Technische Übersicht zu GKE Enterprise
GKE Enterprise ist die cloudzentrierte Containerplattform von Google, auf der moderne Anwendungen überall einheitlich und umfassend ausgeführt werden können. In diesem Leitfaden erhalten Sie einen Überblick über die Funktionsweise von GKE Enterprise und darüber, wie Sie damit verwaltebare, skalierbare und zuverlässige Anwendungen bereitstellen können.
Vorteile von GKE Enterprise
Unternehmen, die cloudnative Technologien wie Container, Containerorchestrierung und Service Meshes nutzen, kommen in der Regel an einen Punkt, an dem ein einzelner Cluster nicht mehr ausreicht. Organisationen entscheiden sich aus unterschiedlichen Gründen für die Bereitstellung mehrerer Cluster, um ihre technischen und geschäftlichen Ziele zu erreichen. Dazu gehört beispielsweise die Trennung der Produktion von Nicht-Produktionsumgebungen, wechselnde gesetzliche Vorschriften oder die Trennung von Diensten für verschiedene Ebenen, Regionen oder Teams. Die Verwendung mehrerer Cluster verursacht jedoch eigene Schwierigkeiten und Aufwand in Bezug auf konsistente Konfiguration, Sicherheit und Verwaltung – wenn beispielsweise Cluster einzeln konfiguriert werden, besteht das Risiko von Fehlern, und es kann schwierig sein herauszufinden, wo Probleme genau auftreten.
Die Dinge können noch komplexer (und teurer) werden, wenn sich die Cluster nicht alle an einem Ort befinden. Viele Unternehmen, die Google Cloud nutzen, möchten oder müssen außerdem Arbeitslasten in ihren eigenen Rechenzentren, Werken, Einzelhandelsgeschäften und sogar in anderen öffentlichen Clouds ausführen. Sie möchten aber nicht eigenhändig neue Containerplattformen an all diesen Standorten erstellen oder neu darüber nachdenken, wie sie Containerarbeitslasten konfigurieren, sichern, überwachen und optimieren, je nachdem, wo sie ausgeführt werden, was zu inkonsistenten Umgebungen, Sicherheits- und Fehlkonfigurationsrisiken und operativem Aufwand führen kann.
Beispiel:
- Ein Finanzinstitut entwickelt eine digitale Banking-Plattform in Google Cloud und erfordert konsistente Konfigurationen, strenge Sicherheitsrichtlinien und detaillierte Einblicke in die Kommunikation verschiedener Anwendungen. Ein großes Einzelhandelsunternehmen, das eine moderne E-Commerce-Plattform entwickelt, hat dieselben Anforderungen. Beide Unternehmen verwalten mit GKE mehrere Cluster in mehreren Regionen in Google Cloud.
- Ein weiteres globales Finanzinstitut entwickelt komplexe Risikomanagement-Anwendungen, Interbank-Überweisungs-Anwendungen und viele andere sensible Arbeitslasten, von denen einige hinter der Unternehmens-Firewall bleiben müssen und andere auf GKE in Google Cloud bereitgestellt werden.
- Ein großer Einzelhändler im Apothekenbereich entwickelt eine neue Impfstoffplanung, Kunden-Benachrichtigungsdienste und Apps für digitale Interaktion, mit denen der Apothekenbetrieb modernisiert und das Erlebnis im Geschäft individueller gestaltet werden soll. Für diese Apps sind In-Store-Containerplattformen erforderlich, die in von Google Cloud gehosteten Diensten wie BigQuery und Retail Search eingebunden sind.
- Ein Medien- und Unterhaltungsunternehmen benötigt eine konsistente Containerumgebung in 30 Baseballstadien, die alle mit Google Cloud verbunden und verwaltet werden, um Terabytes an Spielstatistiken erfassen und analysieren zu können und Faninteraktionen sowohl innerhalb des Stadions als auch virtuell zu steigern.
- Ein Hardwarehersteller muss die Produktqualität im Werk und die Arbeitersicherheit testen und optimieren. Dazu werden Daten mit sehr geringer Latenz analysiert, um Entscheidungen nahezu in Echtzeit zu treffen, während die Daten darüber hinaus in Google Cloud konsolidiert werden, um Analysen über längere Zeiträume zu ermöglichen.
- Ein Software- und Internetunternehmen, das eine Integrationsplattform in einem SaaS-Modell (Software as a Service) anbietet, muss seine Plattform auf mehreren großen öffentlichen Clouds anbieten, damit sie dort ausgeführt werden kann, wo seine Kunden die Nähe zu nativen Cloud-Diensten benötigen. Das Unternehmen benötigt eine einheitliche und konsistente Möglichkeit, Containerumgebungen in mehreren öffentlichen Clouds über eine einzige Verwaltungsebene bereitzustellen, zu konfigurieren, zu schützen und zu überwachen, um den operativen Overhead zu vermeiden, der durch die Verwaltung jeder Cloud-Umgebung mit verschiedenen nativen Verwaltungstools entsteht.
