Cloud Service Mesh dan Traffic Director kini bergabung menjadi Cloud Service Mesh. Untuk mengetahui informasi selengkapnya, lihat ringkasan Cloud Service Mesh.

Halaman ini diterjemahkan oleh Cloud Translation API.

Traffic ingress untuk mesh Anda

Service mesh memfasilitasi komunikasi antar-layanan yang berjalan di mesh. Bagaimana cara mendapatkan traffic ke mesh Anda? Anda dapat menggunakan gateway untuk mengarahkan traffic dari luar mesh ke dalam mesh melalui titik entri.

Dokumen ini menjelaskan cara menggunakan Cloud Load Balancing sebagai gateway untuk mendapatkan traffic ke dalam mesh Anda, dan mencakup hal berikut:

Pertimbangan tingkat tinggi untuk gateway Anda.
Ringkasan opsi saat Anda memilih gateway untuk jaringan mesh.
Rekomendasi arsitektur yang dapat Anda terapkan ke topologi gateway.

Dalam dokumen ini, gateway mengacu pada solusi atau pola untuk menangani traffic yang ditujukan ke layanan di mesh Anda. Gateway Ingress Istio adalah salah satu penerapan pola ini. Dalam dokumen ini, gateway adalah istilah umum yang mengacu pada pola umum, bukan implementasi Istio.

Dokumen ini berlaku untuk Cloud Service Mesh API. Setelah langkah-langkah penyiapan persiapan, lihat yang berisi petunjuk untuk men-deploy dengan gateway ingress.

Saat mendesain mesh layanan, pertimbangkan traffic yang berasal dari sumber berikut:

Traffic yang berasal dari dalam mesh Anda
Traffic yang berasal dari luar mesh Anda

Traffic yang berasal dari dalam mesh Anda berjalan di bidang data mesh layanan untuk mencapai backend atau endpoint yang terkait dengan layanan tujuan. Namun, traffic yang berasal dari luar mesh Anda harus mencapai bidang data service mesh terlebih dahulu.

Dalam contoh traffic berikut yang berasal dari dalam mesh Anda, Cloud Service Mesh mengonfigurasi proxy sidecar Anda. Proxy sidecar ini membentuk bidang data mesh layanan Anda. Jika Layanan A ingin berkomunikasi dengan Layanan B, hal berikut akan terjadi:

Service A membuat permintaan ke Service B berdasarkan nama.
Permintaan ini dicegat dan dialihkan ke proxy sidecar Layanan A.
Kemudian, proxy sidecar mengirimkan permintaan ke endpoint yang terkait dengan Service B.

Bidang data mesh menangani traffic internal ke mesh layanan. — Data plane mesh menangani traffic internal ke service mesh (klik untuk memperbesar)

Dalam contoh berikut, traffic berasal dari luar mesh layanan Anda dan tidak berjalan di sepanjang bidang data mesh layanan.

Bidang data mesh layanan tidak menangani traffic eksternal
ke mesh layanan. — Bidang data mesh layanan tidak menangani traffic eksternal ke mesh layanan (klik untuk memperbesar)

Dalam contoh ini, klien berada di luar mesh layanan Anda. Karena tidak berpartisipasi secara langsung dalam mesh, klien tidak mengetahui endpoint mana yang termasuk dalam layanan di dalam mesh. Dengan kata lain, karena klien tidak menggunakan proxy yang dikonfigurasi Cloud Service Mesh untuk mengirim permintaan keluar, klien tidak mengetahui pasangan IP address-port mana yang akan digunakan saat mengirim traffic ke Service A atau Service B. Tanpa informasi tersebut, klien tidak dapat mengakses layanan di dalam mesh Anda.

Pertimbangan untuk gateway Anda

Bagian ini memberikan ringkasan masalah yang perlu dipertimbangkan saat Anda memilih gateway, termasuk hal-hal berikut:

Bagaimana cara klien menjangkau gateway saya?
Kebijakan apa yang ingin saya terapkan pada traffic yang mencapai gateway saya?
Bagaimana cara gateway mendistribusikan traffic ke layanan di mesh saya?

