?譯者 | 布加迪

審校 | 孫淑娟

下面看看這兩種多云網(wǎng)絡(luò)架構(gòu)。實現(xiàn)網(wǎng)絡(luò)服務(wù)和安全相關(guān)功能自動化，并將這些功能卸載到與云無關(guān)的服務(wù)網(wǎng)格上，就有助于簡化多云環(huán)境的管理。

針對特定云供應(yīng)商的網(wǎng)絡(luò)解決方案的多云架構(gòu)：

圖1

與云無關(guān)的服務(wù)網(wǎng)格：

圖2

許多服務(wù)網(wǎng)格產(chǎn)品包括服務(wù)發(fā)現(xiàn)、零信任網(wǎng)絡(luò)和負(fù)載均衡功能，其他一些服務(wù)網(wǎng)格產(chǎn)品甚至更進(jìn)一步，提供多云/多運行時環(huán)境連接、網(wǎng)絡(luò)自動化和南北流量控制。不妨看一下與云無關(guān)的服務(wù)網(wǎng)格的功能，及其跨環(huán)境整合現(xiàn)有工具以幫助減少管理工作和成本的潛力。

服務(wù)發(fā)現(xiàn)

服務(wù)發(fā)現(xiàn)讓開發(fā)人員可以登記和跟蹤其網(wǎng)絡(luò)上所有已注冊服務(wù)的網(wǎng)絡(luò)位置和健康狀況。在服務(wù)不斷增加或減少的動態(tài)環(huán)境中，這是一項重要的功能。這常常是向采用服務(wù)網(wǎng)格邁出的第一步。

有很多方法可以獲得服務(wù)發(fā)現(xiàn)功能。但Kubernetes、Amazon EKS、Azure AKS、Google GKE或服務(wù)發(fā)現(xiàn)工具（比如AWS Cloud Map和配置管理數(shù)據(jù)庫即CMDB）中內(nèi)置的常用功能通常是它們在其中運行的平臺或云所特有的。它們可以發(fā)現(xiàn)的服務(wù)范圍局限于其特定平臺或云的邊界。然而，如今大多數(shù)組織在多個平臺或云環(huán)境上運行應(yīng)用程序，這意味著它們需要學(xué)習(xí)、安裝和管理多個服務(wù)發(fā)現(xiàn)解決方案。

更好的方法是可以跨越多個運行時環(huán)境的與云無關(guān)的服務(wù)網(wǎng)格。比如說，HashiCorp Consul是一種中立的服務(wù)網(wǎng)格，支持Kubernetes、虛擬機(jī)、Amazon ECS和HashiCorp Nomad，允許組織跨多個異構(gòu)環(huán)境集中處理全球服務(wù)發(fā)現(xiàn)。

如果將服務(wù)發(fā)現(xiàn)整合到服務(wù)網(wǎng)格中，平臺團(tuán)隊可以將服務(wù)發(fā)現(xiàn)作為全球共享服務(wù)來提供，與依靠各個團(tuán)隊在沒有任何監(jiān)督的情況下運行和管理各自的服務(wù)發(fā)現(xiàn)工具相比，可以降低成本、改進(jìn)合規(guī)并簡化管理。

零信任網(wǎng)絡(luò)

組織不再僅僅依賴保護(hù)網(wǎng)絡(luò)邊界的傳統(tǒng)方法，而是日益尋求零信任網(wǎng)絡(luò)來保護(hù)其網(wǎng)絡(luò)和基礎(chǔ)設(shè)施。

不像傳統(tǒng)的城堡和護(hù)城河安全方法有賴于防護(hù)現(xiàn)代云環(huán)境中可能不存在的邊界，零信任安全認(rèn)為，任何服務(wù)（無論在邊界內(nèi)部還是外部）都不應(yīng)被授予訪問權(quán)限，除非它獲得授權(quán)和身份驗證，所有通信都經(jīng)過加密。

運用零信任網(wǎng)絡(luò)的幾個原則：身份驗證、授權(quán)和加密是服務(wù)網(wǎng)格的主要功能。服務(wù)網(wǎng)格通過代理（通常是Envoy）自動重定向服務(wù)之間的進(jìn)出流量。這可以將授權(quán)、身份驗證和加密等任務(wù)扔給代理。