GKE Enterprise kann all diesen Organisationen helfen, indem es eine einheitliche Plattform bietet, mit der sie Folgendes tun können:
- Bestehende Anwendungen und Infrastrukturen modernisieren
- Ein einheitliches Cloud-Betriebsmodell (an einem zentralen Ort) erstellen, um Container-Cluster überall zu erstellen, zu aktualisieren und zu optimieren
- Große Multi-Cluster-Anwendungen als Flotten skalieren – logische Gruppierungen ähnlicher Umgebungen mit einheitlicher Sicherheit, Konfiguration und Dienstverwaltung
- Einheitliche Governance und Sicherheit über eine einheitliche Steuerebene erzwingen
Dabei kommen speziell ausgerichtete Tools und Features zum Einsatz, mit denen sie containerisierte Arbeitslasten im gesamten Unternehmen steuern, verwalten und betreiben können. So können sie Best Practices und Prinzipien anwenden, die wir bei der Ausführung von Diensten bei Google gewonnen haben.
GKE Enterprise – Grundlagen
Die GKE Enterprise-Funktionen basieren auf der Idee der Flotte: einer logischen Gruppierung von Kubernetes-Clustern, die zusammen verwaltet werden können. Eine Flotte kann vollständig aus GKE-Clustern in Google Cloud bestehen oder auch Cluster außerhalb von Google Cloud umfassen, die lokal und in anderen öffentlichen Clouds wie AWS und Azure ausgeführt werden.
Nachdem Sie eine Flotte erstellt haben, können Sie die flottenbasierten Funktionen von GKE Enterprise verwenden, mit denen Sie Mehrwert schaffen und die Arbeit über mehrere Cluster und Infrastrukturanbieter hinweg vereinfachen können:
- Tools für die Konfigurations- und Richtlinienverwaltung, mit denen Sie einfacher und in größerem Umfang arbeiten können. Sie können die gleichen Konfigurationen, Funktionen und Sicherheitsrichtlinien automatisch in Ihrer gesamten Flotte hinzufügen und aktualisieren, unabhängig davon, wo sich Ihre Cluster befinden.
- Flottenweite Netzwerkfeatures, mit denen Sie den Traffic in Ihrer gesamten Flotte verwalten können, einschließlich Multi-Cluster-Ingress für Anwendungen, die mehrere Cluster umfassen, und Features zur Service-Mesh-Traffic-Verwaltung.
- Features zur Identitätsverwaltung, mit denen Sie die Authentifizierung für Flottenarbeitslasten und -nutzer konsistent konfigurieren können.
- Beobachtbarkeitsfeatures, mit denen Sie Ihre Flottencluster und Anwendungen überwachen und auftretende Fehler beheben können, einschließlich in Bezug auf Zustand, Ressourcennutzung und Sicherheitsstatus.
- Tools zur Teamverwaltung, mit denen Sie dafür sorgen können, dass Ihre Teams Zugriff auf die Infrastrukturressourcen haben, die sie zum Ausführen ihrer Arbeitslasten benötigen, und Teams eine teambezogene Ansicht ihrer Ressourcen und Arbeitslasten zur Verfügung stellen können.
- Für auf Mikrodiensten basierende Anwendungen, die in Ihrer Flotte ausgeführt werden, bietet Cloud Service Mesh leistungsstarke Tools für Anwendungssicherheit, Netzwerk und Beobachtbarkeit in Ihrem Mesh-Netzwerk.
Sie können die gesamte GKE Enterprise-Plattform aktivieren, um alle verfügbaren Features zu nutzen, einschließlich Multi-Cloud- und Hybrid-Cloud-Funktionen, oder Sie können eine Flotte ausschließlich in Google Cloud erstellen und nach Bedarf dann für zusätzliche Unternehmensfeatures bezahlen, wenn Sie sie benötigen. GKE Enterprise nutzt branchenübliche Open-Source-Technologien und unterstützt mehrere Infrastrukturanbieter. Dadurch können Sie GKE Enterprise flexibel so nutzen, wie es Ihren geschäftlichen und organisatorischen Anforderungen entspricht.
Funktionsweise von Flotten
Mit Flotten können Sie in GKE Enterprise Kubernetes-Cluster logisch gruppieren und normalisieren, um die Verwaltung der Infrastruktur zu vereinfachen. Durch Implementierung von Flotten können Sie die Verwaltung von einzelnen Clustern bis hin zu ganzen Clustergruppen optimieren – mit einer einzigen Ansicht Ihrer gesamten Flotte in der Google Cloud Console. Flotten sind jedoch mehr als nur Gruppen von Clustern. Die Prinzipien der Gleichheit und des Vertrauens, die in einer Flotte vorausgesetzt werden, sind die Basis, mit der Sie das umfassende Portfolio an flottenfähigen Funktionen nutzen können.
