Cloud Service Mesh – Übersicht
Cloud Service Mesh ist ein Service Mesh, das in Google Cloud verfügbar ist und auf unterstützten GKE Enterprise-Plattformen. Es unterstützt Dienste, die auf verschiedenen von Datenverarbeitungsinfrastrukturen. Cloud Service Mesh wird durch APIs gesteuert die für Google Cloud, Open Source oder beides konzipiert sind.
Dieses Dokument richtet sich an Sie, wenn Sie ein neuer Cloud Service Mesh-Nutzer oder ein Kunde von Anthos Service Mesh oder Traffic Director sind.
Was ist ein Service Mesh?
Ein Service Mesh ist eine Architektur, die verwaltete, beobachtbare und sichere Kommunikation zwischen Ihren Diensten, was es Ihnen erleichtert, aus vielen Mikrodiensten auf Ihrem und Infrastruktur. Service Meshes verwalten die allgemeinen Anforderungen für die Ausführung eines wie Monitoring, Netzwerk und Sicherheit mit einheitlichen, leistungsstarken sodass sich Dienstentwickler und -betreiber auf tolle Anwendungen für ihre Nutzer erstellen und verwalten.
Architektonisch besteht ein Service Mesh aus einer oder mehreren Steuerungsebenen und einer Datenebene. Das Service Mesh überwacht den gesamten zu und aus Ihren Diensten eingehenden Traffic. In Kubernetes wird ein Proxy von einem Sidecar-Muster zu den Mikrodiensten im Mesh-Netzwerk hinzu. In Compute Engine können Sie Proxys auf VMs bereitstellen oder proxylose gRPC-Dienste für die Datenebene verwenden.
Dieses Muster entkoppelt die Anwendungs- oder Geschäftslogik von Netzwerkfunktionen und ermöglicht es Entwicklern, sich auf die Funktionen zu konzentrieren, die das Unternehmen benötigt. Mit Service Meshes können Betriebsteams und Entwicklungsteams ihre Arbeit auch entkoppeln.
Die Architektur Ihrer Anwendungen als Mikrodienste bietet viele Vorteile. Sie können jedoch Ihre Arbeitslasten können bei der Skalierung komplexer und fragmentierter werden. Dienst hilft, das Fragmentierungsproblem zu lösen und die Verwaltung Mikrodienste.
Was ist ein Cloud Service Mesh?
Cloud Service Mesh ist die Google-Lösung für Google Cloud und unterstützten GKE Enterprise-Umgebungen.
- In Google Cloud: Cloud Service Mesh bietet APIs, die
und zwar speziell für die Computing-Infrastruktur,
auf der Ihre Arbeitslasten ausgeführt werden.
- Für Compute Engine-Arbeitslasten verwendet Cloud Service Mesh Google Cloud-spezifische Dienstrouting APIs
- Für GKE-Arbeitslasten (Google Kubernetes Engine) verwendet Cloud Service Mesh die Open-Source-APIs von Istio.
- Aus Google Cloud: Mit Distributed Cloud oder GKE-Multi-Cloud Cloud Service Mesh unterstützt die Istio APIs für Kubernetes Arbeitsbelastungen.
Ob in oder außerhalb von Google Cloud – mit Cloud Service Mesh können Sie Dienste zu verwalten, zu beobachten und zu sichern, ohne Anwendungscode.
Cloud Service Mesh reduziert den Aufwand für Betrieb und Entwicklung die Bereitstellung von Diensten vereinfachen, von Traffic-Verwaltung bis Mesh-Netzwerk. um die Kommunikation zwischen Diensten zu sichern. Mit der vollständig verwalteten Mit einem Service Mesh können Sie komplexe Umgebungen verwalten und von ihren Vorteilen profitieren versprochen.
Features
Cloud Service Mesh bietet eine Reihe von Features für die Traffic-Verwaltung, Beobachtbarkeit, Telemetrie und Sicherheit.
Trafficverwaltung
Cloud Service Mesh steuert den Trafficfluss zwischen Diensten im in das Mesh-Netzwerk (eingehender Traffic) und externe Dienste (ausgehender Traffic). Sie konfigurieren und Ressourcen bereitstellen, um diesen Traffic auf der Anwendungsebene (L7) zu verwalten. Sie haben zum Beispiel folgende Möglichkeiten:
- Diensterkennung verwenden
- Konfigurieren Sie das Load-Balancing zwischen Diensten.
- Erstellen Sie Canary- und Blau/Grün-Bereitstellungen.
- Sie können die Weiterleitung für Ihre Dienste genau steuern.
- Schutzschalter einrichten.
