Cloud Service Mesh と Traffic Director は Cloud Service Mesh になりました。詳細については、Cloud Service Mesh の概要をご覧ください。

Cloud Service Mesh の概要

このドキュメントは、Cloud Service Mesh とその機能を把握したいネットワーク管理者とサービスオーナーを対象としています。これは、ロードバランシング API を使用する構成に適用される以前のドキュメントです。

Cloud Service Mesh は、アプリケーションネットワーキングを対象とするマネージドコントロールプレーンです。Cloud Service Mesh を使用すると、トラフィック管理やオブザーバビリティなどの高度なアプリケーションネットワーキング機能を備えた、グローバルで可用性の高いサービスを提供できます。

デプロイに含まれるサービスとマイクロサービスの数の増加するにつれ、次のようなアプリケーションネットワーキングにおける一般的な課題に直面します。

どのようにして、サービスの復元性を実現するか。
どのようにして、トラフィックをサービスへ向かわせるか。また、サービス同士をどのように認識させ、相互に通信させるか。
どのようにして、サービスが相互に通信しているときに起きたことを把握するか。
どのようにして、サービスを停止させることなく更新を行うか。
どのようにして、デプロイを実現するインフラストラクチャを管理するか。

サービスは相互に通信する必要があります。 — サービスは相互に通信する必要がある（クリックして拡大）

Cloud Service Mesh を使用すると、最新のサービスベースのデプロイにおける、こうした課題を解決できます。Cloud Service Mesh は Google Cloudマネージドインフラストラクチャを利用するため、独自のインフラストラクチャを管理する必要はありません。アプリケーションネットワーキングの複雑な管理は Cloud Service Mesh に任せ、ビジネス上の課題を解決するアプリケーションコードの提供に専念できます。

Cloud Service Mesh

アプリケーションネットワーキングの課題を解決するうえで一般的なパターンは、サービスメッシュを使用することです。Cloud Service Mesh は、サービスメッシュや、ニーズに合った他のデプロイパターンをサポートしています。

一般的なサービスメッシュの場合、以下のようになります。

サービスは、Kubernetes クラスタにデプロイします。
各サービスの Pod には、サイドカープロキシとして実行される専用のプロキシ（通常は Envoy）があります。
各サイドカープロキシは、クラスタにインストールされているネットワーキングインフラストラクチャ（コントロールプレーン）と通信します。コントロールプレーンは、サービスメッシュ内のサービス、エンドポイント、ポリシーについて、サイドカープロキシに通知します。
Pod がリクエストを送信または受信すると、そのリクエストは Pod のサイドカープロキシに入ります。サイドカープロキシは、そのリクエストを目的の宛先に送信するなどの処理を行います。

このドキュメントと他の Cloud Service Mesh ドキュメント内の図では、プロキシはピンクの六角形のアイコンで表現されています。コントロールプレーンは各プロキシに接続され、プロキシがリクエストの処理に必要とする情報を提供します。ボックス間の矢印はトラフィックのフローを示します。たとえば、Service A のアプリケーションコードがリクエストを送信すると、プロキシがそのリクエストを処理して、Service B に転送します。

このモデルによって、ネットワーキングロジックをアプリケーションコードと分離できます。アプリケーションネットワーキングの処理はインフラストラクチャに任せて、ビジネス価値の提供に専念できます。

Cloud Service Mesh の相違点

Cloud Service Mesh は上記のモデルと似ていますが、重要な違いがあります。まず、Cloud Service Mesh はGoogle Cloudマネージドサービスであるという事実が根本にあります。インストールが不要で、クラスタ内で実行されないため、メンテナンスの必要がありません。

次の図では、Cloud Service Mesh がコントロールプレーンです。この Kubernetes クラスタには 4 つのサービスがあり、それぞれのサイドカープロキシが Cloud Service Mesh に接続されています。Cloud Service Mesh は、プロキシがリクエストをルーティングするために必要な情報を提供します。たとえば、Service A に属する Pod 上のアプリケーションコードがリクエストを送信すると、この Pod とともに実行されているサイドカープロキシがリクエストを処理して、Service B に属する Pod にルーティングします。

Cloud Service Mesh を使用したサービスメッシュの例。 — Cloud Service Mesh を使用したサービスメッシュの例（クリックして拡大）

サービスメッシュと比較したメリット

Cloud Service Mesh は、一般的なサービスメッシュよりも多くのタイプのデプロイをサポートしています。

マルチクラスタ Kubernetes

Cloud Service Mesh を使用すると、Kubernetes クラスタ間で機能するアプリケーションネットワーキングを利用できます。次の図では、Cloud Service Mesh が us-central1 と europe-west1 にある Kubernetes クラスタのコントロールプレーンを提供しています。リクエストは、us-central1 の 3 つのサービス、europe-west1 の 2 つのサービス、2 つのクラスタのサービス間でルーティングできます。

