Halaman ini memberikan definisi singkat dan link ke informasi selengkapnya tentang istilah yang digunakan dalam dokumentasi Anthos Service Mesh.
A
- Workload Identity Anthos
- tuple
dari
trust domain
,namespace
, danservice account
. Fungsi ini memiliki format identitas SPIFFEspiffe://<workload_identity_pool>/ns/<namespace>/sa/<serviceaccount>
dalam sertifikat workload Anthos x509. Untuk jenis kredensial lainnya (mis., token OIDC), formatnya dapat bervariasi.
C
- Canonical Service
- Label yang diterapkan ke workload di Anthos Service Mesh, yang memungkinkan Anda mengelompokkan satu atau beberapa workload sebagai layanan logis dalam mesh layanan. Beban kerja termasuk dalam satu layanan kanonis, sedangkan beban kerja dapat dimiliki oleh beberapa layanan Kubernetes. Layanan kanonis diidentifikasi dengan nama dan namespace, serta dapat dibagi lagi menjadi satu atau beberapa revisi kanonis.
- bidang kontrol
Bidang kontrol adalah kumpulan layanan sistem yang mengonfigurasi mesh atau sebagian mesh untuk mengelola komunikasi antara instance beban kerja di dalamnya. Anthos Service Mesh 1.9 dan yang lebih baru menyediakan dua bidang kontrol:
Bidang kontrol yang dikelola Google: Ini adalah layanan Google Cloud terkelola sepenuhnya yang hanya perlu Anda konfigurasi, sementara Google menangani keandalan, upgrade, penskalaan, dan keamanannya untuk Anda.
Bidang kontrol dalam cluster: Ini adalah distribusi istiod yang didukung Google yang diinstal di cluster Anda. Saat menginstal Anthos Service Mesh dengan
istiod
, Anda bertanggung jawab untuk mengupgrade serta mengonfigurasi keamanan dan penskalaan.
Meskipun bidang kontrol mendistribusikan konfigurasinya ke proxy file bantuan, bidang kontrol tidak secara langsung berpartisipasi dalam menangani traffic untuk workload di mesh.
D
- bidang data
- Bidang data adalah bagian dari mesh yang langsung menangani komunikasi antar-instance workload. Bidang data Anthos Service Mesh menggunakan proxy yang di-deploy sebagai file bantuan untuk memediasi dan mengontrol semua traffic TCP yang dikirim dan diterima oleh layanan mesh Anda.
F
- perangkat [refers to 'device fleet', please consult TMM and adjust with the context accordingly]
- armada (sebelumnya disebut environ) memungkinkan Anda mengatur cluster untuk mempermudah pengelolaan multi-cluster. Mendaftarkan cluster Anda dalam fleet akan menyederhanakan pengelolaan mesh multi-cluster dengan memperkenalkan konsep "kesamaan" untuk identitas, namespace, dan layanan. Jika memiliki cluster di project yang berbeda, Anda harus mendaftarkan cluster dengan project host armada, bukan project tempat cluster dibuat. Untuk mempelajari armada lebih lanjut, lihat Memperkenalkan fleet.
I
- identitas
Identitas adalah konsep infrastruktur keamanan yang mendasar. Model identitas Anthos Service Mesh didasarkan pada identitas workload kelas satu. Pada awal komunikasi layanan-ke-layanan, kedua pihak bertukar kredensial dengan informasi identitas mereka untuk tujuan autentikasi bersama.
Klien memeriksa identitas server terhadap informasi penamaan aman mereka untuk menentukan apakah server diizinkan untuk menjalankan layanan.
Server memeriksa identitas klien untuk menentukan informasi yang dapat diakses klien. Server memutuskan apakah akan mengizinkan akses berdasarkan kebijakan otorisasi yang dikonfigurasi.
Dengan menggunakan identitas, server dapat mengaudit waktu akses informasi dan informasi yang diakses oleh klien tertentu. Mereka juga dapat menagih klien berdasarkan layanan yang mereka gunakan dan menolak setiap klien yang tidak membayar tagihannya untuk mengakses layanan tersebut.
