加速业务交付,从 GKE 上使用 Kubernetes 和 Istio 开始

1,132 阅读7分钟

原文来源于:谷歌云技术博客

许多企业机构正在把全部或部分 IT 业务迁移到云端,帮助企业更好的运营。不过这样的大规模迁移,在企业的实际操作中也有一定难度。不少企业保存在本地服务器的重要资源,并不支持直接迁移到云端。

另外,从企业本地到云的迁移过程,也会受到政策的限制、安全性考虑和原先运营方式的约束。

谷歌云致力于帮助用户把本地数据中心里的 IT 架构和资源,用更高效安全的方式迁移到云端。基于此目的,我们基于容器和微服务架构,开发了一系列的开源技术。

下面的内容可以帮助您了解,我们有哪些方式可以帮助您的企业顺畅地迁移到云上。

走向开放的云堆栈

在 Google Cloud Next '18 大会里,发布了云服务平台(Cloud Services Platform ),这是一套基于 Google 开源技术的托管方案。在这个平台上,有容器化和基于微服务的应用架构工具,用户可以利用这些功能,迅速实现 IT 资源的迁移和应用创建。

Cloud Services Platform 将容器编排工具 Kubernetes,以及服务管理平台 Istio 结合起来,在架构、安全性、可操作性上都给用户带来最好的体验。目标是提高云端工作效率和可靠性的同时,更适配业务的规模扩展。下面介绍一下如何通过GKE上的Istio来达到这一目标。

搭建服务时优先考虑Istio

我们坚信帮助用户实践出最佳微服务架构,Istio 是一个关键工具。Istio 的优势在于它有更好的可见性和安全性,能让容器化任务更方便管理。借助Istio,我们把 Kubernetes 服务直接集成,并简化容器的生命周期管理,Google Cloud 也是最早提供这项功能的云服务之一。

Istio 并不是单个基础架构组件,而是一种服务网格,能提供应用程序的管理和可视化服务。通过收集日志,监控和网络遥测的数据,用户可以来设置和执行自己业务上的策略。Istio 支持加密网络流量来提高安全性,同时能透明地分层到现有的分布式应用程序上,完成这一步时,用户无需在代码中嵌入任何客户端库。

Istio 有个人身份验证,并可以和用户其他的服务关联起来。 mTLS (相互传输层安全协议)会被添加到服务通信中,确保所有信息将在传输过程中被加密。Istio 为每个服务提供身份标识,允许用户针对每个应用程序,执行单独的服务策略,同时提供唯一身份验证。

除此之外,因为 Istio 集成了 GCP 的原生监控工具 Stackdriver,你会从它的可视化界面功能中受益。这项集成将数据指标、日志和遥测发送到 Stackdriver,能让你监控 GKE 中每个服务的信息(包括流量,报错率和延迟等)。

由于负载在本地和云端不同的环境中运行,容器化微服务或单片虚拟机等等,而 Istio 1.0 是帮助用户实现混合云管理的关键一步。通过使用 GKE 上的Istio,能得到可见性、安全性和弹性更好的容器化应用程序,其中还包含一个超简单的插件,可与现有的程序一起来使用。

在 GKE 中使用 Istio

Istio 提供的服务级别视图和安全性,对于容器化微服务部署的分布式应用程序尤为重要,而 GKE 上的 Istio 允许您通过点击将 Istio 部署到 Kubernetes 集群。

GKE 上的 Istio 适用于新的和现有的容器部署。它允许您增量更新功能,例如Istio安全性,能让你现有的部署得到保障。当新版本发布时,它还可以自动升级Istio的部署,以此来简化Istio生命周期管理。

目前在 GKE 上的 Istio Beta 版本,是我们努力让 GKE 成为企业理想选择的最新成果。欢迎访问 Google Cloud Platform 控制台,使用 GKE 上的 Istio 。要了解更多信息,请访问 cloud.google.com/istio 或 GKE 上的 Istio 文档。

优化 GKE 网络

在今年早些时候,我们公布了许多关于 GKE 的新的网络功能,包括 VPC 原生集群,共享 VPC,原生容器负载均衡以及原生容器的网络服务,它们服务于 GKE 上的应用程序以及在谷歌云上的 Kubernetes。

  • 借助 VPC 原生集群,GKE 本身能支持许多 VPC 功能,比如扩展,IP 管理,安全检查和混合连接等等。

  • 共享 VPC 允许你将管理职责委派给集群管理员,同时确保那些关键的网络资源是由网络管理员来管理的。

  • 容器原生负载均衡允许你创建负载均衡时指定容器作为端点,以实现更好的负载均衡。

  • 网络服务能让你在容器工作中使用 Cloud Armor,Cloud CDN 和 Identity Aware Proxy。

我们还公布了一些新功能,以简化容器部署的配置,包括一些后端和前端配置的增强功能。这些改进让很多操作和配置变得更简单,无论是网络资源的身份和访问管理,还是 CDN,Cloud Armor 或负载均衡的控制。

改善了 GKE 的安全性

GCP 借助软件供应链和运行时安全工具,帮助用户在构建和部署生命周期的每个阶段,保护容器环境。其中包括多个安全合作伙伴的工具集成,所有这些都建立在谷歌以安全性为中心的基础架构和实践的基础上。节点自动升级和私有集群等新功能增加了 GKE 用户可用的安全选项。

你可以在「探索容器安全性:今年是关于安全性的一年」中阅读有关 GKE 中新安全功能的更多信息。

通过 GCP Marketplace 发布 Kubernetes 应用程序

企业通常在 IT 环境中与许多合作伙伴合作,无论是在云中还是在本地。六个月以前,我们介绍了如何通过 GCP Marketplace 实现 Kubernetes 应用程序交付。 Kubernetes 应用程序不仅仅提供容器镜像;它们是集成了用于一键部署发布的 GKE 生产级别的解决方案,Kubernetes 应用程序将被完全视作应用程序来进行管理,从而简化资源管理。你还可以将 Kubernetes 应用程序,部署到非 GKE 的 Kubernetes 集群——无论它们是在本地还是在云中——从而轻松实现快速开发和多容器统一计费。

用你的方式,定义你的云服务

如果你使用了 Containers and Kubernetes,会很熟悉它们是如何优化基础架构资源,降低运营开销,以及提高应用程序可迁移性的。不过通过对 Kubernetes 进行标准化,你还为改进的服务管理、安全性以及跨云和本地的简化应用程序采购和部署奠定了基础。

请在未来几个月继续关注有关 Kubernetes,微服务和云服务平台的更多信息。

让谷歌云更好地支持你

谷歌云团队将于今年与全国谷歌开发者社区更紧密的合作,希望能够为谷歌云用户提供更好的支持与服务,不仅将产出更多优质的文档、技术博客解决使用中遇到的问题,也将投入更多资源力量,与谷歌云的用户建立更直接的联系,面对面解决使用中的疑惑。

我们真诚的希望,有更多的谷歌云用户和开发者们,能够参与进谷歌云的技术生态建设中来,让我们更加了解大家的需求,使用中遇到的问题,和其他想对我们说的话。

扫描下图的二维码,参与谷歌云团队的线上调查,获得第一手学习资料与技术资源,我们将抽取 10 位朋友,获得谷歌云正版周边,并有机会参与谷歌云团队的线下交流活动。