Mengizinkan klien menjangkau gateway ke jaringan mesh Anda

Klien, baik di internet publik, di lingkungan lokal, atau dalam Google Cloud, memerlukan cara untuk menjangkau layanan dalam mesh Anda. Menjangkau layanan di mesh biasanya dilakukan dengan menggunakan alamat IP dan port yang dapat dirutekan secara publik atau pribadi yang diselesaikan ke gateway. Klien di luar mesh Anda menggunakan alamat IP dan port ini untuk mengirim permintaan ke layanan di mesh Anda melalui gateway Anda.

Cloud Load Balancing menyediakan berbagai opsi load balancing yang dapat Anda gunakan sebagai gateway ke mesh Anda. Pertanyaan utama yang harus diajukan saat Anda memilih Google Cloud load balancer untuk bertindak sebagai gateway Anda adalah sebagai berikut:

Apakah klien saya berada di internet publik, di lingkungan lokal, atau bagian dari jaringan Virtual Private Cloud (VPC) saya?
Protokol komunikasi apa yang digunakan klien saya?

Untuk ringkasan opsi Cloud Load Balancing, bergantung pada lokasi klien dan protokol komunikasi, lihat bagian Memilih gateway untuk mesh.

Menangani traffic di gateway

Karena gateway Anda berada di tepi mesh—di antara klien yang berada di luar mesh dan layanan yang berada di dalam mesh—gateway adalah tempat yang tepat untuk menerapkan kebijakan saat traffic memasuki mesh Anda. Kebijakan ini mencakup hal berikut:

Pengelolaan traffic—misalnya, pemilihan rute, pengalihan, dan transformasi permintaan
Keamanan—misalnya, penghentian TLS dan perlindungan distributed denial-of-service (DDoS) Google Cloud Armor
Penyimpanan cache Cloud CDN

Bagian Pilih gateway untuk jaringan mesh Anda menyoroti kebijakan yang relevan di edge jaringan mesh Anda.

Mengirim traffic dari gateway ke layanan di mesh Anda

Setelah gateway Anda menerapkan kebijakan ke traffic masuk, gateway akan memutuskan ke mana traffic akan dikirim. Anda menggunakan kebijakan load balancing dan pengelolaan traffic untuk mengonfigurasi hal ini. Misalnya, gateway dapat memeriksa header permintaan untuk mengidentifikasi layanan mesh yang harus menerima traffic. Setelah gateway mengidentifikasi layanan, gateway akan mendistribusikan traffic ke backend tertentu sesuai dengan kebijakan load balancing.

Bagian Pilih gateway untuk mesh Anda menguraikan backend yang dapat dikirimi traffic oleh gateway.

Memilih gateway untuk jaringan mesh Anda

Google Cloud menawarkan berbagai load balancer yang dapat bertindak sebagai gateway ke mesh Anda. Bagian ini membahas pemilihan gateway, membandingkan opsi berikut berdasarkan dimensi yang relevan dengan pola gateway:

Di bagian ini, kami merujuk ke gateway tingkat pertama dan tingkat kedua. Istilah ini digunakan untuk mendeskripsikan penggunaan satu atau dua gateway untuk menangani traffic masuk ke mesh Anda.

Anda mungkin hanya memerlukan satu tingkat, satu load balancer yang berfungsi sebagai gateway ke mesh. Namun, terkadang kita perlu memiliki beberapa gateway. Dalam konfigurasi ini, satu gateway menangani traffic yang masuk Google Cloud, dan gateway tingkat kedua yang terpisah menangani traffic saat memasuki mesh layanan.

Misalnya, Anda mungkin ingin menerapkan kebijakan keamanan Google Cloud Armor ke traffic yang masuk Google Cloud dan kebijakan pengelolaan traffic lanjutan ke traffic yang masuk ke mesh. Pola penggunaan gateway kedua yang dikonfigurasi Cloud Service Mesh dibahas di bagian Menangani traffic ingress menggunakan gateway tingkat kedua di edge mesh Anda.

Tabel berikut membandingkan kemampuan yang tersedia, bergantung pada opsi gateway yang Anda pilih.

