer in einem Pod ausgeführt. Beim Thema „Service Mesh“ wird der Begriff „Sidecar“ häufig verwendet, um auf den Proxy zu verweisen.

T

Trust-Domain

Trust-Domain ist eine vertrauenswürdige Domain und entspricht dem Root of Trust eines Systems. Sie ist Teil einer Workload Identity.

Anthos Service Mesh verwendet eine vertrauenswürdige Domain, um alle Identitäten in einem Mesh-Netzwerk zu erstellen. Beispiel: In der SPIFFE-ID spiffe://mytrustdomain.com/ns/default/sa/myname wird mit dem Teilstring mytrustdomain.com angegeben, dass die Arbeitslast von einer vertrauenswürdigen Domain mit dem Namen mytrustdomain.com stammt.

Bei Verwendung der Mesh-CA wird die vertrauenswürdige Domain automatisch von Anthos Service Mesh generiert. Sie basiert auf dem Arbeitspool des Clusters in Form von project-id.svc.id.goog oder project-id.hub.id.goog.

Sie können eine oder mehrere vertrauenswürdige Domains in einem Multi-Cluster-Mesh haben, sofern die Cluster über denselben Root of Trust verfügen.

W

Arbeitslast: Eine Arbeitslast ist eine containerisierte Anwendung, ein Dienst oder ein anderes Programm, z. B. ein Batchjob oder ein Daemon, der auf einer Plattform ausgeführt wird. Die Plattform kann ein Kubernetes-Cluster, eine virtuelle Maschine oder eine andere Umgebung wie Google Distributed Cloud Virtual for Bare Metal sein. Arbeitslasten haben Namen, Namespaces und eindeutige IDs. In Kubernetes entspricht eine Arbeitslast normalerweise einem Deployment. Es gibt aber auch andere Arten von Arbeitslasten, z. B. ein StatefulSet.