Model identitas Anthos Service Mesh cukup fleksibel dan cukup terperinci untuk mewakili pengguna manusia, layanan individu, atau sekelompok layanan. Pada platform tanpa identitas layanan kelas satu, Anthos Service Mesh dapat menggunakan identitas lain yang dapat mengelompokkan instance layanan, seperti nama layanan.
Anthos Service Mesh mendukung identitas layanan berikut di berbagai platform:
Kubernetes: Akun layanan Kubernetes
Google Kubernetes Engine: Akun layanan Google Cloud
Google Cloud: Akun layanan Google Cloud
- gateway masuk
Gateway masuk mewakili load balancer untuk menangani traffic masuk yang masuk dari luar mesh. Anda menggunakan resource Gateway Istio untuk mengonfigurasi load balancer, serta membuat layanan virtual dan kebijakan autentikasi untuk mengontrol cara traffic masuk diamankan dan dirutekan ke workload Anda.
istiod
istiod ("d" untuk "daemon)" adalah biner monolitik gabungan yang menyediakan layanan bidang kontrol. Sebelum Anthos Service Mesh 1.5, layanan bidang kontrol disediakan oleh komponen terpisah yang disebut Pilot, Citadel, Mixer, dan Galley.
IstioOperator
Resource kustom yang Anda gunakan untuk mengonfigurasi bidang kontrol dalam cluster. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan fitur opsional.
M
- Grup Instance Terkelola (MIG)
- Memungkinkan Anda mengoperasikan aplikasi di beberapa VM yang identik, dimulai dengan ukuran MIG minimum satu VM. Anda dapat membuat workload Anda skalabel dan sangat tersedia dengan memanfaatkan layanan MIG otomatis, termasuk: penskalaan otomatis, autohealing, deployment regional (beberapa zona), dan update otomatis. Untuk mengetahui informasi selengkapnya, lihat grup instance terkelola (MIG).
- Mesh CA
- Nama certificate authority yang dikelola Google yang mengelola sertifikat mTLS. Mesh CA diinstal secara default saat Anda menginstal Anthos Service Mesh.
- TLS bersama
- Anthos Service Mesh menggunakan TLSal (mTLS) untuk autentikasi dan enkripsi antarlayanan dalam mesh. mTLS memungkinkan beban kerja saling memverifikasi identitas satu sama lain dan melakukan autentikasi satu sama lain. Anda mungkin sudah terbiasa dengan TLS sederhana melalui penggunaannya di HTTPS untuk memungkinkan browser memercayai server web dan mengenkripsi data yang dipertukarkan. Ketika TLS sederhana digunakan, klien menetapkan bahwa server dapat dipercaya dengan memvalidasi sertifikatnya. mTLS adalah implementasi TLS di mana klien dan server memberikan sertifikat satu sama lain dan memverifikasi identitas masing-masing.
N
- jaringan
- Anthos Service Mesh menggunakan definisi jaringan yang disederhanakan berdasarkan konektivitas umum. Instance beban kerja berada di jaringan yang sama jika dapat berkomunikasi secara langsung, tanpa gateway.
O
- file overlay
- File YAML yang berisi resource kustom (CR)
IstioOperator
. Anda menggunakan file overlay untuk mengonfigurasi bidang kontrol. Anda dapat mengganti konfigurasi bidang kontrol default dan mengaktifkan fitur Opsional yang didukung dalam file YAML yang diteruskan keistioctl install
atau ke skripinstall_asm
. Anda dapat menambahkan lapisan pada lebih banyak overlay, dan setiap file overlay akan menggantikan konfigurasi pada lapisan sebelumnya. Lihat Mengaktifkan fitur opsional untuk YAML yang dapat Anda gunakan untuk mengaktifkan fitur yang tidak diaktifkan secara default.
P
- cluster utama
- Cluster utama adalah cluster dengan bidang kontrol. Satu mesh dapat memiliki lebih dari satu cluster utama untuk ketersediaan tinggi atau untuk mengurangi latensi. Dalam dokumentasi Istio 1.7, deployment multi-utama disebut sebagai bidang kontrol replika.
R
- cluster jarak jauh
- Cluster jarak jauh adalah cluster yang terhubung ke bidang kontrol yang berada di luar cluster. Cluster jarak jauh dapat terhubung ke bidang kontrol yang berjalan di cluster utama atau ke bidang kontrol eksternal.