Gateway	Lokasi klien	Protokol	Kebijakan	Backend/endpoint
Load Balancer Aplikasi Internal	Klien berbasisGoogle Clouddi region yang sama dengan load balancer. Klien lokal yang permintaannya tiba di Google Cloud region yang sama dengan load balancer—misalnya, menggunakan Cloud VPN atau Cloud Interconnect.	HTTP/1.1 HTTP/2 HTTPS	Pengelolaan traffic lanjutan TLS termination menggunakan sertifikat yang dikelola sendiri	Backend di region yang sama dengan load balancer, berjalan di: Google Cloud Backend instance virtual machine (VM) di Compute Engine Instance container di Google Kubernetes Engine (GKE) dan Kubernetes
Load Balancer Aplikasi Eksternal	Klien di internet publik	HTTP/1.1 HTTP/2 HTTPS	Pengelolaan traffic Cloud CDN (termasuk backend bucket Cloud Storage) Penghentian TLS menggunakan sertifikat yang dikelola Google atau dikelola sendiri Kebijakan SSL Cloud Armor untuk pencegahan DDoS dan serangan web Dukungan Identity-Aware Proxy (IAP) untuk autentikasi pengguna	Backend di region Google Cloud mana pun, yang berjalan di: VM di Compute Engine Instance container di GKE dan Kubernetes
Load Balancer Jaringan passthrough internal	klien berbasisGoogle Clouddi region mana pun; hal ini memerlukan akses global jika klien berada di region yang berbeda dengan load balancer. Klien lokal yang permintaannya tiba di region Google Cloud mana pun—misalnya, menggunakan Cloud VPN atau Cloud Interconnect.	TCP		Backend di Google Cloud region yang sama dengan load balancer, berjalan di VM di Compute Engine.
Load Balancer Jaringan passthrough eksternal	Klien di internet publik	TCP atau UDP		Backend di Google Cloud region yang sama dengan load balancer, berjalan di VM di Compute Engine.
Load Balancer Jaringan proxy eksternal	Klien di internet publik	SSL atau TCP	Penghentian TLS menggunakan sertifikat yang dikelola sendiri atau oleh Google (hanya proxy SSL) Kebijakan SSL (khusus proxy SSL)	Backend di region Google Cloud mana pun, yang berjalan di: VM di Compute Engine Instance container di GKE dan Kubernetes
Proxy edge (di instance VM atau penampung) yang dikonfigurasi oleh Cloud Service Mesh	Klien harus berada di lokasi yang memenuhi salah satu kondisi berikut: Mereka dapat mengirim permintaan ke load balancer yang dikelola Google Cloud, yang kemudian mengirim permintaan ke proxy edge. Untuk mengetahui detailnya, lihat Menangani traffic ingress menggunakan gateway tingkat kedua di tepi mesh Anda. Mereka dapat mengirim permintaan melalui proxy—misalnya, proxy sidecar—yang dikonfigurasi Cloud Service Mesh. Mereka dapat mengirim permintaan langsung ke alamat IP dan port VM atau instance container yang menjalankan proxy edge.	HTTP/1.1 HTTP/2	Pengelolaan traffic lanjutan (termasuk dukungan `regex`)	Backend di region Google Cloud mana pun, yang berjalan di: VM di Compute Engine Instance container di GKE dan Kubernetes

Untuk perbandingan fitur mendetail, lihat halaman Fitur load balancer. Untuk ringkasan mendetail tentang fitur Cloud Service Mesh, lihat halaman Fitur Cloud Service Mesh.

Men-deploy dan mengonfigurasi gateway

Pertimbangan terakhir dalam memilih gateway adalah pengalaman developer dan alat yang ingin Anda gunakan. Google Cloud menawarkan beberapa pendekatan untuk membuat dan mengelola gateway Anda.

Google Cloud CLI dan Compute Engine API

Untuk mengonfigurasi produk load balancing terkelola Google Clouddan Cloud Service Mesh, Anda dapat menggunakan Google Cloud CLI dan Compute Engine API. gcloud CLI dan API menyediakan mekanisme untuk men-deploy dan mengonfigurasi Google Cloud resource Anda secara imperatif. Untuk mengotomatiskan tugas berulang, Anda dapat membuat skrip.

Google Cloud console

Untuk mengonfigurasi Cloud Service Mesh dan load balancer terkelola Google Cloud, Anda dapat menggunakan konsol Google Cloud .

Untuk mengonfigurasi pola gateway, Anda mungkin memerlukan halaman Cloud Service Mesh dan halaman Load balancing.

