服務(wù)網(wǎng)格的采用率持續(xù)增長(zhǎng),一些組織仍在試圖全面了解服務(wù)網(wǎng)格可以做什么和不能做什么。

他們可能沒(méi)有意識(shí)到服務(wù)網(wǎng)格不僅僅是另一個(gè)單一用途的工具,而是一個(gè)能夠滿足各種網(wǎng)絡(luò)需求的工具。服務(wù)網(wǎng)格實(shí)際上可能有助于整合多個(gè)現(xiàn)有工具,以幫助減少管理工作量和成本。


(資料圖片僅供參考)

看看這兩種多云網(wǎng)絡(luò)架構(gòu)。

將網(wǎng)絡(luò)服務(wù)和安全相關(guān)功能自動(dòng)化并卸載到與云無(wú)關(guān)的服務(wù)網(wǎng)格上,可以幫助簡(jiǎn)化多云環(huán)境中的管理。

使用云供應(yīng)商特定網(wǎng)絡(luò)解決方案的多云架構(gòu):

使用云不可知服務(wù)網(wǎng)格:

許多服務(wù)網(wǎng)格產(chǎn)品包括服務(wù)發(fā)現(xiàn)、零信任網(wǎng)絡(luò)和負(fù)載均衡功能,而其他一些服務(wù)網(wǎng)格產(chǎn)品則進(jìn)一步擴(kuò)展,以提供多云/多運(yùn)行時(shí)連接、網(wǎng)絡(luò)自動(dòng)化和南北流量控制。讓我們看看云不可知服務(wù)網(wǎng)格的功能,以及它在跨環(huán)境整合現(xiàn)有工具以幫助減少管理工作和費(fèi)用方面的潛力。

服務(wù)發(fā)現(xiàn)

服務(wù)發(fā)現(xiàn)允許開(kāi)發(fā)人員對(duì)其網(wǎng)絡(luò)上所有注冊(cè)服務(wù)的網(wǎng)絡(luò)位置和運(yùn)行狀況進(jìn)行編目和跟蹤。在服務(wù)不斷增加和減少的動(dòng)態(tài)環(huán)境中,它是一種重要的功能。這通常是為網(wǎng)格應(yīng)用服務(wù)的第一步。

有許多方法可以獲得服務(wù)發(fā)現(xiàn)功能。但Kubernetes、Amazon EKS、Azure AKS、Google GKE或AWS Cloud Map和Configuration Management Database(CMDB)等服務(wù)發(fā)現(xiàn)工具中內(nèi)置的常用功能通常特定于其運(yùn)行的平臺(tái)或云。它們可以發(fā)現(xiàn)的服務(wù)范圍僅限于其特定平臺(tái)或云的邊界。然而,如今,大多數(shù)組織跨多個(gè)平臺(tái)或云環(huán)境運(yùn)行應(yīng)用程序,這意味著需要學(xué)習(xí)、安裝和管理多個(gè)服務(wù)發(fā)現(xiàn)解決方案。

更好的方法是一個(gè)可以跨多個(gè)運(yùn)行時(shí)的云不可知服務(wù)網(wǎng)格。例如,HashiCorp Consor是一個(gè)不可知服務(wù)網(wǎng)格,包括對(duì)Kubernetes、虛擬機(jī)、Amazon ECS和HashiCorp Nomad的支持,允許組織跨多個(gè)異構(gòu)環(huán)境集中全局服務(wù)發(fā)現(xiàn)。

通過(guò)將服務(wù)發(fā)現(xiàn)整合到服務(wù)網(wǎng)格中,平臺(tái)團(tuán)隊(duì)可以將服務(wù)發(fā)現(xiàn)作為全球共享服務(wù)提供,與依靠單個(gè)團(tuán)隊(duì)在沒(méi)有任何監(jiān)督的情況下運(yùn)行和管理自己的服務(wù)發(fā)現(xiàn)工具相比,降低了成本,提高了合規(guī)性并簡(jiǎn)化了管理。

