Anthos Service Mesh è una suite di strumenti che consente di monitorare e gestire un mesh di servizi affidabile on-premise o su Google Cloud.
Che cos'è un mesh di servizi?
Un mesh di servizi è un'architettura che consente comunicazioni gestite, osservabili e sicure tra i tuoi servizi, consentendoti di creare applicazioni aziendali solide composte da molti microservizi sull'infrastruttura scelta. I mesh di servizi tengono conto di tutti i problemi comuni legati all'esecuzione di un servizio, come monitoraggio, networking e sicurezza, con strumenti coerenti e potenti. In questo modo, gli sviluppatori e gli operatori di servizi possono concentrarsi più facilmente sulla creazione e sulla gestione di applicazioni straordinarie per i propri utenti.
Anthos Service Mesh si basa su Istio, una piattaforma mesh di servizi open source altamente configurabile, con strumenti e funzionalità che consentono di seguire le best practice del settore. Anthos Service Mesh viene distribuito come livello uniforme nell'intera infrastruttura. Gli sviluppatori e gli operatori di servizi possono utilizzare il proprio set di funzionalità avanzate senza apportare modifiche al codice dell'applicazione.
Dal punto di vista dell'architettura, un mesh di servizi è costituito da uno o più piani di controllo e un piano dati. Il mesh di servizi monitora tutto il traffico attraverso un proxy. Su Kubernetes, il deployment del proxy viene eseguito tramite un pattern collaterale ai microservizi nel mesh. Sulle macchine virtuali (VMS), il proxy è installato sulla VM. Questo pattern separa l'applicazione o la logica di business dalle funzioni di rete e consente agli sviluppatori di concentrarsi sulle funzionalità di cui l'azienda ha bisogno. I mesh di servizi consentono inoltre ai team operativi e ai team di sviluppo di disaccoppiare il proprio lavoro l'uno dall'altro.
Il seguente diagramma mostra i componenti e le funzionalità di Anthos Service Mesh per il piano di controllo nel cluster e i proxy sidecar.
In che modo Anthos Service Mesh può aiutarmi?
Con Anthos Service Mesh, puoi usufruire di una distribuzione di Istio testata e supportata da GKE Enterprise, che ti consente di creare ed eseguire il deployment di un mesh di servizi su GKE su Google Cloud e su altre piattaforme con il supporto completo di Google.
Funzionalità
Anthos Service Mesh offre una suite di funzionalità e strumenti che ti consentono di osservare e gestire servizi sicuri e affidabili in modo unificato.
Nota: alcune funzionalità, incluse le pagine Anthos Service Mesh nella console Google Cloud, sono disponibili solo in GKE su Google Cloud. Per scoprire di più sulle funzionalità del mesh di servizi supportate su ogni piattaforma, consulta Funzionalità supportate.
Gestione del traffico
Anthos Service Mesh controlla il flusso del traffico tra i servizi, nel mesh (in entrata) e nei servizi esterni (in uscita). Puoi configurare ed eseguire il deployment di risorse personalizzate compatibili con Istio per gestire questo traffico a livello di applicazione (L7). Ad esempio, con le risorse personalizzate puoi:
- Crea deployment canary e blu-verde.
- Fornisci un controllo granulare su route specifiche per i servizi.
- Configura il bilanciamento del carico tra i servizi.
- Configura gli interruttori di sicurezza.
Anthos Service Mesh gestisce un registro dei servizi di tutti i servizi nel mesh per nome e in base ai rispettivi endpoint. Gestisce il registry per gestire il flusso di traffico (ad esempio, gli indirizzi IP dei pod di Kubernetes). Utilizzando questo registro di servizi ed eseguendo i proxy accanto ai servizi, la rete mesh può indirizzare il traffico all'endpoint appropriato.
Insight sull'osservabilità
Le pagine di Anthos Service Mesh nella console Google Cloud forniscono le seguenti informazioni sul mesh di servizi:
Le metriche e i log di servizio per il traffico HTTP all'interno del cluster GKE del tuo mesh vengono importati automaticamente in Google Cloud.