Das erste dieser Flottenprinzipien ist Gleichmäßigkeit. Das bedeutet, dass innerhalb einer Flotte von Clustern einige Kubernetes-Objekte, z. B. Namespaces in verschiedenen Clustern, so behandelt werden, als wären sie identisch, wenn sie denselben Namen haben. Diese Normalisierung vereinfacht die Verwaltung vieler Cluster gleichzeitig und wird von flottenbasierten GKE Enterprise-Funktionen verwendet. Sie können beispielsweise eine Sicherheitsrichtlinie mit Policy Controller auf alle Flottendienste im Namespace foo anwenden, unabhängig davon, in welchen Clustern sie sich befinden oder wo sich diese Cluster befinden.
Flotten nehmen außerdem die Dienstgleichheit (alle Dienste in einem Namespace mit demselben Namen können als derselbe Dienst behandelt werden, z. B. für Zwecke der Trafficverwaltung) und die Identitätsgleichheit (Dienste und Arbeitslasten innerhalb einer Flotte können eine gemeinsame Identität für die Authentifizierung und Autorisierung nutzen) an. Das Prinzip der Flottengleichheit bietet auch einige gute Anleitungen zur Einrichtung von Namespaces, Diensten und Identitäten. Dabei wird den Abläufen gefolgt, die von vielen Organisationen und Google bereits als Best Practices implementiert werden.
Ein weiteres wichtiges Prinzip ist Vertrauen: Dienstgleichheit, Gleichheit der Arbeitslastidentität und Gleichheit der Mesh-Identität basieren auf dem Prinzip einer hohen Vertrauensebene zwischen Mitgliedern einer Flotte. Dieses Vertrauen ermöglicht eine optimierte Verwaltung dieser Ressourcen für die gesamte Flotte, anstatt Cluster für Cluster zu verwalten. Außerdem spielen dann auch Clustergrenzen eine geringere Rolle.
Wie Sie Ihre Flotten organisieren, hängt von Ihren organisatorischen und technischen Anforderungen ab. Jede Flotte ist einem bestimmten Google Cloud-Projekt zugeordnet, dem sogenannten Flotten-Hostprojekt, mit dem Sie Ihre Flotte verwalten und aufrufen, kann jedoch auch Cluster aus anderen Projekten enthalten. Sie können beispielsweise separate Flotten für Ihre Produktions-, Test- und Entwicklungsumgebungen oder separate Flotten für verschiedene Geschäftsbereiche haben (verschiedene Teams als Mandanten in Ihrer Infrastruktur können innerhalb von Flotten mithilfe von Bereichen verwaltet werden). Cluster mit einem hohen Maß an dienstübergreifender Kommunikation profitieren am meisten von der gemeinsamen Verwaltung in einer Flotte. Cluster in derselben Umgebung (z. B. Ihrer Produktionsumgebung) sollten sich in derselben Flotte befinden. Wir empfehlen im Allgemeinen die größte Flottengröße, die Vertrauen und Gleichheit zwischen Diensten ermöglicht. Beachten Sie jedoch, dass Sie mit Cloud Service Mesh – falls Sie sich dafür entscheiden, es zu verwenden – eine detailliertere Dienstzugriffssteuerung in Ihrer Flotte ermöglichen können.
Weitere Informationen:
Kubernetes-Cluster überall
Kubernetes ist das Herzstück von GKE Enterprise. Beim Erstellen Ihrer Flotte stehen Ihnen damit eine Vielzahl von Kubernetes-Clusteroptionen zur Auswahl:
- Die Google Kubernetes Engine (GKE) ist die verwaltete Kubernetes-Implementierung von Google. Für GKE Enterprise-Nutzer stehen die folgenden Optionen zur Verfügung:
- In Google Cloud hat GKE eine cloudbasierte Steuerungsebene und Cluster, die aus Compute Engine-Instanzen bestehen. Während GKE in Google Cloud allein Ihnen bereits dabei hilft, Kubernetes automatisch bereitzustellen, zu skalieren und zu verwalten, können Sie durch das Gruppieren von GKE-Clustern in einer Flotte einfacher in großem Maßstab arbeiten und GKE Enterprise-Features zusätzlich zu den bereits leistungsstarken Features zur Clusterverwaltung verwenden, die von GKE angeboten werden.