Das Cloud Service Mesh verwaltet eine Liste aller Dienste im Mesh-Netzwerk anhand des Namens und durch ihre jeweiligen Endpunkte. Diese Liste wird zur Verwaltung des Ablaufs (z. B. Kubernetes-Pod-IP-Adressen oder IP-Adressen von Compute Engine-VMs in einer verwalteten Instanzgruppe). Wenn Sie diese Dienstregistrierung verwenden und die Proxys parallel zum kann das Mesh-Netzwerk Traffic an den entsprechenden Endpunkt weiterleiten. Proxylose gRPC-Arbeitslasten kann auch parallel zu Arbeitslasten mit Envoy-Proxys verwendet werden.
Informationen zur Sichtbarkeit
Die Cloud Service Mesh-Benutzeroberfläche in der Google Cloud Console und liefert Informationen zu Ihrem Service Mesh. Diese Messwerte werden automatisch die für Arbeitslasten generiert werden, die über die Istio APIs konfiguriert wurden.
- Dienstmesswerte und Logs für HTTP-Traffic in der GKE des Mesh-Netzwerks werden automatisch in Google Cloud aufgenommen.
- Vorkonfigurierte Dienst-Dashboards bieten Ihnen die nötigen Informationen, um Ihre Dienste zu verstehen.
- Ausführliche Telemetrie – unterstützt von Cloud Monitoring, Mit Cloud Logging und Cloud Trace können Sie tief in Ihre Dienstmesswerte und Logs eintauchen. Sie können Ihre Kampagnen anhand Daten zu einer Vielzahl von Attributen.
- Die Dienst-zu-Dienst-Beziehungen helfen Ihnen, auf einen Blick die verschiedenen Dienste zu verstehen. und abhängig davon, wer eine Verbindung zu den einzelnen Diensten herstellt.
- So können Sie nicht nur den Sicherheitsstatus Ihrer Kommunikation sondern auch von Beziehungen zu anderen Diensten.
- Service Level Objectives (SLOs) geben Ihnen einen Einblick in den Status Ihrer Dienste. Sie können ein SLO und eine Benachrichtigung zu Ihren eigenen Dienststandards definieren Gesundheit.
Weitere Informationen zu den Beobachtbarkeitsfunktionen von Cloud Service Meshs finden Sie in unserer Leitfaden zur Beobachtbarkeit
Sicherheitsvorteile
Cloud Service Mesh bietet Ihnen viele Sicherheitsvorteile.
- Verminderung des Risikos von Replay- oder Imitationsangriffen, bei denen gestohlene Anmeldedaten verwendet werden. Cloud Service Mesh stützt sich auf gegenseitige TLS-Zertifikate (mTLS), um Authentifizieren Sie Peers anstelle von Inhabertokens wie JSON-Webtokens (JWT).
- Sicherstellen der Verschlüsselung während der Übertragung. Durch die Verwendung von mTLS für die Authentifizierung wird außerdem sichergestellt, dass alle TCP-Kommunikationen bei der Übertragung verschlüsselt werden.
- mindert das Risiko, dass nicht autorisierte Clients auf einen Dienst mit sensiblen Daten zugreifen können, unabhängig vom Netzwerkstandort des Clients und der Anwendungsebene, Anmeldedaten.
- Verminderung des Risikos von Verstößen gegen Nutzerdaten in Ihrem Produktionsnetzwerk. Sie können sicherzustellen, dass Insider nur über autorisierte Kunden auf sensible Daten zugreifen können.
- Identifikation von Clients, die auf einen Dienst mit vertraulichen Daten zugegriffen haben. Cloud-Service-Mesh mit dem Zugriffs-Logging die mTLS-Identität des Clients IP-Adresse.
- Alle Komponenten der Steuerungsebene im Cluster werden mit nach FIPS 140-2 validierten Verschlüsselungsmodulen erstellt.
Weitere Informationen zu den Sicherheitsvorteilen und -funktionen des Service Mesh finden Sie in der Sicherheitsleitfaden.
Optionen der Bereitstellung
In Cloud Service Mesh haben Sie die folgenden Bereitstellungsoptionen:
- In Google Cloud
<ph type="x-smartling-placeholder">
- </ph>
- Verwaltetes Cloud Service Mesh – verwaltete Steuerung und Datenebene für GKE (empfohlen)
- Managed Cloud Service Mesh – verwaltete Steuerung und Datenebene für Compute Engine mit VMs (empfohlen)
- Clusterinterne Steuerungsebene für GKE mit Istio APIs (nicht empfohlen)
- Außerhalb von Google Cloud
<ph type="x-smartling-placeholder">
- </ph>
- Clusterinterne Steuerungsebene für Kubernetes mit Istio APIs
Verwaltetes Cloud Service Mesh
Das verwaltete Cloud Service Mesh besteht aus der verwalteten Steuerungsebene für alle Infrastrukturen und die verwaltete Datenebene für GKE. Mit Managed Cloud Service Mesh übernimmt Google Upgrades, Skalierungen und die manuelle Wartung der Nutzer minimieren. Dies umfasst die Kontrollgruppe Datenebene und zugehörige Ressourcen.
