關於 Cloud Service Mesh

Cloud Service Mesh 是一套工具，可協助您監控及管理在本地端或雲端的服務網格。 Google Cloud

什麼是服務網格？

服務網格是一種架構，可讓各項服務以受管理、可觀察且安全的方式進行通訊，讓您在所選基礎架構上建立由多項微服務組成的穩固企業應用程式。服務網格提供功能強大且一致的工具，讓您放心執行服務，不必擔心監控、網路和安全性等方面的問題。因此服務開發人員和營運人員可以專心建立及管理優質的應用程式，讓使用者享有優質體驗。

Cloud Service Mesh 採用 Istio 技術，這項服務網格平台的設定彈性相當高，功能也非常強大，而且提供可實踐業界最佳做法的工具和功能。Cloud Service Mesh 會以一致的層部署至整個基礎架構。服務開發人員和營運人員可以在不變更應用程式程式碼的情況下，使用其豐富的功能組合。

在架構上，服務網格由一或多個控制層和資料層組成。服務網格會透過 Proxy 監控所有流量。在 Kubernetes 中，Proxy 會透過側邊車模式部署至網格中的微服務。這個模式會將應用程式或商業邏輯與網路功能分離，讓開發人員專注於企業所需的功能。服務網格也讓運作團隊和開發團隊將各自的工作解耦。

Cloud Service Mesh 可提供哪些協助？

透過 Cloud Service Mesh，您可以取得經過測試且獲得 GKE Enterprise 支援的 Istio 發行版本，讓您在 GKE 和其他平台上建立及部署服務網格，並享有 Google 提供的完整支援。 Google Cloud

功能

Cloud Service Mesh 提供一套功能和工具，可協助您以統一方式觀察及管理安全可靠的服務。

流量管理

Cloud Service Mesh 會控管服務之間、進入網格 (進入流量) 和外部服務 (傳出流量) 的流量。您可以設定及部署與 Istio 相容的自訂資源，在應用程式 (第 7 層) 層級管理這類流量。舉例來說，您可以使用自訂資源來執行下列操作：

• 建立初期測試和藍綠部署。
• 針對服務的特定路徑提供精細控管。
• 設定服務之間的負載平衡。
• 設定斷路器。

Cloud Service Mesh 會依名稱和各自的端點，維護網格中所有服務的服務註冊。它會維護註冊表，以便管理流量流量 (例如 Kubernetes Pod IP 位址)。使用這個服務註冊表，並與服務並行執行 Proxy，網格就能將流量導向適當的端點。

觀測洞察

Google Cloud 控制台中的 Cloud Service Mesh 頁面會提供以下服務網格相關洞察資料：

• 系統會自動將網格 GKE 叢集中 HTTP 流量的服務指標和記錄，擷取至 Google Cloud。

• 預先設定的服務資訊主頁會提供您瞭解服務所需的資訊。

• 透過 Cloud Monitoring、Cloud Logging 和 Cloud Trace 提供的深入遙測功能，您可以深入瞭解服務指標和記錄。您可以依據各種屬性篩選及切割資料。

• 服務與服務之間的關係一目瞭然，有助您瞭解哪些使用者連線至各項服務，以及各項服務相依的服務。

• 您不僅可以快速查看服務的通訊安全狀態，還能瞭解與其他服務的關係。

• 服務水準目標 (SLO) 可讓您深入瞭解服務的健康狀態。您可以輕鬆定義服務等級目標，並依據自己的服務健康狀態標準發出警示。

如要進一步瞭解 Cloud Service Mesh 的可觀察性功能，請參閱可觀察性指南。

安全性優勢

• 降低使用遭竊憑證的重播或冒用攻擊風險。Cloud Service Mesh 會使用相互傳輸層安全性 (mTLS) 憑證驗證對等端，而非使用 JSON Web Token (JWT) 這類代管者權杖。

• 確保傳輸中資料加密。使用 mTLS 進行驗證，還可確保所有 TCP 通訊在傳輸期間都會加密。

• 確保只有經過授權的用戶端才能存取含有機密資料的服務，不受用戶端的網路位置和應用程式層級憑證影響。

• 降低實際運作網路中使用者資料遭到侵害的風險。您可以確保內部人員只能透過授權用戶端存取機密資料。

• 識別哪些用戶端存取了含有機密資料的服務。Cloud Service Mesh 存取記錄除了 IP 位址外，也會擷取用戶端的 mTLS 身分。

• 所有叢集內控制層元件和 Proxy 都會使用通過 FIPS 140-2 驗證的加密模組。

如要進一步瞭解 Cloud Service Mesh 的安全性優點和功能，請參閱安全性指南。

部署選項

您可以在 Cloud Service Mesh 中使用下列部署選項：

• 代管 Cloud Service Mesh
• 叢集內控制層

代管型 Anthos 服務網格

代管 Cloud Service Mesh 由代管控制層和代管資料層組成。採用代管 Cloud Service Mesh 服務，Google 會為您處理升級、資源調度和安全性作業，盡可能減少使用者手動維護作業。啟用受管理資料層後，Google 會安裝叢集內控制器，為您管理附屬 Proxy。

下圖顯示 Cloud Service Mesh 的組件和功能 (適用於受管理的 Cloud Service Mesh)：

如要瞭解如何設定或遷移至代管的 Cloud Service Mesh，請參閱「設定代管的 Cloud Service Mesh」。

叢集內控制層

下圖顯示叢集內控制平面和附屬 Proxy 的 Cloud Service Mesh 元件和功能。

如要瞭解如何安裝叢集內的 Cloud Service Mesh，請參閱「安裝 Cloud Service Mesh」。

後續步驟

• 安裝 Cloud Service Mesh
• 設定傳輸安全性