- Außerhalb von Google Cloud wird GKE für die Verwendung mit anderen Infrastrukturanbietern wie Azure, AWS und auf Ihrer eigenen lokalen Hardware (entweder auf VMware oder auf Bare Metal) erweitert. Bei diesen Optionen wird die von Google bereitgestellte Kubernetes-Steuerungsebene zusammen mit Ihren Clusterknoten in Ihrem Rechenzentrum oder bei Ihrem Cloud-Anbieter ausgeführt. Ihre Cluster sind mit Ihrem Flotten-Hostprojekt in Google Cloud verbunden.
- Mit mit Google Distributed Cloud verbundenen Bereitstellungen (früher Distributed Cloud) können Sie Ihrer Flotte auch lokale GKE-Cluster hinzufügen, die diesmal auf von Google bereitgestellter und gewarteter Hardware ausgeführt werden und einen Teil der GKE Enterprise-Funktionen unterstützen.
- GKE-Cluster sind nicht Ihre einzige Option. Mit GKE Enterprise können Sie auch konforme Kubernetes-Cluster von Drittanbietern in Ihrer Flotte registrieren, z. B. EKS- und AKS-Cluster, die als angehängte Cluster bezeichnet werden. Mit dieser Option können Sie vorhandene Arbeitslasten an ihrem Standort weiter ausführen und gleichzeitig mit einer Teilmenge der GKE Enterprise-Funktionen einen Mehrwert schaffen. GKE Enterprise verwaltet weder die Kubernetes-Steuerungsebene noch die Knotenkomponenten, sondern nur die GKE Enterprise-Dienste, die auf diesen Clustern ausgeführt werden.
Für alle GKE-basierten Cluster, einschließlich lokaler und öffentlicher Clouds, bietet GKE Enterprise Tools für die Clusterverwaltung und den Lebenszyklus (Erstellen, Aktualisieren, Löschen und Upgraden), darunter Befehlszeilendienstprogramme und – für einige Clustertypen – die Verwaltung über die Google Cloud Console.
Clusterkonfiguration
Unabhängig davon, wo sich Ihre Cluster befinden, bietet Config Sync eine einheitliche Möglichkeit zum Verwalten der Clusterkonfiguration über Ihre gesamte Flotte hinweg, einschließlich der angehängten Cluster. Config Sync verwendet den Ansatz "Konfiguration als Daten": der gewünschte Status Ihrer Umgebung wird deklarativ definiert, als Single Source of Truth unter der Versionsverwaltung verwaltet und direkt mit wiederholbaren Ergebnissen angewendet. Config Sync überwacht ein zentrales Git-Repository mit Ihrer Konfiguration und wendet alle Änderungen automatisch auf die angegebenen Zielcluster an, unabhängig davon, wo sie ausgeführt werden. Jegliches YAML oder JSON, das mit kubectl-Befehlen angewendet werden kann, lässt sich mit Config Sync verwalten und auf alle Kubernetes-Cluster anwenden.
Migration und VMs
Für Organisationen, die ihre Anwendungen im Rahmen ihres Modernisierungsprozesses in Container und Kubernetes migrieren möchten, enthält GKE Enterprise Migrate to Containers mit Tools, mit denen VM-basierte Arbeitslasten in Container umgewandelt werden, die auf GKE ausgeführt werden. Auf Bare-Metal-GKE Enterprise-Plattformen (Google Distributed Cloud on Bare Metal und Google Distributed Cloud connected) können Organisationen auch die VM-Laufzeit in Google Distributed Cloud verwenden, um VMs auf Kubernetes genau so auszuführen wie Container. So können sie weiterhin vorhandene VM-basierte Arbeitslasten nutzen, während sie auch neue containerbasierte Anwendungen entwickeln und ausführen. Wenn sie bereit sind, können sie diese VM-basierten Arbeitslasten mit denselben GKE Enterprise-Verwaltungstools zu Containern migrieren.
Weitere Informationen:
- GKE in Google Cloud
- GKE-Cluster außerhalb von Google Cloud
- Verbundene Cluster
- Google Distributed Cloud verbunden
- Config Sync
GKE Enterprise-Funktionen
Im Rest dieses Leitfadens werden die Funktionen von GKE Enterprise vorgestellt, mit denen Sie Ihre Flotten und die darauf ausgeführten Anwendungen verwalten können. Eine vollständige Liste der verfügbaren Funktionen für jeden unterstützten Kubernetes-Clustertyp finden Sie unter GKE Enterprise-Bereitstellungsoptionen.
Netzwerke, Authentifizierung und Sicherheit
Nachdem Sie Ihre Flotte eingerichtet haben, können Sie mit GKE Enterprise den Traffic, die Authentifizierung und die Zugriffssteuerung verwalten und Sicherheits- und Compliance-Richtlinien einheitlich in Ihrer gesamten Flotte erzwingen.
