許多企業機構正在把全部或部分 IT 業務遷移到雲端,幫助企業更好的運營。不過這樣的大規模遷移,在企業的實際操作中也有一定難度。不少企業保存在本地服務器的重要資源,並不支持直接遷移到雲端。另外,從企業本地到雲的遷移過程,也會受到政策的限制、安全性考慮和原先運營方式的約束。
谷歌雲致力於幫助用戶把本地數據中心裏的 IT 架構和資源,用更高效安全的方式遷移到雲端。基於此目的,我們基於容器和微服務架構,開發了一系列的開源技術。下面的內容可以幫助您瞭解,我們有哪些方式可以幫助您的企業順暢地遷移到雲上。
走向開放的雲堆棧
在 Google Cloud Next '18 大會裏,發佈了雲服務平臺(Cloud Services Platform ),這是一套基於 Google 開源技術的託管方案。在這個平臺上,有容器化和基於微服務的應用架構工具,用戶可以利用這些功能,迅速實現 IT 資源的遷移和應用創建。
Cloud Services Platform 將容器編排工具 Kubernetes,以及服務管理平臺 Istio 結合起來,在架構、安全性、可操作性上都給用戶帶來最好的體驗。目標是提高雲端工作效率和可靠性的同時,更適配業務的規模擴展。
下面介紹一下如何通過 GKE 上的 Istio 來達到這一目標。
搭建服務時優先考慮 Istio
我們堅信幫助用戶實踐出最佳微服務架構,Istio 是一個關鍵工具。Istio 的優勢在於它有更好的可見性和安全性,能讓容器化任務更方便管理。藉助Istio,我們把 Kubernetes 服務直接集成,並簡化容器的生命週期管理,谷歌雲也是最早提供這項功能的雲服務之一。
Istio 並不是單個基礎架構組件,而是一種服務網格,能提供應用程序的管理和可視化服務。通過收集日誌,監控和網絡遙測的數據,用戶可以來設置和執行自己業務上的策略。Istio 支持加密網絡流量來提高安全性,同時能透明地分層到現有的分佈式應用程序上,完成這一步時,用戶無需在代碼中嵌入任何客戶端庫。
Istio 有個人身份驗證,並可以和用戶其他的服務關聯起來。 mTLS (相互傳輸層安全協議)會被添加到服務通信中,確保所有信息將在傳輸過程中被加密。Istio 爲每個服務提供身份標識,允許用戶針對每個應用程序,執行單獨的服務策略,同時提供唯一身份驗證。
除此之外,因爲 Istio 集成了 GCP 的原生監控工具 Stackdriver,你會從它的可視化界面功能中受益。這項集成將數據指標、日誌和遙測發送到 Stackdriver,能讓你監控 GKE 中每個服務的信息(包括流量,報錯率和延遲等)。
由於負載在本地和雲端不同的環境中運行,容器化微服務或單片虛擬機等等,而 Istio 1.0 是幫助用戶實現混合雲管理的關鍵一步。通過使用 GKE 上的 Istio,能得到可見性、安全性和彈性更好的容器化應用程序,其中還包含一個超簡單的插件,可與現有的程序一起來使用。
在 GKE 中使用 Istio
Istio 提供的服務級別視圖和安全性,對於容器化微服務部署的分佈式應用程序尤爲重要,而 GKE 上的 Istio 允許您通過點擊將 Istio 部署到 Kubernetes 集羣。
GKE 上的 Istio 適用於新的和現有的容器部署。它允許您增量更新功能,例如 Istio 安全性,能讓你現有的部署得到保障。當新版本發佈時,它還可以自動升級 Istio 的部署,以此來簡化 Istio 生命週期管理。