GKE dan Multi Cluster Ingress

Pengontrol jaringan GKE dan GKE Enterprise juga mendukung deployment Cloud Load Balancing untuk integrasi bawaan dengan jaringan penampung. Mereka menyediakan antarmuka deklaratif gaya Kubernetes untuk men-deploy dan mengonfigurasi gateway. Pengontrol Ingress GKE dan Multi-cluster Ingress mengelola load balancer internal dan eksternal untuk mengirim traffic ke satu cluster atau di beberapa cluster GKE. Resource Ingress juga dapat dikonfigurasi untuk mengarah ke layanan yang dikonfigurasi Cloud Service Mesh yang di-deploy di cluster GKE.

Pola arsitektur gateway

Bagian ini menjelaskan pola tingkat tinggi dan menyediakan diagram arsitektur untuk gateway Anda.

Pola yang paling umum melibatkan penggunaan load balancer yang dikelola Google Cloudsebagai gateway Anda:

Klien mengirim traffic ke load balancer yang dikelola Google Cloudyang berfungsi sebagai gateway Anda.
- Gateway menerapkan kebijakan.
Gateway mengirimkan traffic ke layanan di mesh Anda.

Pola yang lebih canggih melibatkan gateway di dua tingkat. Gateway berfungsi sebagai berikut:

Klien mengirim traffic ke load balancer yang dikelola oleh Google Cloudyang bertindak sebagai gateway tingkat pertama Anda.
- Gateway menerapkan kebijakan.
Gateway mengirimkan traffic ke proxy edge (atau kumpulan proxy edge) yang dikonfigurasi oleh Cloud Service Mesh. Edge proxy ini bertindak sebagai gateway tingkat kedua. Level ini melakukan hal berikut:
- Memberikan pemisahan masalah yang jelas, misalnya, satu tim bertanggung jawab atas traffic ingress yang masuk Google Cloud , sementara tim lain bertanggung jawab atas traffic ingress yang masuk ke mesh tim tersebut.
- Memungkinkan Anda menerapkan kebijakan yang mungkin tidak didukung di load balancer yang dikelolaGoogle Cloud.
Gateway tingkat kedua mengirimkan traffic ke layanan di mesh Anda.

Pola traffic masuk berakhir setelah traffic mencapai layanan dalam mesh. Kasus umum dan pola lanjutan dijelaskan di bagian berikut.

Mengaktifkan traffic masuk dari internet

Jika klien Anda berada di luar Google Cloud dan perlu menjangkau Google Cloud melalui internet publik, Anda dapat menggunakan salah satu load balancer berikut sebagai gateway:

Traffic Ingress dari klien di internet publik ke layanan dalam mesh menggunakan load balancer. — Traffic ingress dari klien di internet publik ke layanan dalam mesh menggunakan load balancer (klik untuk memperbesar)

Dalam pola ini, load balancer yang dikelola Google Cloudberfungsi sebagai gateway Anda. Gateway menangani traffic masuk sebelum meneruskannya ke layanan di mesh Anda.

Misalnya, Anda dapat memilih Load Balancer Aplikasi eksternal sebagai gateway untuk menggunakan hal berikut:

Alamat IP Anycast global yang dapat dirutekan secara publik, yang meminimalkan latensi dan biaya traversal jaringan.
Cloud Armor dan penghentian TLS untuk mengamankan traffic ke mesh Anda.
Cloud CDN untuk menayangkan konten web dan video.
Kemampuan pengelolaan traffic seperti perutean berbasis host dan berbasis jalur.

Untuk mengetahui informasi selengkapnya yang dapat membantu Anda memutuskan gateway yang sesuai, lihat bagian Memilih gateway untuk mesh.

Mengaktifkan traffic masuk dari klien di VPC dan jaringan lokal yang terhubung

Jika klien Anda berada di dalam jaringan VPC, atau jika klien tersebut berada di lokal dan dapat menjangkau Google Cloud layanan menggunakan metode konektivitas pribadi (seperti Cloud VPN atau Cloud Interconnect), Anda dapat menggunakan salah satu load balancer berikut sebagai gateway:

Traffic masuk dari klien di jaringan VPC ke layanan dalam mesh menggunakan load balancer. — Traffic ingress dari klien di jaringan VPC ke layanan dalam mesh menggunakan load balancer (klik untuk memperbesar)

Dalam pola ini, load balancer yang dikelola Google Cloudberfungsi sebagai gateway Anda. Gateway menangani traffic masuk sebelum meneruskannya ke layanan di mesh Anda.