Verbindung zu Ihrer Flotte herstellen
Zum Verwalten der Verbindung zu Google in Hybrid- und Multi-Cloud-Flotten bietet Google eine Kubernetes-Bereitstellung namens Connect Agent. Sobald der Agent im Rahmen der Flottenregistrierung in einem Cluster installiert ist, stellt er eine Verbindung zwischen Ihrem Cluster außerhalb von Google Cloud und seinem Google Cloud-Flotten-Hostprojekt her. So können Sie Ihre Cluster und Arbeitslasten über Google verwalten und Google-Dienste verwenden.
In lokalen Umgebungen kann die Verbindung zu Google über das öffentliche Internet, ein hochverfügbares VPN, Public Interconnect oder Dedicated Interconnect erfolgen. Dies hängt von den Latenz-, Sicherheits- und Bandbreitenanforderungen Ihrer Anwendungen bei der Interaktion mit Google Cloud ab.
Weitere Informationen:
Load Balancing
Für die Verwaltung des Traffics zu und innerhalb Ihrer Flotte bietet GKE Enterprise die folgenden Load Balancing-Lösungen:
- Für GKE-Cluster in Google Cloud stehen die folgenden Optionen zur Verfügung:
- Standardmäßig verwendet GKE externe Passthrough-Network Load Balancer für Layer 4 und externe Application Load Balancer für Layer 7. Beide sind verwaltete Dienste und benötigen keine zusätzliche Konfiguration oder Bereitstellung von Ihrer Seite.
- Mit Multi-Cluster-Ingress können Sie einen Load Balancer bereitstellen, der eine Anwendung in mehreren Flottenclustern bereitstellt.
- Bei On-Premises-GKE-Clustern können Sie aus einer Vielzahl von Load Balancing-Modi auswählen, die Ihren Anforderungen entsprechen, einschließlich eines gebündelten MetalLB-Load Balancers und der Möglichkeit, das Load Balancing manuell zu konfigurieren, um Ihre vorhandenen Lösungen zu verwenden.
- Google Distributed Cloud Connected umfasst gebündeltes MetalLB-Load Balancing
- Plattformnative Load Balancer für GKE-Cluster in anderen öffentlichen Clouds
Weitere Informationen:
- Multi-Cluster-Ingress
- Load Balancing für:
- Google Distributed Cloud:
- GKE on AWS
- GKE on Azure
Authentifizierung und Zugriffssteuerung
Eine große Herausforderung bei der Arbeit mit mehreren Clustern bei verschiedenen Infrastrukturanbietern ist die Verwaltung von Authentifizierung und Autorisierung. Für die Authentifizierung bei den Clustern Ihrer Flotte bietet GKE Enterprise Optionen für eine konsistente, einfache und sichere Authentifizierung bei der Interaktion mit Clustern über die Befehlszeile mit kubectl
und über die Google Cloud Console.
- Google-Identität verwenden:Über das Connect Gateway können sich Nutzer und Dienstkonten mit ihren Google-IDs in Ihrer gesamten Flotte bei Clustern authentifizieren, unabhängig davon, wo sich die Cluster befinden. Mit diesem Feature können Sie eine direkte Verbindung zu Clustern herstellen oder es mit Build-Pipelines und anderen DevOps-Automatisierungen nutzen.
- Drittanbieter-Identität verwenden: Mit dem GKE Identity Service von GKE Enterprise können Sie die Authentifizierung mit externen Identitätsanbietern konfigurieren, damit Ihre Teams vorhandene Nutzernamen, Passwörter und Sicherheitsgruppen von OIDC-Anbietern (und LDAP, falls unterstützt) wie Microsoft AD FS und Okta im gesamten Gerätepool weiterhin nutzen können.
Sie können für einen Cluster beliebig viele unterstützte Identitätsanbieter konfigurieren.
Nachdem Sie die Authentifizierung eingerichtet haben, können Sie die standardmäßige rollenbasierte Zugriffssteuerung (RBAC) von Kubernetes verwenden, um authentifizierte Nutzer zur Interaktion mit Ihren Clustern zu autorisieren. Mit Identity and Access Management können Sie den Zugriff auf Google-Dienste wie Connect Gateway steuern.
Für Arbeitslasten, die in Ihren Clustern ausgeführt werden, bietet GKE Enterprise eine flottenweite Workload Identity. Mit dieser Funktion können Arbeitslasten in Clustern von Flottenmitgliedern bei der Authentifizierung bei externen Diensten wie Cloud APIs Identitäten aus einem flächendeckenden Workload Identity-Pool verwenden. Dies vereinfacht das Einrichten des Zugriffs einer Anwendung auf diese Dienste, anstatt den Zugriff Cluster für Cluster konfigurieren zu müssen. Wenn Sie beispielsweise eine Anwendung mit einem Back-End haben, das in mehreren Clustern in derselben Flotte bereitgestellt wird und sich bei einer Google API authentifizieren muss, können Sie die Anwendung so konfigurieren, dass alle Dienste im "Back-End"-Namespace diese API verwenden können.
