久久国产精品一区二区三区四区,久色婷婷小香蕉久久,国产日韩欧美在线播放不卡,另类av一区二区

服務網格的采用率持續增長，一些組織仍在試圖全面了解服務網格可以做什么和不能做什么。

(相關資料圖)

他們可能沒有意識到服務網格不僅僅是另一個單一用途的工具，而是一個能夠滿足各種網絡需求的工具。服務網格實際上可能有助于整合多個現有工具，以幫助減少管理工作量和成本。

看看這兩種多云網絡架構。

將網絡服務和安全相關功能自動化并卸載到與云無關的服務網格上，可以幫助簡化多云環境中的管理。

使用云供應商特定網絡解決方案的多云架構：

使用云不可知服務網格：

許多服務網格產品包括服務發現、零信任網絡和負載均衡功能，而其他一些服務網格產品則進一步擴展，以提供多云/多運行時連接、網絡自動化和南北流量控制。讓我們看看云不可知服務網格的功能，以及它在跨環境整合現有工具以幫助減少管理工作和費用方面的潛力。

服務發現允許開發人員對其網絡上所有注冊服務的網絡位置和運行狀況進行編目和跟蹤。在服務不斷增加和減少的動態環境中，它是一種重要的功能。這通常是為網格應用服務的第一步。

有許多方法可以獲得服務發現功能。但Kubernetes、Amazon EKS、Azure AKS、Google GKE或AWS Cloud Map和Configuration Management Database（CMDB）等服務發現工具中內置的常用功能通常特定于其運行的平臺或云。它們可以發現的服務范圍僅限于其特定平臺或云的邊界。然而，如今，大多數組織跨多個平臺或云環境運行應用程序，這意味著需要學習、安裝和管理多個服務發現解決方案。

更好的方法是一個可以跨多個運行時的云不可知服務網格。例如，HashiCorp Consor是一個不可知服務網格，包括對Kubernetes、虛擬機、Amazon ECS和HashiCorp Nomad的支持，允許組織跨多個異構環境集中全局服務發現。

通過將服務發現整合到服務網格中，平臺團隊可以將服務發現作為全球共享服務提供，與依靠單個團隊在沒有任何監督的情況下運行和管理自己的服務發現工具相比，降低了成本，提高了合規性并簡化了管理。

組織越來越多地尋求零信任網絡來保護其網絡和基礎設施，而不是僅僅依靠傳統的方法來保護網絡外圍。

與傳統的城堡和護城河安全方法不同（依賴于保護在現代基于云的環境中可能不存在的外圍），零信任安全認為，在授權和驗證之前，不應授予任何服務訪問權限，無論是在外圍內部還是外部，并且所有通信都是加密的。

應用身份驗證、授權和加密的零信任網絡原則是一種主要的服務網格功能。服務網格通過代理（通常是代理）自動重定向服務之間的進出流量。這允許將授權、身份驗證和加密責任轉移到代理上。

服務網格使用服務身份而不是IP地址作為允許或拒絕授權的單元，大大簡化了服務對服務通信的管理。

管理員可以配置將由代理強制執行的單個拒絕所有策略，以阻止所有服務到服務的通信。開發人員可以添加更細粒度的策略，以授權特定服務根據需要進行通信。

服務網格代理還將確保所有服務對服務通信自動進行身份驗證和加密。在任何服務通信之前，代理確保交換TLS證書，并加密網絡上的所有流量。這導致了更安全的網絡，即使在網絡中斷發生后，也可以防止服務之間的橫向移動。

最后，服務網格通過在開發周期的早期為管理員和開發人員提供授權、身份驗證和加密其網絡服務的能力，從本質上幫助組織左移。通過向左移，組織可以在投入生產之前減少由于不可預見的安全漏洞而導致的最后一刻延遲的風險。此外，使用服務網格左移可以使網絡管理員將精力放在保護網絡外圍而不是管理單個IP地址上。

服務網格是網絡管理員的力量倍增器，也是一個抽象層，允許開發人員專注于他們的應用程序，而不是安全邏輯，并避免管理和旋轉證書和密鑰的繁重工作。

由于服務網格上的數據流量流經代理，因此服務網格還可以控制流量整形等功能。一個簡單的例子是服務的多個實例之間的負載均衡。服務網格允許在實例之間直接分布自定義流量模式，而不是通過單獨的負載均衡設備進行額外的網絡跳躍。即使在實例放大或縮小時，服務網格也可以動態調整流量分布。使用服務網格可以大大降低跨多個不同環境和云管理多個不同負載均衡設備的成本和復雜性。