零信任網(wǎng)絡(luò)

組織越來(lái)越多地尋求零信任網(wǎng)絡(luò)來(lái)保護(hù)其網(wǎng)絡(luò)和基礎(chǔ)設(shè)施,而不是僅僅依靠傳統(tǒng)的方法來(lái)保護(hù)網(wǎng)絡(luò)外圍。

與傳統(tǒng)的城堡和護(hù)城河安全方法不同(依賴于保護(hù)在現(xiàn)代基于云的環(huán)境中可能不存在的外圍),零信任安全認(rèn)為,在授權(quán)和驗(yàn)證之前,不應(yīng)授予任何服務(wù)訪問(wèn)權(quán)限,無(wú)論是在外圍內(nèi)部還是外部,并且所有通信都是加密的。

應(yīng)用身份驗(yàn)證、授權(quán)和加密的零信任網(wǎng)絡(luò)原則是一種主要的服務(wù)網(wǎng)格功能。服務(wù)網(wǎng)格通過(guò)代理(通常是代理)自動(dòng)重定向服務(wù)之間的進(jìn)出流量。這允許將授權(quán)、身份驗(yàn)證和加密責(zé)任轉(zhuǎn)移到代理上。

服務(wù)網(wǎng)格使用服務(wù)身份而不是IP地址作為允許或拒絕授權(quán)的單元,大大簡(jiǎn)化了服務(wù)對(duì)服務(wù)通信的管理。

管理員可以配置將由代理強(qiáng)制執(zhí)行的單個(gè)拒絕所有策略,以阻止所有服務(wù)到服務(wù)的通信。開(kāi)發(fā)人員可以添加更細(xì)粒度的策略,以授權(quán)特定服務(wù)根據(jù)需要進(jìn)行通信。

服務(wù)網(wǎng)格代理還將確保所有服務(wù)對(duì)服務(wù)通信自動(dòng)進(jìn)行身份驗(yàn)證和加密。在任何服務(wù)通信之前,代理確保交換TLS證書(shū),并加密網(wǎng)絡(luò)上的所有流量。這導(dǎo)致了更安全的網(wǎng)絡(luò),即使在網(wǎng)絡(luò)中斷發(fā)生后,也可以防止服務(wù)之間的橫向移動(dòng)。

最后,服務(wù)網(wǎng)格通過(guò)在開(kāi)發(fā)周期的早期為管理員和開(kāi)發(fā)人員提供授權(quán)、身份驗(yàn)證和加密其網(wǎng)絡(luò)服務(wù)的能力,從本質(zhì)上幫助組織左移。通過(guò)向左移,組織可以在投入生產(chǎn)之前減少由于不可預(yù)見(jiàn)的安全漏洞而導(dǎo)致的最后一刻延遲的風(fēng)險(xiǎn)。此外,使用服務(wù)網(wǎng)格左移可以使網(wǎng)絡(luò)管理員將精力放在保護(hù)網(wǎng)絡(luò)外圍而不是管理單個(gè)IP地址上。

服務(wù)網(wǎng)格是網(wǎng)絡(luò)管理員的力量倍增器,也是一個(gè)抽象層,允許開(kāi)發(fā)人員專注于他們的應(yīng)用程序,而不是安全邏輯,并避免管理和旋轉(zhuǎn)證書(shū)和密鑰的繁重工作。