Implementierung der Datenebene
Wenn Sie Google Cloud APIs verwenden, kann Ihre Datenebene von Envoy zur Verfügung gestellt werden. Proxys oder proxylose gRPC-Anwendungen verwenden. Wenn Sie eine vorhandene ermöglicht der Sidecar-basierte Ansatz die Integration in das Mesh-Netzwerk. ohne die Anwendung zu ändern. Wenn Sie den Aufwand vermeiden möchten, eine Sidecar-Datei haben, können Sie Ihre Anwendung für die Verwendung von gRPC aktualisieren.
Envoy-Proxys und proxylose gRPC-Dienste verwenden beide die xDS API, um eine Verbindung zur Steuerung herzustellen Flugzeug. Wenn Sie proxylose gRPC-Dienste verwenden, können Sie mehrere unterstützte Sprachen für wie Go, C++, Java und Python.
Wenn Sie Open-Source-Istio APIs verwenden, wird Ihre Datenebene von Envoy-Proxys bereitgestellt.
Implementierung der Steuerungsebene
Ihre Cloud Service Mesh-Steuerungsebene hängt davon ab, ob Ihre Konfiguration aktiviert oder deaktiviert ist und ob Sie eine neue Kunden.
Implementierung der Steuerungsebene für bestehende Nutzer
- Wenn Ihre Konfiguration außerhalb von Google Cloud ist, verwenden Sie Die nicht verwaltete Steuerungsebene im Cluster. Weitere Informationen Informationen finden Sie unter Unterstützte Features der clusterinternen Steuerungsebene.
- Wenn Sie Anthos Service Mesh-Nutzer in Google Cloud waren, verwenden Sie Istio APIs Weitere Informationen finden Sie unter Unterstützte Features, die Istio APIs verwenden (verwaltete Steuerungsebene) .
- Wenn Sie Cloud Service Mesh-Nutzer waren, verwenden Sie das Cloud Service Mesh- Verwaltete Steuerungsebene mit Google Cloud APIs verwenden. Weitere Informationen Siehe Unterstützung von Cloud Service Mesh mit Google Cloud APIs Funktionen.
Informationen zum Ermitteln Ihrer aktuellen Steuerungsebene finden Sie unter Implementierung der Steuerungsebene identifizieren. Weitere Informationen Informationen zu Steuerungsebenen und zur Migration der Steuerungsebene finden Sie unter Übersicht über verwaltete Steuerungsebenen für beständige Kunden.
Implementierung der Steuerungsebene für neue Nutzer
- Wenn Sie eine Konfiguration außerhalb von Google Cloud planen, die nicht verwaltete Steuerungsebene von Cloud Service Mesh auswählen. Weitere Informationen finden Sie unter Unterstützte Features der clusterinternen Steuerungsebene.
- Wenn Sie eine Google Cloud-Konfiguration in Kubernetes planen, aber Ihre Steuerungsebene nutzt den Traffic Director-Implementierung, mit Ausnahme der in den Wovon hängt die Implementierung der Steuerungsebene ab? Weitere Informationen finden Sie unter Unterstützte Features, die Istio APIs verwenden (verwaltete Steuerungsebene).
- Wenn Sie eine On-Google Cloud-Konfiguration Compute Engine-VMs nutzt Ihre Steuerungsebene das globale, mehrmandantenfähige Steuerungsebene, auch Traffic Director-Implementierung genannt. Weitere Informationen finden Sie unter Von Cloud Service Mesh mit den Google Cloud APIs unterstützte Features.
Migration der Steuerungsebene
Wenn Sie weiterhin Anthos Service Mesh-Kunde sind und die Istio APIs verwenden, Cluster werden zur Traffic Director-Steuerungsebene migriert. Sie können die Istio APIs weiterhin für die Konfiguration verwenden.
Um zu ermitteln, ob Ihre Cluster noch die Istio-Steuerungsebene verwenden oder die zur neuen globalen Steuerungsebene migriert sind, Implementierung der Steuerungsebene identifizieren
Nächste Schritte
- Wenn Sie ein fortlaufender Nutzer sind, lesen Sie den Artikel Verwaltete Steuerungsebene für Bestandskunden.
- Wenn Sie die GKE mit GKE einrichten möchten, lesen Sie Steuerungsebene bereitstellen.
- Wenn Sie Compute Engine und VMs einrichten möchten, lesen Sie Einrichtung von Dienst-Routing-APIs mit Envoy und proxylosen Arbeitslasten vorbereiten