Anthos Service Mesh: Observabilidad y Seguridad en Kubernetes

Clase 27 de 48Entrenamiento de Google Cloud Platform

Clase anteriorSiguiente clase

Resumen

¿Qué es Anthos Service Mesh?

Anthos Service Mesh es una instalación de Istio sobre Kubernetes Engine, diseñada para mejorar la comunicación, observabilidad, agilidad y seguridad de microservicios en un entorno Kubernetes. Este servicio se vuelve crucial cuando la cantidad de servicios interconectados en una infraestructura se vuelve inmanejable, lo que lleva al conocido problema de la "estrella de la muerte". Con Anthos Service Mesh, se centraliza la comunicación de servicios, permitiendo un manejo más eficiente y seguro de estos.

¿Cuál es la estructura básica de Istio?

La arquitectura interna de Istio se basa en varios componentes clave:

  • Pilot: Este es el plano de configuración y decide qué servicios pueden comunicarse entre sí, usando un modelo de etiquetado dentro de Kubernetes. Se asemeja a la función de un profesor que organiza grupos de trabajo en un aula.

  • Mixer: Es el encargado de centralizar todas las comunicaciones para la correcta gestión de permisos y accesos.

  • Citadel: Proporciona las credenciales para los certificados de los proxies, asegurando la encriptación y seguridad de las comunicaciones internas.

  • Gallery: Facilita la comunicación con el Mixer, manteniendo la integridad del flujo de datos.

¿Cómo funciona un request en Istio?

Al enviar una solicitud de un servicio A a un servicio B en Istio, el proceso sigue ciertos pasos para asegurar la integridad y seguridad:

  1. Se genera un proxy tipo Envoy para cada servicio, asegurando que la comunicación pase a través de este intermediario.

  2. Pilot despliega este proxy Envoy al lado de cada servicio y Citadel entrega los certificados si es necesario encriptar la comunicación.

  3. El servicio no se comunica directamente con el otro; en su lugar, el proxy Envoy se encarga de hablar con el proxy del servicio B.

  4. Antes de permitir la comunicación, el proxy receptor verifica con Istio si tiene permiso para interactuar con el otro servicio.

  5. Una vez autorizado por el Mixer, el proxy inicia la comunicación, recoge la respuesta del servicio B y la devuelve al servicio A.

  6. Al completar el intercambio, el proxy reporta el tiempo y éxito de la solicitud, proporcionando métricas valiosas.

¿Qué ventajas ofrece el enfoque de proxy a proxy?

El enfoque de comunicación de proxy a proxy ofrece varias ventajas:

  • Desacoplamiento de la lógica de red: Los desarrolladores no tienen que preocuparse por el cableado de solicitudes o encriptación.

  • Evitar cuellos de botella: Al canalizar toda la comunicación a través de proxies, se minimizan los riesgos de que un servicio saturado afecte a otros.

  • Amplia observabilidad: Permite tener un monitoreo detallado de las interacciones y tiempos de respuesta a nivel de infraestructura.

Con estos componentes y flujos de trabajo, Anthos Service Mesh se convierte en una herramienta esencial para manejar de forma efectiva la complejidad de servicios en Kubernetes. Para aprender más sobre cómo aprovechar al máximo este poderoso concepto, es recomendable profundizar en estudios y tutoriales avanzados sobre Istio y Kubernetes proporcionados por Google Cloud.