負(fù)載均衡

由于服務(wù)網(wǎng)格上的數(shù)據(jù)流量流經(jīng)代理,因此服務(wù)網(wǎng)格還可以控制流量整形等功能。一個(gè)簡(jiǎn)單的例子是服務(wù)的多個(gè)實(shí)例之間的負(fù)載均衡。服務(wù)網(wǎng)格允許在實(shí)例之間直接分布自定義流量模式,而不是通過(guò)單獨(dú)的負(fù)載均衡設(shè)備進(jìn)行額外的網(wǎng)絡(luò)跳躍。即使在實(shí)例放大或縮小時(shí),服務(wù)網(wǎng)格也可以動(dòng)態(tài)調(diào)整流量分布。使用服務(wù)網(wǎng)格可以大大降低跨多個(gè)不同環(huán)境和云管理多個(gè)不同負(fù)載均衡設(shè)備的成本和復(fù)雜性。

與:

多云連接

許多組織擁有不同的團(tuán)隊(duì)和服務(wù),分布在給定云的不同網(wǎng)絡(luò)和區(qū)域。許多公司還跨多個(gè)云環(huán)境部署了服務(wù)。跨不同的云網(wǎng)絡(luò)安全地連接這些服務(wù)是一項(xiàng)非常理想的功能,通常需要網(wǎng)絡(luò)團(tuán)隊(duì)付出巨大努力。此外,子網(wǎng)之間需要非重疊無(wú)類域間路由(CIDR)范圍的限制可能會(huì)阻止虛擬專用云(VPC)和虛擬網(wǎng)絡(luò)(VNET)之間的網(wǎng)絡(luò)連接。服務(wù)網(wǎng)格產(chǎn)品可以安全地連接在不同云網(wǎng)絡(luò)上運(yùn)行的服務(wù)。

例如,HashiCorp-consu支持多數(shù)據(jù)中心拓?fù)洌撏負(fù)涫褂镁W(wǎng)狀網(wǎng)關(guān)在跨云運(yùn)行的不同網(wǎng)絡(luò)中的多個(gè)Consul部署之間建立安全連接。團(tuán)隊(duì)A可以在EKS上部署一個(gè)Consul集群。團(tuán)隊(duì)B可以在AKS上部署一個(gè)單獨(dú)的Consul集群。團(tuán)隊(duì)C可以在私有內(nèi)部數(shù)據(jù)中心的虛擬機(jī)上部署Consul集群。可以在三個(gè)Consul集群之間建立多數(shù)據(jù)中心配置,允許EKS、AKS和虛擬機(jī)之間運(yùn)行的服務(wù)安全連接,而無(wú)需額外的網(wǎng)絡(luò)配置,如VPN、Direct Connect或ExpressRoutes。即使IP范圍跨網(wǎng)絡(luò)重疊,Consul網(wǎng)格網(wǎng)關(guān)也允許對(duì)多個(gè)Consul部署進(jìn)行集群。

自動(dòng)化

自動(dòng)化在動(dòng)態(tài)環(huán)境中尤其有利。波動(dòng)的需求要求運(yùn)維人員擴(kuò)展服務(wù)實(shí)例的數(shù)量,這是一項(xiàng)相當(dāng)簡(jiǎn)單的任務(wù)。然而,可能需要更新網(wǎng)絡(luò)防火墻、負(fù)載均衡器或其他網(wǎng)絡(luò)基礎(chǔ)設(shè)施,以便可以訪問(wèn)新實(shí)例。類似地,新的應(yīng)用程序服務(wù)可能需要更新網(wǎng)絡(luò)設(shè)備,然后客戶端才能訪問(wèn)它們。

由于大多數(shù)組織都有獨(dú)立的網(wǎng)絡(luò)和安全團(tuán)隊(duì),因此這些工作流通常涉及手動(dòng)申請(qǐng)網(wǎng)絡(luò)設(shè)備更新,可能需要數(shù)小時(shí)甚至數(shù)天才能完成。縮減服務(wù)規(guī)模或使其退役可能會(huì)導(dǎo)致更多的擔(dān)憂。這是因?yàn)榫W(wǎng)絡(luò)團(tuán)隊(duì)從網(wǎng)絡(luò)設(shè)備中刪除IP地址的請(qǐng)求很容易被忽略,從而導(dǎo)致潛在的安全漏洞。