サービスメッシュは、複数のGoogle Cloud リージョンにある複数の Kubernetes クラスタにわたって拡張できます。クラスタ内のサービスが、別のクラスタ内のサービスと通信できます。さらに、複数のクラスタの Pod で構成されるサービスを使用することもできます。

Cloud Service Mesh の近接ベースのグローバルロードバランシングを使用すると、Service B を宛先とするリクエストは、そのリクエストを処理可能な最も近い Pod に送られます。また、フェイルオーバーはシームレスに行われます。Pod がダウンすると、その Pod が別の Kubernetes クラスタ内にある場合でも、リクエストに対応可能な別の Pod にリクエストが自動的にフェイルオーバーされます。

仮想マシン

Kubernetes の利用が拡大している一方で、多くのワークロードは仮想マシン（VM）インスタンスにデプロイされています。Cloud Service Mesh は、こうしたワークロードのアプリケーションネットワーキングの課題も解決し、VM ベースのワークロードと Kubernetes ベースのワークロードを相互運用できます。

次の図では、トラフィックが外部アプリケーションロードバランサを通じてデプロイに到達します。そのトラフィックは、asia-southeast1 にある Kubernetes クラスタの Service A と、europe-west1 にある VM の Service D にルーティングされます。

Cloud Service Mesh を使用した VM と Kubernetes の例。 — Cloud Service Mesh を使用した VM と Kubernetes の例（クリックして拡大）

Google では、Cloud Service Mesh を使用して VM ベースのワークロードを設定するシームレスな仕組みを提供しています。Compute Engine VM インスタンステンプレートにフラグを追加するだけで、インフラストラクチャの設定を処理します。このセットアップには、アプリケーションネットワーキング機能を提供するプロキシのインストールと構成が含まれます。

プロキシレス gRPC

gRPC は、機能豊富なオープンソースの RPC フレームワークです。これを使用して、高パフォーマンスのマイクロサービスを作成できます。Cloud Service Mesh を使用すると、アプリケーションネットワーキング機能（サービスディスカバリ、ロードバランシング、トラフィック管理など）を gRPC アプリケーションで利用できるようになります。詳細については、Cloud Service Mesh と gRPC - サービスメッシュ用のプロキシレスサービスをご覧ください。

次の図では、gRPC アプリケーションは、あるリージョンの Kubernetes クラスタにあるサービスと、異なるリージョンの VM 上で実行されているサービスにトラフィックをルーティングします。2 つのサービスにはサイドカープロキシがあり、他のサービスはプロキシレスです。

Cloud Service Mesh を使用したプロキシレス gRPC アプリケーションの例。 — Cloud Service Mesh を使用したプロキシレス gRPC アプリケーションの例（クリックして拡大）

Cloud Service Mesh はプロキシレス gRPC サービスをサポートしています。これらのサービスは、xDS API をサポートする最新バージョンのオープンソース gRPC ライブラリを使用します。gRPC アプリケーションは、Envoy が使用するのと同じ xDS API を使用して Cloud Service Mesh に接続できます。

アプリケーションを接続すると、gRPC ライブラリは、サービスディスカバリ、ロードバランシング、トラフィック管理などのアプリケーションネットワーキング機能を提供します。これらは始めから gRPC に備わっている機能のため、サービスプロキシは必要ありません。そのため、プロキシレス gRPC アプリケーションと呼ばれます。

上り（内向き）とゲートウェイ

多くのユースケースでは、Cloud Service Mesh で構成されていないクライアントを起点とするトラフィックを処理する必要があります。たとえば、パブリックインターネットからマイクロサービスへの上り（内向き）トラフィックが必要な場合などです。また、クライアントからのトラフィックを宛先に送信する前にトラフィックを処理するリバースプロキシとして、ロードバランサを構成することもできます。

次の図では、外部アプリケーションロードバランサによって外部クライアントに対する上り（内向き）中継が有効になり、トラフィックが Kubernetes クラスタ内のサービスに転送されています。内部アプリケーションロードバランサは、VM で実行されているサービスに内部トラフィックをルーティングします。

Cloud Service Mesh と上り（内向き）トラフィック用の Cloud Load Balancing。 — Cloud Service Mesh と上り（内向き）トラフィック用の Cloud Load Balancing（クリックして拡大）

