Glosarium

Halaman ini memberikan definisi singkat dan link ke informasi selengkapnya tentang istilah yang digunakan dalam dokumentasi Anthos Service Mesh.

C

bidang kontrol

Bidang kontrol adalah kumpulan layanan sistem yang mengonfigurasi mesh atau sebagian mesh untuk mengelola komunikasi antara instance beban kerja di dalamnya. Anthos Service Mesh 1.9 dan yang lebih baru menyediakan dua bidang kontrol:

  • Bidang kontrol yang dikelola Google (Pratinjau): Ini adalah layanan Google Cloud yang terkelola sepenuhnya dan hanya perlu Anda konfigurasi, sementara Google menangani keandalan, upgrade, penskalaan, dan keamanannya untuk Anda.

  • Bidang kontrol dalam cluster: Ini adalah distribusi istiod yang didukung Google yang diinstal di cluster Anda. Saat menginstal Anthos Service Mesh dengan istiod, Anda bertanggung jawab untuk mengupgrade serta mengonfigurasi keamanan dan penskalaan.

Meskipun bidang kontrol mendistribusikan konfigurasinya ke proxy file bantuan, bidang kontrol tidak secara langsung berpartisipasi dalam menangani traffic untuk workload di mesh.

D

bidang data
Bidang data adalah bagian dari mesh yang langsung menangani komunikasi antar-instance workload. Bidang data Anthos Service Mesh menggunakan proxy yang di-deploy sebagai file bantuan untuk memediasi dan mengontrol semua traffic TCP yang dikirim dan diterima oleh layanan mesh Anda.

F

perangkat [refers to 'device fleet', please consult TMM and adjust with the context accordingly]
armada (sebelumnya disebut environ) memungkinkan Anda mengatur cluster untuk mempermudah pengelolaan multi-cluster. Mendaftarkan cluster Anda dalam fleet akan menyederhanakan pengelolaan mesh multi-cluster dengan memperkenalkan konsep "kesamaan" untuk identitas, namespace, dan layanan. Jika memiliki cluster di project yang berbeda, Anda harus mendaftarkan cluster dengan project host armada, bukan project tempat cluster dibuat. Untuk mempelajari armada lebih lanjut, lihat Memperkenalkan fleet.

I

identitas

Identitas adalah konsep infrastruktur keamanan yang mendasar. Model identitas Anthos Service Mesh didasarkan pada identitas workload kelas satu. Pada awal komunikasi layanan-ke-layanan, kedua pihak bertukar kredensial dengan informasi identitas mereka untuk tujuan autentikasi bersama.

Klien memeriksa identitas server terhadap informasi penamaan aman mereka untuk menentukan apakah server diizinkan untuk menjalankan layanan.

Server memeriksa identitas klien untuk menentukan informasi yang dapat diakses klien. Server memutuskan apakah akan mengizinkan akses berdasarkan kebijakan otorisasi yang dikonfigurasi.

Dengan menggunakan identitas, server dapat mengaudit waktu akses informasi dan informasi yang diakses oleh klien tertentu. Mereka juga dapat menagih klien berdasarkan layanan yang mereka gunakan dan menolak setiap klien yang tidak membayar tagihannya untuk mengakses layanan tersebut.

Model identitas Anthos Service Mesh cukup fleksibel dan cukup terperinci untuk mewakili pengguna manusia, layanan individu, atau sekelompok layanan. Pada platform tanpa identitas layanan kelas satu, Anthos Service Mesh dapat menggunakan identitas lain yang dapat mengelompokkan instance layanan, seperti nama layanan.

Anthos Service Mesh mendukung identitas layanan berikut di berbagai platform:

  • Kubernetes: Akun layanan Kubernetes

  • Google Kubernetes Engine: Akun layanan Google Cloud

  • Google Cloud: Akun layanan Google Cloud

istiod

Istiod adalah biner monolitik gabungan yang menyediakan layanan bidang kontrol. Sebelum Anthos Service Mesh 1.5, layanan bidang kontrol disediakan oleh komponen terpisah yang disebut Pilot, Citadel, Mixer, dan Galley.

IstioOperator

Resource kustom yang Anda gunakan untuk mengonfigurasi bidang kontrol. Untuk mengetahui informasi selengkapnya, lihat IstioOperator di dokumen Istio.

M

TLS bersama
Anthos Service Mesh menggunakan TLSal (mTLS) untuk autentikasi dan enkripsi antarlayanan dalam mesh. mTLS memungkinkan beban kerja saling memverifikasi identitas satu sama lain dan melakukan autentikasi satu sama lain. Anda mungkin sudah terbiasa dengan TLS sederhana melalui penggunaannya di HTTPS untuk memungkinkan browser memercayai server web dan mengenkripsi data yang dipertukarkan. Ketika TLS sederhana digunakan, klien menetapkan bahwa server dapat dipercaya dengan memvalidasi sertifikatnya. mTLS adalah implementasi TLS di mana klien dan server memberikan sertifikat satu sama lain dan memverifikasi identitas masing-masing.

