Ringkasan Cloud Service Mesh

Cloud Service Mesh adalah mesh layanan yang tersedia di Google Cloud dan di seluruh platform GKE Enterprise yang didukung. Layanan ini mendukung layanan yang berjalan di berbagai infrastruktur komputasi. Cloud Service Mesh dikontrol oleh API yang didesain untuk Google Cloud, untuk open source, atau untuk keduanya.

Dokumen ini ditujukan bagi Anda jika Anda adalah pengguna baru Cloud Service Mesh atau pelanggan Anthos Service Mesh atau Traffic Director yang sudah ada.

Apa itu mesh layanan?

Mesh layanan adalah arsitektur yang memungkinkan komunikasi terkelola, dapat diamati, dan aman di antara layanan Anda, sehingga memudahkan Anda membuat aplikasi perusahaan yang kuat yang terdiri dari banyak microservice di infrastruktur pilihan Anda. Mesh layanan mengelola persyaratan umum untuk menjalankan layanan, seperti pemantauan, jaringan, dan keamanan, dengan alat yang konsisten dan canggih, sehingga memudahkan developer dan operator layanan untuk berfokus pada pembuatan dan pengelolaan aplikasi yang hebat bagi pengguna mereka.

Secara arsitektur, mesh layanan terdiri dari satu atau beberapa bidang kontrol dan bidang data. Service mesh memantau semua traffic masuk dan keluar dari layanan Anda. Di Kubernetes, proxy di-deploy oleh pola sidecar ke microservice dalam mesh. Di Compute Engine, Anda dapat men-deploy proxy di VM atau menggunakan gRPC tanpa proxy untuk bidang data.

Pola ini memisahkan logika aplikasi atau bisnis dari fungsi jaringan, dan memungkinkan developer berfokus pada fitur yang dibutuhkan bisnis. Service mesh juga memungkinkan tim operasi dan tim pengembangan memisahkan pekerjaan mereka satu sama lain.

Merancang aplikasi sebagai microservice memberikan banyak manfaat. Namun, workload Anda dapat menjadi lebih kompleks dan terfragmentasi seiring penskalaannya. Service mesh membantu memecahkan masalah fragmentasi dan mempermudah pengelolaan mikroservice Anda.

Apa itu Cloud Service Mesh?

Cloud Service Mesh adalah solusi Google untuk lingkungan GKE Enterprise yang didukung dan tidak didukung. Google Cloud

  • Aktif Google Cloud: Cloud Service Mesh menyediakan API yang khusus untuk infrastruktur komputasi tempat workload Anda berjalan.
    • Untuk workload Compute Engine, Cloud Service Mesh menggunakan API perutean layanan khususGoogle Cloud.
    • Untuk beban kerja Google Kubernetes Engine (GKE), Cloud Service Mesh menggunakan API Istio open source.
  • Off Google Cloud: Dengan Distributed Cloud atau multicloud GKE, Cloud Service Mesh mendukung Istio API untuk workload Kubernetes.

Baik diaktifkan maupun dinonaktifkan Google Cloud, Cloud Service Mesh memungkinkan Anda mengelola, mengamati, dan mengamankan layanan tanpa harus mengubah kode aplikasi.

Cloud Service Mesh mengurangi beban kerja tim operasi dan pengembangan Anda dengan menyederhanakan distribusi layanan, mulai dari pengelolaan traffic dan telemetri mesh hingga mengamankan komunikasi antarlayanan. Mesh layanan terkelola sepenuhnya dari Google memungkinkan Anda mengelola lingkungan kompleks dengan mudah dan menikmati manfaat yang dijanjikan.

Fitur

Cloud Service Mesh memiliki serangkaian fitur untuk pengelolaan traffic, kemampuan observasi dan telemetri, serta keamanan.

Pengelolaan traffic

Cloud Service Mesh mengontrol aliran traffic di antara layanan dalam mesh, ke dalam mesh (ingress), dan ke layanan di luar (egress). Anda mengonfigurasi dan men-deploy resource untuk mengelola traffic ini di lapisan aplikasi (L7). Misalnya, Anda dapat melakukan hal berikut:

  • Gunakan penemuan layanan.
  • Mengonfigurasi load balancing di antara layanan.
  • Buat deployment canary dan blue-green.
  • Mengontrol perutean untuk layanan Anda secara akurat.
  • Siapkan pemutus rangkaian.

Cloud Service Mesh mempertahankan daftar semua layanan dalam mesh berdasarkan nama dan berdasarkan endpoint masing-masing. Load balancer ini menyimpan daftar ini untuk mengelola aliran traffic (misalnya, alamat IP Pod Kubernetes atau alamat IP VM Compute Engine dalam Grup instance terkelola). Dengan menggunakan registry layanan ini, dan dengan menjalankan proxy secara berdampingan dengan layanan, mesh dapat mengarahkan traffic ke endpoint yang sesuai. Workload gRPC tanpa proxy juga dapat digunakan secara paralel dengan workload yang menggunakan proxy Envoy.

Insight kemampuan observasi

Antarmuka pengguna Cloud Service Mesh di konsol memberikan insight tentang mesh layanan Anda. Google Cloud Metrik ini otomatis dibuat untuk workload yang dikonfigurasi melalui Istio API.