- revisi
- Revisi merepresentasikan snapshot versi dan konfigurasi kode aplikasi pada saat itu. Saat Anda menginstal atau mengupgrade Anthos Service Mesh, label revisi akan ditambahkan ke bidang kontrol saat Anda menginstal atau mengupgrade Anthos Service Mesh. Untuk mengaktifkan injeksi bantuan otomatis, tambahkan label revisi ke namespace Anda, lalu mulai ulang Pod Anda. Label revisi mengaitkan Pod dalam namespace dengan revisi bidang kontrol tertentu.
- upgrade berbasis revisi
- Migrasi dari Istio dan upgrade OSS mengikuti proses upgrade berbasis revisi (disebut sebagai "upgrade canary" dalam dokumentasi Istio). Dengan upgrade berbasis revisi, revisi baru bidang kontrol akan diinstal bersama bidang kontrol yang ada. Kemudian, Anda dapat memindahkan beberapa workload ke revisi baru, yang memungkinkan Anda memantau efek upgrade dengan sebagian kecil beban kerja sebelum memigrasikan semua traffic ke revisi baru.
S
- penamaan yang aman
- Identitas server dienkode dalam sertifikat, tetapi nama layanan diambil melalui layanan penemuan atau DNS. Informasi penamaan yang aman
memetakan identitas server ke nama layanan. Pemetaan identitas A ke
nama layanan B berarti "A diizinkan untuk menjalankan layanan B". Bidang kontrol
mengamati
apiserver
, menghasilkan pemetaan penamaan yang aman, dan mendistribusikannya dengan aman ke proxy file bantuan. - mesh layanan
- Mesh layanan atau biasa disebut mesh adalah lapisan infrastruktur yang memungkinkan komunikasi yang terkelola, dapat diamati, dan aman antara instance beban kerja.
- file bantuan
- Pola untuk menjalankan utilitas atau helper bersama beban kerja. Jika Anda menggunakan Kubernetes, file bantuan berjalan bersama container workload di dalam pod. Saat membahas mesh layanan, kata "file bantuan" sering digunakan untuk merujuk ke proxy.
T
- domain tepercaya
Domain kepercayaan terkait dengan root kepercayaan sistem dan merupakan bagian dari identitas beban kerja.
Anthos Service Mesh menggunakan domain kepercayaan untuk membuat semua identitas dalam mesh. Misalnya, dalam ID SPIFFE
spiffe://mytrustdomain.com/ns/default/sa/myname
, substringmytrustdomain.com
menentukan bahwa beban kerja berasal dari domain tepercaya yang disebutmytrustdomain.com
.Saat menggunakan Mesh CA, domain kepercayaan dibuat secara otomatis oleh Anthos Service Mesh. Ini didasarkan pada kumpulan beban kerja cluster.
Anda dapat memiliki satu atau beberapa domain kepercayaan dalam mesh multi-cluster, selama cluster tersebut memiliki root kepercayaan yang sama.
W
- beban kerja
- Beban kerja adalah aplikasi, layanan, atau program lain dalam container seperti tugas batch atau daemon yang berjalan di platform. Platformnya dapat berupa cluster Kubernetes, virtual machine, atau lingkungan lain seperti Google Distributed Cloud Virtual untuk Bare Metal. Beban kerja memiliki nama, namespace, dan ID unik. Di Kubernetes, beban kerja biasanya sesuai dengan Deployment, tetapi ada jenis beban kerja lainnya, seperti StatefulSet.
- WorkloadEntry
- memungkinkan Anda mendeskripsikan endpoint non-Kubernetes-Pod yang seharusnya menjadi bagian dari mesh, dan memperlakukannya sama seperti Pod Kubernetes. Dalam kasus ini, setiap VM terdaftar sebagai WorkloadEntry di mesh. Untuk informasi selengkapnya, lihat https://istio.io/latest/blog/2020/workload-entry/
- WorkloadGroup
- menjelaskan kumpulan instance beban kerja. Lihat WorkloadGroup.
- Kumpulan Workload Identity
- Batas kepercayaan, juga dikenal sebagai domain kepercayaan Anthos Service Mesh.