N

jaringan
Anthos Service Mesh menggunakan definisi jaringan yang disederhanakan berdasarkan konektivitas umum. Instance beban kerja berada di jaringan yang sama jika dapat berkomunikasi secara langsung, tanpa gateway.

##

file overlay
File YAML yang berisi resource kustom (CR) IstioOperator. Anda menggunakan file overlay untuk mengonfigurasi bidang kontrol. Anda dapat mengganti konfigurasi bidang kontrol default dan mengaktifkan fitur Opsional yang didukung dalam file YAML yang diteruskan ke istioctl install atau ke skrip install_asm. Anda dapat menambahkan lapisan pada lebih banyak overlay, dan setiap file overlay akan menggantikan konfigurasi pada lapisan sebelumnya. Lihat Mengaktifkan fitur opsional untuk YAML yang dapat Anda gunakan untuk mengaktifkan fitur yang tidak diaktifkan secara default.

P

cluster utama
Cluster utama adalah cluster dengan bidang kontrol. Satu mesh dapat memiliki lebih dari satu cluster utama untuk ketersediaan tinggi atau untuk mengurangi latensi. Dalam dokumentasi Istio 1.7, deployment multi-utama disebut sebagai bidang kontrol replika.

R

cluster jarak jauh
Cluster jarak jauh adalah cluster yang terhubung ke bidang kontrol yang berada di luar cluster. Cluster jarak jauh dapat terhubung ke bidang kontrol yang berjalan di cluster utama atau ke bidang kontrol eksternal.
revisi
Revisi merepresentasikan snapshot versi dan konfigurasi kode aplikasi pada saat itu. Saat Anda menginstal atau mengupgrade Anthos Service Mesh, label revisi akan ditambahkan ke istiod untuk mengidentifikasi versi. Untuk mengaktifkan injeksi bantuan otomatis, tambahkan label revisi ke namespace Anda, lalu mulai ulang Pod Anda. Anda menggunakan label revisi untuk mengaitkan pod dalam namespace dengan revisi istiod tertentu, sehingga Anda dapat mengupgrade dengan aman ke bidang kontrol baru dan melakukan rollback ke revisi asli jika terjadi masalah.

S

penamaan yang aman
Identitas server dienkode dalam sertifikat, tetapi nama layanan diambil melalui layanan penemuan atau DNS. Informasi penamaan yang aman memetakan identitas server ke nama layanan. Pemetaan identitas A ke nama layanan B berarti "A diizinkan untuk menjalankan layanan B". Bidang kontrol mengamati apiserver, menghasilkan pemetaan penamaan yang aman, dan mendistribusikannya dengan aman ke proxy file bantuan.
mesh layanan
Mesh layanan atau biasa disebut mesh adalah lapisan infrastruktur yang memungkinkan komunikasi yang terkelola, dapat diamati, dan aman antara instance beban kerja.
file bantuan
Pola untuk menjalankan utilitas atau helper bersama beban kerja. Jika Anda menggunakan Kubernetes, file bantuan berjalan bersama container workload di dalam pod. Saat membahas mesh layanan, kata "file bantuan" sering digunakan untuk merujuk ke proxy.

T

domain tepercaya

Domain kepercayaan terkait dengan root kepercayaan sistem dan merupakan bagian dari identitas beban kerja.

Anthos Service Mesh menggunakan domain kepercayaan untuk membuat semua identitas dalam mesh. Misalnya, dalam ID SPIFFE spiffe://mytrustdomain.com/ns/default/sa/myname, substring mytrustdomain.com menentukan bahwa beban kerja berasal dari domain tepercaya yang disebut mytrustdomain.com.

Saat menggunakan Mesh CA, domain kepercayaan dibuat secara otomatis oleh Anthos Service Mesh. Class ini didasarkan pada kumpulan beban kerja cluster, dalam bentuk project-id.svc.id.goog atau project-id.hub.id.goog.

Anda dapat memiliki satu atau beberapa domain kepercayaan dalam mesh multi-cluster, selama cluster tersebut memiliki root kepercayaan yang sama.

W

beban kerja
Beban kerja adalah aplikasi, layanan, atau program lain dalam container seperti tugas batch atau daemon yang berjalan di platform. Platformnya dapat berupa cluster Kubernetes, virtual machine, atau lingkungan lain seperti Google Distributed Cloud Virtual untuk Bare Metal. Beban kerja memiliki nama, namespace, dan ID unik. Di Kubernetes, beban kerja biasanya sesuai dengan Deployment, tetapi ada jenis beban kerja lainnya, seperti StatefulSet.