Misalnya, Anda dapat memilih Load Balancer Aplikasi internal sebagai gateway sehingga Anda dapat menggunakan fitur berikut:

Alamat IP yang dapat dialamatkan secara pribadi
TLS termination untuk mengamankan mesh Anda
Kemampuan pengelolaan traffic lanjutan seperti pembagian traffic berbasis berat
NEG sebagai backend

Untuk mengetahui informasi selengkapnya yang dapat membantu Anda memutuskan gateway yang sesuai, lihat bagian Memilih gateway untuk mesh.

Menangani traffic masuk menggunakan gateway tingkat kedua di tepi mesh

Bergantung pada kebutuhan, Anda dapat mempertimbangkan pola yang lebih canggih yang menambahkan gateway tambahan.

Traffic masuk dari klien eksternal ke layanan dalam mesh menggunakan load balancer dan proxy edge. — Traffic ingress dari klien eksternal ke layanan dalam mesh menggunakan load balancer dan proxy edge (klik untuk memperbesar)

Gateway ini adalah proxy edge yang dikonfigurasi Cloud Service Mesh (atau kumpulan proxy) yang berada di belakang load balancer yang dikelola Google Cloud. Anda dapat menghosting gateway tingkat kedua ini di project menggunakan kumpulan VM Compute Engine (grup instance terkelola) atau layanan GKE.

Meskipun pola ini lebih canggih, pola ini memberikan manfaat tambahan:

Load balancer yang dikelola Google Cloudmenerapkan serangkaian kebijakan awal—misalnya, perlindungan Cloud Armor jika Anda menggunakan Load Balancer Aplikasi eksternal.
Proxy edge yang dikonfigurasi Cloud Service Mesh menerapkan kumpulan kebijakan kedua yang mungkin tidak tersedia di load balancer yang dikelola Google Cloud. Kebijakan ini mencakup pengelolaan traffic lanjutan yang menggunakan ekspresi reguler yang diterapkan ke header HTTP dan pemisahan traffic berbasis bobot.

Pola ini dapat disiapkan untuk mencerminkan struktur organisasi Anda. Contoh:

Satu tim mungkin bertanggung jawab untuk menangani traffic masuk ke Google Cloud , sementara tim lain bertanggung jawab untuk menangani traffic masuk ke mesh-nya.
Jika beberapa tim menawarkan layanan di satu VPC Bersama, dengan setiap tim memiliki project layanannya sendiri, tim dapat menggunakan pola ini untuk mengelola dan menerapkan kebijakan di mesh mereka sendiri. Setiap tim dapat mengekspos gateway yang dikonfigurasi Cloud Service Mesh yang dapat dijangkau pada satu pasangan alamat IP dan port. Kemudian, tim dapat secara independen menentukan dan mengelola kebijakan yang diterapkan pada traffic ingress ke mesh tim.

Pola ini dapat diterapkan menggunakan load balancer yang dikelola Google Cloud, selama load balancer dapat mengirim traffic ke backend yang menghosting gateway yang dikonfigurasi Cloud Service Mesh.

Menggunakan API perutean layanan untuk traffic ingress

API perutean layanan menyediakan resource Gateway untuk mengonfigurasi pengelolaan traffic dan keamanan untuk proxy Envoy yang bertindak sebagai gateway ingress, sehingga memungkinkan klien eksternal terhubung ke mesh layanan (utara-selatan). Untuk mengetahui informasi selengkapnya, baca ringkasan perutean layanan dan Menyiapkan gateway ingress.

Langkah berikutnya

Untuk menyiapkan gateway ingress, lihat Penyiapan Cloud Service Mesh untuk gateway ingress,
Untuk mengelompokkan VM dan container yang menjalankan kode Anda sebagai endpoint layanan, lihat Penemuan layanan Cloud Service Mesh.
Untuk menggunakan Cloud Service Mesh dengan VPC Bersama, lihat Menyiapkan mesh layanan multi-cluster.
Untuk mempelajari Cloud Service Mesh lebih lanjut, lihat Ringkasan Cloud Service Mesh.