Le dashboard dei servizi preconfigurate forniscono le informazioni necessarie per comprendere i servizi.
La telemetria approfondita, basata su Cloud Monitoring, Cloud Logging e Cloud Trace, ti consente di approfondire le metriche e i log dei tuoi servizi. Puoi filtrare e suddividere i dati in base a un'ampia gamma di attributi.
La panoramica delle relazioni tra servizi consente di capire chi si connette a ciascun servizio e da quali servizi dipende.
Puoi vedere rapidamente il livello di sicurezza della comunicazione non solo del tuo servizio, ma anche delle sue relazioni con gli altri servizi.
Gli obiettivi del livello di servizio (SLO) forniscono insight sull'integrità dei servizi. Puoi definire facilmente uno SLO e avvisi sui tuoi standard di integrità dei servizi.
Scopri di più sulle funzionalità di osservabilità di Anthos Service Mesh nella nostra guida sull'osservabilità.
Vantaggi per la sicurezza
Riduce il rischio di attacchi di riproduzione o furto d'identità che utilizzano credenziali rubate. Anthos Service Mesh si basa su certificati mTLS (mutual TLS) per l'autenticazione dei peer, anziché token di connessione come i token web JSON (JWT).
Garantisce la crittografia in transito. L'uso di mTLS per l'autenticazione assicura inoltre che tutte le comunicazioni TCP siano criptate in transito.
Assicura che solo i client autorizzati possano accedere a un servizio con dati sensibili, indipendentemente dalla località di rete del client e dalle credenziali a livello di applicazione.
Riduce il rischio di violazione dei dati utente all'interno della tua rete di produzione. Puoi assicurarti che gli addetti ai lavori possano accedere ai dati sensibili solo tramite clienti autorizzati.
Identifica quali client hanno eseguito l'accesso a un servizio con dati sensibili. Il logging degli accessi di Anthos Service Mesh acquisisce l'identità mTLS del client oltre all'indirizzo IP.
Tutti i componenti e i proxy del piano di controllo nel cluster utilizzano moduli di crittografia convalidati FIPS 140-2.
Scopri di più sui vantaggi e sulle funzionalità di sicurezza di Anthos Service Mesh nella nostra guida alla sicurezza.
Opzioni di relative al deployment
Prima della versione 1.9, hai installato il piano di controllo Anthos Service Mesh sul tuo cluster e gestito autonomamente l'upgrade. Con Anthos Service Mesh 1.9 e versioni successive, hai le seguenti opzioni di deployment:
- Esegui il deployment del piano di controllo gestito da Google.
- Includi le VM di Compute Engine nel mesh di servizi.
Piano di controllo gestito da Google
Un piano di controllo gestito da Google eseguirà automaticamente l'upgrade, la scalabilità e la protezione del tuo mesh, riducendo al minimo la manutenzione manuale degli utenti. Il seguente diagramma mostra i componenti e le caratteristiche di Anthos Service Mesh per il piano di controllo gestito da Google e i proxy sidecar in-cluster.
Per informazioni sulla configurazione o sulla migrazione a un piano di controllo gestito da Google, consulta Configurazione del piano di controllo gestito da Google.
Anthos Service Mesh per VM di Compute Engine
Anthos Service Mesh per le VM di Compute Engine è ora disponibile come funzionalità di anteprima. Puoi gestire, osservare e proteggere i servizi in esecuzione sui gruppi di istanze gestite (MIG) di Compute Engine e su GKE sui cluster Google Cloud nella stessa rete mesh. Puoi combinare e scegliere l'ambiente migliore per l'esecuzione dei tuoi servizi sfruttando al contempo i vantaggi di Anthos Service Mesh. Il seguente diagramma mostra un gruppo di istanze gestite nella stessa rete di servizio di un cluster GKE:
Per ulteriori informazioni, consulta Aggiungere VM di Compute Engine ad Anthos Service Mesh.
Che cosa succede dopo?
- Installa Anthos Service Mesh utilizzando le nostre guide all'installazione
- Configura la sicurezza del trasporto