為了應(yīng)對(duì)這些挑戰(zhàn),一些服務(wù)網(wǎng)格與基礎(chǔ)設(shè)施配置工具(如HashiCorp Terraform)構(gòu)建了獨(dú)特的集成。Consul與Terraform具有獨(dú)特的集成,可以自動(dòng)觸發(fā)網(wǎng)絡(luò)設(shè)備更新和重新設(shè)置。運(yùn)維人員可以配置Consu Terraform Sync(CTS),根據(jù)Consul目錄中服務(wù)的變化自動(dòng)更新防火墻和負(fù)載均衡器等設(shè)備。這些任務(wù)的自動(dòng)化減少了對(duì)手動(dòng)系統(tǒng)的依賴,提高了工作流效率,并加強(qiáng)了組織的安全態(tài)勢(shì)。

南北流量管制

除了在組織網(wǎng)絡(luò)內(nèi)的服務(wù)之間整形和路由流量外,還需要提供從外部客戶端對(duì)這些服務(wù)的訪問(wèn)。對(duì)于不打算擴(kuò)展到單個(gè)云之外的組織來(lái)說(shuō),云原生選項(xiàng)(如AWS API Gateway、Azure API Management和Google Cloud API Gateway)可能是不錯(cuò)的選擇。然而,對(duì)于在多個(gè)云上運(yùn)行的組織來(lái)說(shuō),在單個(gè)公共平臺(tái)上進(jìn)行標(biāo)準(zhǔn)化是有價(jià)值的。

包括Consul在內(nèi)的一些不可知服務(wù)網(wǎng)格具有內(nèi)置API網(wǎng)關(guān),可以提供與云原生選項(xiàng)類似的功能。這使組織可以使用一個(gè)一致的管理平面來(lái)管理服務(wù)網(wǎng)格流量(東西)內(nèi)的流量以及來(lái)自外部客戶端(南北)的流量,從而無(wú)需跨不同環(huán)境部署多個(gè)不同的API網(wǎng)關(guān)。

誰(shuí)從服務(wù)網(wǎng)格的工具整合中受益?

如果服務(wù)網(wǎng)格可以幫助整合不同運(yùn)行時(shí)之間的許多不同工具,那么每個(gè)組織是否應(yīng)該將服務(wù)網(wǎng)格合并到其基礎(chǔ)架構(gòu)中?那要看情況了。

對(duì)于86%已經(jīng)在或計(jì)劃在多個(gè)云中的組織來(lái)說(shuō),服務(wù)網(wǎng)格無(wú)疑可以幫助遏制工具的蔓延。

即使是專注于單個(gè)云提供商的組織也可能要處理不同開(kāi)發(fā)團(tuán)隊(duì)選擇的不同運(yùn)行時(shí)。在服務(wù)網(wǎng)格上標(biāo)準(zhǔn)化以提供全局服務(wù)發(fā)現(xiàn)、零信任網(wǎng)絡(luò)和負(fù)載均衡,也可以幫助這些組織減少工具擴(kuò)展。像Consul這樣的不可知服務(wù)網(wǎng)格可以通過(guò)內(nèi)置功能提供進(jìn)一步的工具整合,以連接云之間的服務(wù),自動(dòng)化網(wǎng)絡(luò)設(shè)備更新,并控制對(duì)外部客戶端服務(wù)的訪問(wèn)。

雖然一些較小的組織可能看不到工具的顯著整合,但至少,他們?nèi)匀豢梢酝ㄟ^(guò)采用服務(wù)網(wǎng)格作為力倍增器來(lái)受益,以改善其整體安全態(tài)勢(shì),而不會(huì)對(duì)開(kāi)發(fā)人員、平臺(tái)工程師或網(wǎng)絡(luò)工程師施加額外的努力。

標(biāo)簽: 服務(wù)網(wǎng)格 網(wǎng)絡(luò)服務(wù)