内涵福利 | 加速业务交付,从谷歌云上使用 Kubernetes 和 Istio 开始
许多企业机构正在把全部或部分 IT 业务迁移到云端,帮助企业更好的运营。不过这样的大规模迁移,在企业的实际操作中也有一定难度。不少企业保存在本地服务器的重要资源,并不支持直接迁移到云端。另外,从企业本地到云的迁移过程,也会受到政策的限制、安全性考虑和原先运营方式的约束。
谷歌云致力于帮助用户把本地数据中心里的 IT 架构和资源,用更高效安全的方式迁移到云端。基于此目的,我们基于容器和微服务架构,开发了一系列的开源技术。下面的内容可以帮助您了解,我们有哪些方式可以帮助您的企业顺畅地迁移到云上。
走向开放的云堆栈
在 Google Cloud Next '18 大会里,发布了云服务平台(Cloud Services Platform ),这是一套基于 Google 开源技术的托管方案。在这个平台上,有容器化和基于微服务的应用架构工具,用户可以利用这些功能,迅速实现 IT 资源的迁移和应用创建。
Cloud Services Platform 将容器编排工具 Kubernetes,以及服务管理平台 Istio 结合起来,在架构、安全性、可操作性上都给用户带来最好的体验。目标是提高云端工作效率和可靠性的同时,更适配业务的规模扩展。
下面介绍一下如何通过 GKE 上的 Istio 来达到这一目标。
搭建服务时优先考虑 Istio
我们坚信帮助用户实践出最佳微服务架构,Istio 是一个关键工具。Istio 的优势在于它有更好的可见性和安全性,能让容器化任务更方便管理。借助Istio,我们把 Kubernetes 服务直接集成,并简化容器的生命周期管理,谷歌云也是最早提供这项功能的云服务之一。
Istio 并不是单个基础架构组件,而是一种服务网格,能提供应用程序的管理和可视化服务。通过收集日志,监控和网络遥测的数据,用户可以来设置和执行自己业务上的策略。Istio 支持加密网络流量来提高安全性,同时能透明地分层到现有的分布式应用程序上,完成这一步时,用户无需在代码中嵌入任何客户端库。
Istio 有个人身份验证,并可以和用户其他的服务关联起来。 mTLS (相互传输层安全协议)会被添加到服务通信中,确保所有信息将在传输过程中被加密。Istio 为每个服务提供身份标识,允许用户针对每个应用程序,执行单独的服务策略,同时提供唯一身份验证。
除此之外,因为 Istio 集成了 GCP 的原生监控工具 Stackdriver,你会从它的可视化界面功能中受益。这项集成将数据指标、日志和遥测发送到 Stackdriver,能让你监控 GKE 中每个服务的信息(包括流量,报错率和延迟等)。
由于负载在本地和云端不同的环境中运行,容器化微服务或单片虚拟机等等,而 Istio 1.0 是帮助用户实现混合云管理的关键一步。通过使用 GKE 上的 Istio,能得到可见性、安全性和弹性更好的容器化应用程序,其中还包含一个超简单的插件,可与现有的程序一起来使用。
在 GKE 中使用 Istio
Istio 提供的服务级别视图和安全性,对于容器化微服务部署的分布式应用程序尤为重要,而 GKE 上的 Istio 允许您通过点击将 Istio 部署到 Kubernetes 集群。
GKE 上的 Istio 适用于新的和现有的容器部署。它允许您增量更新功能,例如 Istio 安全性,能让你现有的部署得到保障。当新版本发布时,它还可以自动升级 Istio 的部署,以此来简化 Istio 生命周期管理。
目前在 GKE 上的 Istio Beta 版本,是我们努力让 GKE 成为企业理想选择的最新成果。欢迎访问 Google Cloud Platform 控制台,使用 GKE 上的 Istio 。要了解更多信息,请访问 cloud.google.com/istio 或 GKE 上的 Istio 文档。
优化 GKE 网络
在今年早些时候,我们公布了许多关于 GKE 的新的网络功能,包括 VPC 原生集群,共享 VPC,原生容器负载均衡以及原生容器的网络服务,它们服务于 GKE 上的应用程序以及在谷歌云上的 Kubernetes。
- 借助 VPC 原生集群,GKE 本身能支持许多 VPC 功能,比如扩展,IP 管理,安全检查和混合连接等等。
- 共享 VPC 允许你将管理职责委派给集群管理员,同时确保那些关键的网络资源是由网络管理员来管理的。
- 容器原生负载均衡允许你创建负载均衡时指定容器作为端点,以实现更好的负载均衡。
- 网络服务能让你在容器工作中使用 Cloud Armor,Cloud CDN 和 Identity Aware Proxy。
我们还公布了一些新功能,以简化容器部署的配置,包括一些后端和前端配置的增强功能。这些改进让很多操作和配置变得更简单,无论是网络资源的身份和访问管理,还是 CDN,Cloud Armor 或负载均衡的控制。
改善了 GKE 的安全性
GCP 借助软件供应链和运行时安全工具,帮助用户在构建和部署生命周期的每个阶段,保护容器环境。其中包括多个安全合作伙伴的工具集成,所有这些都建立在谷歌以安全性为中心的基础架构和实践的基础上。节点自动升级和私有集群 等新功能增加了 GKE 用户可用的安全选项。
你可以在谷歌云的博客中找到《探索容器安全性:今年是关于安全性的一年》一文,阅读有关 GKE 中新安全功能的更多信息。
通过 GCP Marketplace 发布 Kubernetes 应用程序
企业通常在 IT 环境中与许多合作伙伴合作,无论是在云中还是在本地。六个月以前,我们在博客中发布了《通过 GCP Marketplace 实现 Kubernetes 应用程序交付》 一文。
Kubernetes 应用程序不仅仅提供容器镜像;它们是集成了用于一键部署发布的 GKE 生产级别的解决方案,Kubernetes 应用程序将被完全视作应用程序来进行管理,从而简化资源管理。
你还可以将 Kubernetes 应用程序,部署到非 GKE 的 Kubernetes 集群 —— 无论它们是在本地还是在云中 —— 从而轻松实现快速开发和多容器统一计费。
在 GKE 中使用 Istio
如果你使用了 Containers and Kubernetes,会很熟悉它们是如何优化基础架构资源,降低运营开销,以及提高应用程序可迁移性的。
不过通过对 Kubernetes 进行标准化,你还为改进的服务管理、安全性以及跨云和本地的简化应用程序采购和部署奠定了基础。
请在未来几个月继续关注有关 Kubernetes,微服务和云服务平台的更多信息。
让谷歌云更好地支持你
谷歌云团队将于今年与全国谷歌开发者社区更紧密的合作,希望能够为谷歌云用户提供更好的支持与服务,不仅将产出更多优质的文档、技术博客解决使用中遇到的问题,也将投入更多资源力量,与谷歌云的用户建立更直接的联系,面对面解决使用中的疑惑。
我们真诚的希望,有更多的谷歌云用户和开发者们,能够参与进谷歌云的技术生态建设中来,让我们更加了解大家的需求,使用中遇到的问题,和其他想对我们说的话。
扫描下图的二维码,或点击问卷链接,参与谷歌云团队的线上调查,
获得第一手学习资料与技术资源,我们将抽取 10 位朋友,获得谷歌云正版周边,并有机会参与谷歌云团队的线下交流活动.