與：

許多組織擁有不同的團隊和服務，分布在給定云的不同網絡和區域。許多公司還跨多個云環境部署了服務?？绮煌脑凭W絡安全地連接這些服務是一項非常理想的功能，通常需要網絡團隊付出巨大努力。此外，子網之間需要非重疊無類域間路由（CIDR）范圍的限制可能會阻止虛擬專用云（VPC）和虛擬網絡（VNET）之間的網絡連接。服務網格產品可以安全地連接在不同云網絡上運行的服務。

例如，HashiCorp-consu支持多數據中心拓撲，該拓撲使用網狀網關在跨云運行的不同網絡中的多個Consul部署之間建立安全連接。團隊A可以在EKS上部署一個Consul集群。團隊B可以在AKS上部署一個單獨的Consul集群。團隊C可以在私有內部數據中心的虛擬機上部署Consul集群?？梢栽谌齻€Consul集群之間建立多數據中心配置，允許EKS、AKS和虛擬機之間運行的服務安全連接，而無需額外的網絡配置，如VPN、Direct Connect或ExpressRoutes。即使IP范圍跨網絡重疊，Consul網格網關也允許對多個Consul部署進行集群。

自動化在動態環境中尤其有利。波動的需求要求運維人員擴展服務實例的數量，這是一項相當簡單的任務。然而，可能需要更新網絡防火墻、負載均衡器或其他網絡基礎設施，以便可以訪問新實例。類似地，新的應用程序服務可能需要更新網絡設備，然后客戶端才能訪問它們。

由于大多數組織都有獨立的網絡和安全團隊，因此這些工作流通常涉及手動申請網絡設備更新，可能需要數小時甚至數天才能完成。縮減服務規?；蚴蛊渫艘劭赡軙е赂嗟膿鷳n。這是因為網絡團隊從網絡設備中刪除IP地址的請求很容易被忽略，從而導致潛在的安全漏洞。

為了應對這些挑戰，一些服務網格與基礎設施配置工具（如HashiCorp Terraform）構建了獨特的集成。Consul與Terraform具有獨特的集成，可以自動觸發網絡設備更新和重新設置。運維人員可以配置Consu Terraform Sync（CTS），根據Consul目錄中服務的變化自動更新防火墻和負載均衡器等設備。這些任務的自動化減少了對手動系統的依賴，提高了工作流效率，并加強了組織的安全態勢。

除了在組織網絡內的服務之間整形和路由流量外，還需要提供從外部客戶端對這些服務的訪問。對于不打算擴展到單個云之外的組織來說，云原生選項（如AWS API Gateway、Azure API Management和Google Cloud API Gateway）可能是不錯的選擇。然而，對于在多個云上運行的組織來說，在單個公共平臺上進行標準化是有價值的。

包括Consul在內的一些不可知服務網格具有內置API網關，可以提供與云原生選項類似的功能。這使組織可以使用一個一致的管理平面來管理服務網格流量（東西）內的流量以及來自外部客戶端（南北）的流量，從而無需跨不同環境部署多個不同的API網關。

如果服務網格可以幫助整合不同運行時之間的許多不同工具，那么每個組織是否應該將服務網格合并到其基礎架構中？那要看情況了。

對于86%已經在或計劃在多個云中的組織來說，服務網格無疑可以幫助遏制工具的蔓延。

即使是專注于單個云提供商的組織也可能要處理不同開發團隊選擇的不同運行時。在服務網格上標準化以提供全局服務發現、零信任網絡和負載均衡，也可以幫助這些組織減少工具擴展。像Consul這樣的不可知服務網格可以通過內置功能提供進一步的工具整合，以連接云之間的服務，自動化網絡設備更新，并控制對外部客戶端服務的訪問。

雖然一些較小的組織可能看不到工具的顯著整合，但至少，他們仍然可以通過采用服務網格作為力倍增器來受益，以改善其整體安全態勢，而不會對開發人員、平臺工程師或網絡工程師施加額外的努力。

關鍵詞： 負載均衡 開發人員 網絡設備 身份驗證 基礎設施