  • Metrik dan log layanan untuk traffic HTTP dalam cluster GKE mesh Anda akan otomatis di-ingest ke Google Cloud.
  • Dasbor layanan yang telah dikonfigurasi sebelumnya memberi Anda informasi yang diperlukan untuk memahami layanan Anda.
  • Telemetri mendalam—yang didukung oleh Cloud Monitoring, Cloud Logging, dan Cloud Trace—memungkinkan Anda mempelajari metrik dan log layanan secara mendalam. Anda dapat memfilter dan menyegmentasikan data berdasarkan berbagai atribut.
  • Hubungan antar-layanan membantu Anda memahami sekilas dependensi antar-layanan dan siapa yang terhubung ke setiap layanan.
  • Anda dapat dengan cepat melihat postur keamanan komunikasi tidak hanya layanan Anda, tetapi juga hubungannya dengan layanan lain.
  • Tujuan tingkat layanan (SLO) memberi Anda insight tentang kondisi layanan Anda. Anda dapat menentukan SLO dan pemberitahuan berdasarkan standar kualitas layanan Anda sendiri.

Pelajari lebih lanjut fitur observabilitas Cloud Service Mesh dalam panduan Observabilitas kami.

Manfaat keamanan

Cloud Service Mesh memberi Anda banyak manfaat keamanan.

  • Mengurangi risiko serangan replay atau peniruan identitas yang menggunakan kredensial yang dicuri. Cloud Service Mesh mengandalkan sertifikat TLS mutual (mTLS) untuk mengautentikasi peer, bukan token pembawa seperti Token Web JSON (JWT).
  • Memastikan enkripsi saat transit. Menggunakan mTLS untuk autentikasi juga memastikan bahwa semua komunikasi TCP dienkripsi saat transit.
  • Mengurangi risiko bahwa klien yang tidak sah dapat mengakses layanan dengan data sensitif, terlepas dari lokasi jaringan klien dan kredensial tingkat aplikasi.
  • Memitigasi risiko pelanggaran data pengguna dalam jaringan produksi Anda. Anda dapat memastikan bahwa orang dalam hanya dapat mengakses data sensitif melalui klien yang diizinkan.
  • Mengidentifikasi klien mana yang mengakses layanan dengan data sensitif. Pencatatan aktivitas akses Cloud Service Mesh mencatat identitas mTLS klien selain alamat IP.
  • Semua komponen bidang kontrol dan proxy dalam cluster dibuat dengan modul enkripsi yang divalidasi FIPS 140-2.

Pelajari lebih lanjut manfaat dan fitur keamanan Service Mesh dalam Panduan keamanan.

Opsi penerapan

Anda memiliki opsi deployment berikut di Cloud Service Mesh:

  • Pada Google Cloud
    • Managed Cloud Service Mesh - perangkat kontrol dan data terkelola untuk GKE (direkomendasikan)
    • Managed Cloud Service Mesh - bidang kontrol dan data terkelola untuk Compute Engine dengan VM (direkomendasikan)
    • Bidang kontrol dalam cluster untuk GKE dengan Istio API (Tidak Disarankan)
  • Nonaktif Google Cloud
    • Bidang kontrol dalam cluster untuk Kubernetes dengan Istio API

Managed Cloud Service Mesh

Managed Cloud Service Mesh terdiri dari bidang kontrol terkelola untuk semua infrastruktur dan bidang data terkelola untuk GKE. Dengan Managed Cloud Service Mesh, Google menangani upgrade, penskalaan, dan keamanan untuk Anda, sehingga meminimalkan pemeliharaan pengguna secara manual. Hal ini mencakup bidang kontrol, bidang data, dan resource terkait.

Implementasi bidang data

Jika Anda menggunakan Google Cloud API, bidang data Anda dapat disediakan oleh proxy Envoy atau oleh aplikasi gRPC tanpa proxy. Jika Anda mengupdate aplikasi yang ada, pendekatan berbasis sidecar memungkinkan integrasi ke mesh tanpa mengubah aplikasi Anda. Jika ingin menghindari overhead menjalankan sidecar, Anda dapat mengupdate aplikasi untuk menggunakan gRPC.

Proxy Envoy dan gRPC tanpa proxy menggunakan xDS API untuk terhubung ke bidang kontrol. Jika Anda menggunakan gRPC tanpa proxy, Anda dapat memilih bahasa yang didukung untuk aplikasi Anda, termasuk Go, C++, Java, dan Python.

Jika Anda menggunakan API Istio open source, bidang data Anda disediakan oleh proxy Envoy.

Penerapan bidang kontrol

Bidang kontrol Cloud Service Mesh Anda bergantung pada apakah konfigurasi Anda aktif atau nonaktif Google Cloud dan apakah Anda pelanggan baru.

Implementasi bidang kontrol untuk pengguna lama

Untuk menentukan bidang kontrol saat ini, baca Mengidentifikasi penerapan bidang kontrol. Untuk mengetahui informasi selengkapnya tentang bidang kontrol dan migrasi bidang kontrol, lihat Ringkasan bidang kontrol terkelola untuk pelanggan yang terus menggunakan layanan.

Implementasi bidang kontrol untuk pengguna baru

Migrasi bidang kontrol

Jika Anda adalah pelanggan Anthos Service Mesh yang terus menggunakan Istio API, cluster Anda akan mulai dimigrasikan ke bidang kontrol Traffic Director. Anda dapat terus menggunakan API Istio untuk konfigurasi.

Untuk menentukan apakah cluster Anda masih menggunakan bidang kontrol Istio atau telah dimigrasikan ke bidang kontrol global baru, baca Mengidentifikasi penerapan bidang kontrol.

Langkah berikutnya