Cloud Service Mesh は Cloud Load Balancing と連携して、上り（内向き）トラフィックのマネージドエクスペリエンスを実現します。外部ロードバランサまたは内部ロードバランサを設定し、そのロードバランサがトラフィックをマイクロサービスに送信するように構成します。上の図では、公共インターネットのクライアントは、外部アプリケーションロードバランサを経由してサービスにアクセスします。Virtual Private Cloud（VPC）ネットワーク上にあるマイクロサービスなどのクライアントは、内部アプリケーションロードバランサを使用してサービスに到達します。

ユースケースによっては、Cloud Service Mesh を設定してゲートウェイを構成する必要がある場合があります。基本的に、ゲートウェイはリバースプロキシで、通常は 1 つ以上の VM で実行されている Envoy であり、受信リクエストをリッスンして処理し、宛先に送信します。宛先は任意の Google Cloud リージョンまたは Google Kubernetes Engine（GKE）クラスタにすることができます。ハイブリッド接続を使用して、 Google Cloud から到達可能なGoogle Cloud の外部の宛先にすることもできます。どのような場合にゲートウェイを使用するかについては、メッシュの上り（内向き）トラフィックをご覧ください。

次の図では、europe-west1 リージョンにある VM が、プロキシを実行していない 3 つのサービスへのゲートウェイとして機能するプロキシを実行しています。外部アプリケーションロードバランサと内部アプリケーションロードバランサからのトラフィックは、いずれもゲートウェイにルーティングされてから、3 つのサービスにルーティングされます。

ゲートウェイの構成に使用される Cloud Service Mesh。 — ゲートウェイの構成に使用される Cloud Service Mesh（クリックして拡大）

複数の環境

Google Cloud、オンプレミス、その他のクラウドのいずれかにサービスがある場合でも、そのすべてにサービスがある場合でも、アプリケーションネットワーキングにおける基本的な課題は変わりません。どのようにして、こうしたサービスでトラフィックを受信するか、こうしたサービスを互いに通信させるかという課題です。

次の図では、Cloud Service Mesh が、 Google Cloud で実行されているサービスからのトラフィックを、別のパブリッククラウドで実行されている Service G、およびオンプレミスのデータセンターで実行されている Service E と Service F にルーティングします。Service A、Service B、Service C は、Envoy をサイドカープロキシとして使用するのに対し、Service D はプロキシレスの gRPC サービスです。

環境間の通信に使用される Cloud Service Mesh。 — 環境間の通信に使用される Cloud Service Mesh（クリックして拡大）

Cloud Service Mesh を使用すると、Google Cloudの外部の宛先にリクエストを送信できます。これにより、Cloud Interconnect または Cloud VPN を使用して、 Google Cloud 内のサービスから他の環境のサービスまたはゲートウェイにプライベートトラフィックをルーティングできます。

Cloud Service Mesh の設定

Cloud Service Mesh の設定には 2 つの手順があります。設定プロセスが完了すると、インフラストラクチャはアプリケーションネットワーキングを処理し、Cloud Service Mesh はデプロイの変更に基づいてすべてを最新の状態に保ちます。

アプリケーションのデプロイ

まず、アプリケーションコードをコンテナまたは VM にデプロイします。Google では、VM インスタンスと Pod にアプリケーションネットワーキングインフラストラクチャ（通常は Envoy プロキシ）を追加できる仕組みを提供しています。このインフラストラクチャは、Cloud Service Mesh と通信して、サービスについて学習するように設定されています。

Cloud Service Mesh の構成

次に、グローバルサービスを構成し、トラフィックの処理方法を定義します。Cloud Service Mesh を構成するには、 Google Cloud コンソール（一部の機能と構成）、Google Cloud CLI、Traffic Director API、またはその他のツール（Terraform など）を使用します。

この手順が完了すると、Cloud Service Mesh でアプリケーションネットワーキングインフラストラクチャを構成する準備が整います。

インフラストラクチャによるアプリケーションネットワーキングの処理

アプリケーションが my-service にリクエストを送信すると、アプリケーションネットワーキングインフラストラクチャ（Envoy サイドカープロキシなど）が、Cloud Service Mesh から受信した情報に従ってそのリクエストを処理します。これにより、my-service へのリクエストを、受信可能なアプリケーションインスタンスにシームレスにルーティングできます。

モニタリングと継続的な更新

Cloud Service Mesh は、サービスを構成するアプリケーションインスタンスをモニタリングします。このモニタリングにより、Cloud Service Mesh は、新しい Kubernetes Pod が作成された場合などに、サービスが正常な状態であるか、サービスの容量が変更されたかどうかを検出できます。この情報に基づいて、Cloud Service Mesh はアプリケーションネットワーキングインフラストラクチャを継続的に更新します。