Weitere Informationen:
- Mit Google-Identität authentifizieren
- Mit Drittanbieter-Identität authentifizieren
- Über die Google Cloud Console mit Clustern arbeiten
- Über die Befehlszeile mit Clustern arbeiten
- Identitätsföderation von Arbeitslasten für Flotten verwenden
Richtlinienverwaltung
Eine weitere Herausforderung bei der Arbeit mit mehreren Clustern ist die Durchsetzung konsistenter Richtlinien für Sicherheit und Compliance mit gesetzlichen Vorschriften für die gesamte Flotte. Viele Organisationen haben strenge Sicherheits- und Complianceanforderungen, zum Beispiel zum Schutz von Verbraucherinformationen in Finanzdienstleistungs-Anwendungen, und müssen in der Lage sein, diese in großem Maßstab zu erfüllen.
Um Ihnen dabei zu helfen, erzwingt Policy Controller eine benutzerdefinierte Geschäftslogik für jede Kubernetes API-Anfrage an die relevanten Cluster. Diese Richtlinien dienen als „Leitplanken” und verhindern, dass Änderungen an der Konfiguration der Kubernetes API gegen Sicherheits-, Betriebs- oder Compliance-Einstellungen verstoßen. Sie können Richtlinien festlegen, um nicht konforme API-Anfragen in Ihrer gesamten Flotte aktiv zu blockieren oder einfach die Konfiguration Ihrer Cluster zu prüfen und Verstöße zu melden. Allgemeine Sicherheits- und Complianceregeln können einfach mit den integrierten Regeln von Policy Controller ausgedrückt werden. Sie können aber auch eigene Regeln schreiben, die auf dem Open-Source-Projekt Open Policy Agent basiert.
Weitere Informationen:
Sicherheit auf Anwendungsebene
Für Anwendungen, die in Ihrer Flotte ausgeführt werden, bietet GKE Enterprise Zugriffssteuerungs- und Authentifizierungsfunktionen mit gestaffelten Sicherheitsebenen, darunter:
- Binärautorisierung: Hiermit können Sie dafür sorgen, dass nur vertrauenswürdige Images auf den Clustern Ihrer Flotte bereitgestellt werden.
- Kubernetes-Netzwerkrichtlinie: Damit können Sie festlegen, welche Pods miteinander und mit anderen Netzwerkendpunkten kommunizieren können.
- Dienstzugriffssteuerung von Cloud Service Mesh: Damit können Sie eine detaillierte Zugriffssteuerung für Ihre Mesh-Dienste anhand von Dienstkonten und Anfragekontexten konfigurieren.
- Cloud Service Mesh-Zertifizierungsstelle (Mesh CA): Sie generiert und rotiert automatisch Zertifikate, sodass Sie die gegenseitige TLS-Authentifizierung (mTLS) einfach zwischen Ihren Diensten aktivieren können.
Beobachtbarkeit
Ein wichtiger Bestandteil des Betriebs und der Verwaltung vieler Cluster ist die Möglichkeit, die Cluster und Anwendungen Ihrer Flotte ganz einfach zu überwachen, einschließlich ihres Zustands, ihrer Ressourcennutzung und ihres Sicherheitsstatus.
GKE Enterprise in der Google Cloud Console
Die Google Cloud Console ist die Weboberfläche von Google Cloud, mit der Sie Ihre Projekte und Ressourcen verwalten können. GKE Enterprise bietet Unternehmensfeatures und eine strukturierte Ansicht Ihrer gesamten Flotte auf den GKE Google Cloud Console-Seitenund stellt so eine integrierte Oberfläche bereit, die Ihnen dabei hilft, Ihre Anwendungen und Ressourcen zentral an einem Ort zu verwalten. Mit Dashboard-Seiten erhalten Sie einen Überblick über Details und können Ihre Untersuchungen dann genau so weit fortsetzen wie nötig, um mögliche Probleme zu erkennen.
- Übersicht: Die allgemeine Übersicht bietet einen Überblick über die Ressourcennutzung Ihrer Flotte. Dieser basiert auf Informationen von Cloud Monitoring, worin CPU-, Arbeitsspeicher- und Laufwerksauslastung angezeigt werden – zusammengefasst nach Flotte und Cluster – sowie auf der flottenweiten Policy Controller- und Config Sync-Abdeckung.