目前在 GKE 上的 Istio Beta 版本,是我們努力讓 GKE 成爲企業理想選擇的最新成果。歡迎訪問 Google Cloud Platform 控制檯,使用 GKE 上的 Istio 。要了解更多信息,請訪問 cloud.google.com/istio 或 GKE 上的 Istio 文檔。
優化 GKE 網絡
在今年早些時候,我們公佈了許多關於 GKE 的新的網絡功能,包括 VPC 原生集羣,共享 VPC,原生容器負載均衡以及原生容器的網絡服務,它們服務於 GKE 上的應用程序以及在谷歌雲上的 Kubernetes。
- 藉助 VPC 原生集羣,GKE 本身能支持許多 VPC 功能,比如擴展,IP 管理,安全檢查和混合連接等等。
- 共享 VPC 允許你將管理職責委派給集羣管理員,同時確保那些關鍵的網絡資源是由網絡管理員來管理的。
- 容器原生負載均衡允許你創建負載均衡時指定容器作爲端點,以實現更好的負載均衡。
- 網絡服務能讓你在容器工作中使用 Cloud Armor,Cloud CDN 和 Identity Aware Proxy。
我們還公佈了一些新功能,以簡化容器部署的配置,包括一些後端和前端配置的增強功能。這些改進讓很多操作和配置變得更簡單,無論是網絡資源的身份和訪問管理,還是 CDN,Cloud Armor 或負載均衡的控制。
改善了 GKE 的安全性
GCP 藉助軟件供應鏈和運行時安全工具,幫助用戶在構建和部署生命週期的每個階段,保護容器環境。其中包括多個安全合作伙伴的工具集成,所有這些都建立在谷歌以安全性爲中心的基礎架構和實踐的基礎上。節點自動升級和私有集羣 等新功能增加了 GKE 用戶可用的安全選項。
你可以在谷歌雲的博客中找到《探索容器安全性:今年是關於安全性的一年》一文,閱讀有關 GKE 中新安全功能的更多信息。
通過 GCP Marketplace 發佈 Kubernetes 應用程序
企業通常在 IT 環境中與許多合作伙伴合作,無論是在雲中還是在本地。六個月以前,我們在博客中發佈了《通過 GCP Marketplace 實現 Kubernetes 應用程序交付》 一文。
Kubernetes 應用程序不僅僅提供容器鏡像;它們是集成了用於一鍵部署發佈的 GKE 生產級別的解決方案,Kubernetes 應用程序將被完全視作應用程序來進行管理,從而簡化資源管理。
你還可以將 Kubernetes 應用程序,部署到非 GKE 的 Kubernetes 集羣 —— 無論它們是在本地還是在雲中 —— 從而輕鬆實現快速開發和多容器統一計費。
在 GKE 中使用 Istio
如果你使用了 Containers and Kubernetes,會很熟悉它們是如何優化基礎架構資源,降低運營開銷,以及提高應用程序可遷移性的。
不過通過對 Kubernetes 進行標準化,你還爲改進的服務管理、安全性以及跨雲和本地的簡化應用程序採購和部署奠定了基礎。
請在未來幾個月繼續關注有關 Kubernetes,微服務和雲服務平臺的更多信息。
讓谷歌雲更好地支持你
谷歌雲團隊將於今年與全國谷歌開發者社區更緊密的合作,希望能夠爲谷歌雲用戶提供更好的支持與服務,不僅將產出更多優質的文檔、技術博客解決使用中遇到的問題,也將投入更多資源力量,與谷歌雲的用戶建立更直接的聯繫,面對面解決使用中的疑惑。
我們真誠的希望,有更多的谷歌雲用戶和開發者們,能夠參與進谷歌雲的技術生態建設中來,讓我們更加了解大家的需求,使用中遇到的問題,和其他想對我們說的話。
掃描下圖的二維碼,或點擊問卷鏈接,參與谷歌雲團隊的線上調查,
獲得第一手學習資料與技術資源,我們將抽取 10 位朋友,獲得谷歌雲正版周邊,並有機會參與谷歌雲團隊的線下交流活動.