機能

Cloud Service Mesh の機能により、マイクロサービスにアプリケーションネットワーキング機能が追加されます。このセクションでは、いくつかのポイントを説明します。

フルマネージドのコントロールプレーン、ヘルスチェック、ロードバランシング

インフラストラクチャの管理ではなく、ビジネス価値の提供に時間をかけたいとお考えなら、Cloud Service Mesh はフルマネージドソリューションであるため、インフラストラクチャをインストール、構成、更新する必要がありません。Google でヘルスチェックやグローバルロードバランシングに使用されているものと同じインフラストラクチャを利用できます。

オープンソースプロダクト上に構築

Cloud Service Mesh は、Envoy や Istio などの一般的なオープンソースプロジェクトが使用するのと同じコントロールプレーン（xDS API）を使用します。サポートされている API バージョンを確認するには、xDS コントロールプレーン API をご覧ください。

アプリケーションネットワーキング機能を提供するインフラストラクチャ（ユースケースに応じて Envoy または gRPC）もオープンソースであるため、独自仕様のインフラストラクチャにロックインされる心配はありません。

スケール

Cloud Service Mesh は、単発のアプリケーションネットワーキングソリューションから数千ものサービスで構成される大規模なサービスメッシュデプロイまで、スケーリングの要件を満たすように構築されています。

サービスディスカバリとエンドポイントおよびバックエンドのトラッキング

アプリケーションが my-service にリクエストを送信すると、リクエストはインフラストラクチャでシームレスに処理され、正しい宛先に送信されます。アプリケーションは、IP アドレス、プロトコル、その他のネットワーキングの複雑性について認識する必要がありません。

グローバルロードバランシングとフェイルオーバー

Cloud Service Mesh では、Google のグローバルロードバランシングとヘルスチェックを使用して、クライアントとバックエンドのロケーション、バックエンドの近接性、健全性、容量に基づいてトラフィックを最適なバランスで分散させます。容量に余裕がある正常なバックエンドにトラフィックを自動的にフェイルオーバーすることで、サービスの可用性が向上します。ビジネス要件に合わせてトラフィックが分散されるように、ロードバランシングをカスタマイズできます。

トラフィック管理

ルーティングとリクエストの操作（ホスト名、パス、ヘッダー、Cookie などに基づく）などの高度なトラフィック管理によって、サービス間のトラフィックフローを決定できます。カナリアデプロイの再試行、リダイレクト、重みベースのトラフィック分割などのアクションも適用できます。フォールトインジェクション、トラフィックミラーリング、外れ値検出などの高度なパターンを使用すると、DevOps のユースケースで復元性が向上します。

オブザーバビリティ

アプリケーションネットワーキングインフラストラクチャは、指標、ログ、トレースなど、Google Cloud Observability に一元的に集約できるテレメトリー情報を収集します。この情報を収集することで、分析情報の取得やアラートの作成が可能になり、問題が発生した場合に通知を受け取れます。

VPC Service Controls

VPC Service Controls を使用すると、アプリケーションのリソースとサービスのセキュリティを強化できます。サービス境界にプロジェクトを追加して、境界外からのリクエストからリソースやサービス（Cloud Service Mesh など）を保護できます。VPC Service Controls の詳細については、VPC Service Controls の概要をご覧ください。

VPC Service Controls で Cloud Service Mesh を使用する方法については、サポートされているプロダクトのページをご覧ください。

次のステップ

これは、主にロードバランシング API に適用される以前のドキュメントです。ロードバランシング API を使用して Cloud Service Mesh を構成しないことを強くおすすめします。

Cloud Service Mesh をデプロイするには、以下を使用します。
- Compute Engine と VM の場合は、サービスルーティング API を使用します。
- Google Kubernetes Engine と Pod の場合は、Gateway API を使用します。
プロキシレス gRPC サービスのユースケースとアーキテクチャパターンを確認するには、プロキシレス gRPC サービスの概要をご覧ください。
トラフィック管理でトラフィックの処理方法を制御する方法については、高度なトラフィック管理の概要をご覧ください。
Cloud Service Mesh がGoogle Cloudの外部に拡張された環境をサポートする方法については、次のドキュメントをご覧ください。
- Cloud Service Mesh と Service Directory の統合
- ハイブリッド接続ネットワークエンドポイントグループを使用する Cloud Service Mesh（レガシー API のみ）
- インターネットネットワークエンドポイントグループを使用する Cloud Service Mesh（レガシー API のみ）