- Clusterverwaltung: Die Ansicht „GKE Enterprise-Cluster“ bietet eine sichere Konsole zur Anzeige des Status aller Cluster Ihres Projekts und Ihrer Flotte, einschließlich des Clusterstatus, zur Registrierung von Clustern bei Ihrer Flotte und zur Erstellung neuer Cluster für Ihre Flotte (nur Google Cloud). Für Informationen zu bestimmten Clustern können Sie diese Ansicht weiter aufschlüsseln oder andere GKE-Dashboards aufrufen, um weitere Details zu Ihren Clusterknoten und Arbeitslasten zu erhalten.
- Teamübersicht: Wenn Sie Teams für Ihre Flotte eingerichtet haben, bietet die Teamübersicht die Ressourcennutzung, Fehlerraten und andere nach Team aggregierte Messwerte. So können Administratoren und Teammitglieder Fehler leichter aufrufen und beheben.
- Featureverwaltung: In der Ansicht „Featureverwaltung“ können Sie den Status von GKE Enterprise-Features für Ihre Flottencluster aufrufen.
- Service Mesh:Wenn Sie Cloud Service Mesh in Google Cloud verwenden, ist durch die Service Mesh-Ansicht die Beobachtbarkeit in den Zustand und die Leistung Ihrer Dienste geboten. Cloud Service Mesh sammelt und aggregiert Daten zu jeder Dienstanfrage und -antwort. Das bedeutet, dass Sie Ihren Code nicht instrumentieren müssen, um Telemetriedaten zu erfassen oder Dashboards und Grafiken manuell einzurichten. Cloud Service Mesh lädt automatisch Messwerte und Logs für den gesamten Traffic innerhalb des Clusters in Cloud Monitoring und Cloud Logging hoch. Diese detaillierte Telemetrie ermöglicht es Anbietern, das Verhalten von Diensten zu beobachten. Außerdem können sie damit Fehler bei Anwendungen beheben, diese verwalten und optimieren.
- Sicherheitsstatus: Die Ansicht „Sicherheitsstatus“ zeigt Ihnen fundierte, umsetzbare Empfehlungen zur Verbesserung des Sicherheitsstatus Ihrer Flotte.
- Konfigurationsverwaltung: In der Konfigurationsansicht erhalten Sie einen schnellen Überblick über den Konfigurationsstatus aller Flottencluster mit aktiviertem Config Sync und können das Feature schnell zu Clustern hinzufügen, die noch nicht eingerichtet wurden. Sie können Konfigurationsänderungen einfach verfolgen und sehen, welcher Zweig und Commit-Tag auf jeden Cluster angewendet wurde. Mit flexiblen Filtern können Sie den Status der Konfigurationseinführung problemlos nach Cluster, Zweig oder Tag aufrufen.
- Richtlinienverwaltung: Die Richtlinienansicht zeigt Ihnen, wie viele Cluster in Ihrer Flotte Policy Controller aktiviert haben, bietet eine Übersicht über Compliance-Verstöße und ermöglicht Ihnen, das Feature zu Flottenclustern hinzuzufügen.
Logging und Monitoring
Ausführlichere Informationen zu Ihren Clustern und ihren Arbeitslasten erhalten Sie mit Cloud Logging und Cloud Monitoring. Cloud Logging bietet einen zentralen Ort zum Speichern und Analysieren von Protokolldaten. Cloud Monitoring erfasst und speichert automatisch Leistungsdaten und bietet Tools zur Datenvisualisierung und -analyse. Bei den meisten GKE Enterprise-Clustertypen werden Logging- und Monitoring-Informationen für Systemkomponenten (z. B. Arbeitslasten in den Namespaces kube-system
und gke-connect
) standardmäßig an Cloud Monitoring und Cloud Logging gesendet. Sie können Cloud Monitoring und Cloud Logging weiter konfigurieren, um Informationen zu Ihren eigenen Anwendungslasten zu erhalten, Dashboards mit mehreren Messwerttypen zu erstellen und Benachrichtigungen zu erstellen.
Je nach den Anforderungen Ihrer Organisation und Ihres Projekts unterstützt GKE Enterprise auch die Einbindung anderer Observability-Tools, einschließlich der Open-Source-Tools Prometheus und Grafana sowie Drittanbietertools wie Elastic und Splunk.
Weitere Informationen:
- Cloud Logging
- Cloud Monitoring
- In Google Cloud verfügbare Protokolle
- In Google Cloud verfügbare Messwerte
- Verfügbare Protokolle und Messwerte in der Google Distributed Cloud (nur Software):
- Verfügbare Logs und Messwerte in GKE in anderen öffentlichen Clouds:
- Logging und Monitoring in GKE on Azure
- Logging und Monitoring in GKE on AWS
- Verfügbare Protokolle und Messwerte in angehängten Clustern:
- Logging und Monitoring in mit AKS angehängten Clustern
- Logging und Monitoring in mit EKS angehängten Clustern
- Logging und Monitoring in anderen angehängten Clustern
Dienstverwaltung
In Kubernetes ist ein Dienst eine abstrakte Möglichkeit, eine Anwendung, die auf einer Reihe von Pods ausgeführt wird, als Netzwerkdienst mit einer einzelnen DNS-Adresse für den Traffic zu den Dienstarbeitslasten bereitzustellen. In einer modernen Microservices-Architektur kann eine einzelne Anwendung aus zahlreichen Diensten bestehen und für jeden Dienst können mehrere Versionen gleichzeitig bereitgestellt werden. Bei dieser Art von Architektur erfolgt die Dienst-zu-Dienst-Kommunikation über das Netzwerk, weshalb Dienste mit Netzwerkbesonderheiten und anderen zugrunde liegenden Infrastrukturproblemen umgehen können müssen.
Mit Cloud Service Mesh können Sie Dienste in Ihrer Flotte einfacher verwalten. Cloud Service Mesh basiert auf Istio, einer Open-Source-Implementierung einer Service Mesh-Infrastrukturebene. Bei Service Meshes werden typische Problembereiche der Dienstausführung wie Monitoring, Netzwerkbetrieb und Sicherheit mit einheitlichen, leistungsstarken Tools gesondert behandelt. Dadurch wird es Dienstentwicklern und -betreibern erleichtert, sich auf die Erstellung und Verwaltung ihrer Anwendungen zu konzentrieren. Cloud Service Mesh abstrahiert diese Funktionen aus dem primären Container der Anwendungen heraus und implementiert sie in einem gemeinsam verwendeten Out-of-Process-Proxy, der als separater Container im selben Pod bereitgestellt wird. Dieses Muster entkoppelt die Anwendungs- oder Geschäftslogik von Netzwerkfunktionen und ermöglicht es Entwicklern, sich auf die Funktionen zu konzentrieren, die das Unternehmen benötigt. Mit Service Meshes können Betriebsteams und Entwicklungsteams ihre Arbeit auch entkoppeln.
Cloud Service Mesh bietet Ihnen viele Funktionen sowie alle Istio-Funktionen:
- Dienstmesswerte und Logs für den gesamten Traffic innerhalb des Clusters Ihres Mesh-Netzwerks werden automatisch in Google Cloud aufgenommen.
- Automatisch erstellte Dashboards zeigen im Cloud Service Mesh-Dashboard eine ausführliche Telemetrie, damit Sie sich mit Ihren Messwerten und Logs vertraut machen und Ihre Daten anhand einer Vielzahl von Attributen filtern und aufschlüsseln können.
- Dienst-zu-Dienst-Beziehungen auf einen Blick: Erfahren Sie mehr darüber, was eine Verbindung zu jedem Dienst herstellt und welche Dienste davon abhängen
- Schutz Ihres dienstübergreifenden Traffics: Die Cloud Service Mesh-Zertifizierungsstelle (Mesh CA) generiert und rotiert automatisch Zertifikate, sodass Sie die gegenseitige TLS-Authentifizierung (MTLS) mithilfe von Istio-Richtlinien einfach aktivieren können.
- Sie sehen schnell den Kommunikations-Sicherheitsstatus nicht nur für den Dienst, sondern auch für seine Beziehungen zu anderen Diensten.
- Untersuchen Sie Ihre Dienstmesswerte genauer und kombinieren Sie die Werte über Cloud Monitoring mit anderen Google Cloud-Messwerten.
- Verschaffen Sie sich mit Service Level Objectives (SLOs) einen klaren und einfachen Einblick in den Zustand Ihres Dienstes. So können Sie Ihre eigenen Standards des Dienststatus ganz einfach definieren und Benachrichtigungen dazu ausgeben.
Mit Cloud Service Mesh können Sie zwischen einer vollständig verwalteten Service Mesh-Steuerungsebene in Google Cloud (nur für Meshes, die auf Clustern von Flottenmitgliedern in Google Cloud ausgeführt werden) oder einer clusterinternen Steuerungsebene wählen, die Sie selbst installieren. Weitere Informationen zu den für die einzelnen Optionen verfügbaren Funktionen finden Sie in der Cloud Service Mesh-Dokumentation.
Weitere Informationen:
Nächste Schritte
- Informationen zum Einrichten von GKE Enterprise finden Sie in unseren Einrichtungsanleitungen.
- Unter GKE Enterprise-Bereitstellungsoptionen finden Sie Details zu den verfügbaren Enterprise-Funktionen für die von Ihnen ausgewählte Konfiguration.
- Informationen zu den Preisoptionen finden Sie unter GKE Enterprise-Preise.