服務(wù)網(wǎng)格使用服務(wù)身份而不是IP地址作為允許或拒絕授權(quán)的單位，極大地簡化了管理服務(wù)到服務(wù)通信的工作。

管理員可以配置將由代理強(qiáng)制執(zhí)行的一概拒絕的單一策略，以阻止所有服務(wù)到服務(wù)的通信。開發(fā)人員可以添加更精細(xì)化的策略，根據(jù)需要授權(quán)特定服務(wù)進(jìn)行通信。

服務(wù)網(wǎng)格代理還將確保所有服務(wù)到服務(wù)的通信都自動進(jìn)行身份驗證和加密。在進(jìn)行任何服務(wù)通信之前，代理確保交換TLS證書，并加密網(wǎng)絡(luò)上的所有流量。這帶來了更安全的網(wǎng)絡(luò)，即使在發(fā)生網(wǎng)絡(luò)安全事件后也能防止服務(wù)之間的橫向移動。

最后，服務(wù)網(wǎng)格讓管理員和開發(fā)人員能夠在開發(fā)周期早期授權(quán)、驗證和加密其網(wǎng)絡(luò)服務(wù)，天生幫助組織向左移（shift left）。通過向左移，組織可以降低在部署到生產(chǎn)環(huán)境之前因不可預(yù)見的安全漏洞而導(dǎo)致最后一刻鐘延誤的風(fēng)險。此外，使用服務(wù)網(wǎng)格向左移使網(wǎng)絡(luò)管理員可以專注于保護(hù)網(wǎng)絡(luò)邊界，而不是管理單個IP地址。

服務(wù)網(wǎng)格是網(wǎng)絡(luò)管理員的力量倍增器，也是抽象層，好讓開發(fā)人員專注于其應(yīng)用程序、而不是安全邏輯，并避免管理和輪換證書和密鑰帶來的麻煩。

負(fù)載均衡

由于服務(wù)網(wǎng)格上的數(shù)據(jù)流量流經(jīng)代理，服務(wù)網(wǎng)格還可以控制流量整形等功能。一個簡單的例子是服務(wù)的多個實例之間的負(fù)載均衡。服務(wù)網(wǎng)格允許自定義流量模式直接在實例之間分布，而不是通過不同的負(fù)載均衡設(shè)備完成額外的網(wǎng)絡(luò)跳躍（hop）。即使實例增加或減少，服務(wù)網(wǎng)格也可以動態(tài)調(diào)整流量分布。使用服務(wù)網(wǎng)格可以大大降低跨多個不同環(huán)境和云管理多個不同負(fù)載均衡設(shè)備的成本和復(fù)雜性。

圖3

對比：

圖4

多云連接

許多組織的不同團(tuán)隊和服務(wù)分散在不同網(wǎng)絡(luò)和某個云的多個區(qū)域。許多組織的服務(wù)還部署在多個云環(huán)境上。跨不同云網(wǎng)絡(luò)安全地連接這些服務(wù)是一項大受歡迎的功能，通常需要網(wǎng)絡(luò)團(tuán)隊花很大的精力。此外，要求子網(wǎng)之間無類域間路由（CIDR）范圍不重疊的限制可能會阻止虛擬專用云（VPC）和虛擬網(wǎng)絡(luò)（VNET）之間的網(wǎng)絡(luò)連接。服務(wù)網(wǎng)格產(chǎn)品可以安全地連接在不同云網(wǎng)絡(luò)上運行的服務(wù)，無需花一樣大的精力。

比如說，HashiCorp Consul支持多數(shù)據(jù)中心拓?fù)浣Y(jié)構(gòu)，該拓?fù)浣Y(jié)構(gòu)使用網(wǎng)狀網(wǎng)關(guān)在跨云的不同網(wǎng)絡(luò)中運行的多個Consul部署環(huán)境之間建立安全連接。A團(tuán)隊可以在EKS上部署Consul集群。B團(tuán)隊可以在AKS上部署單獨的Consul集群。C團(tuán)隊可以在專有本地數(shù)據(jù)中心的虛擬機(jī)上部署Consul集群?？梢栽谶@三個Consul集群之間建立多數(shù)據(jù)中心配置，從而為在EKS、AKS和虛擬機(jī)之間運行的服務(wù)提供安全連接，無需額外的網(wǎng)絡(luò)配置，比如VPN、Direct Connect或ExpressRoute。即使IP范圍在網(wǎng)絡(luò)之間出現(xiàn)重疊，Consul網(wǎng)狀網(wǎng)關(guān)也允許對多個Consul部署環(huán)境進(jìn)行集群。

自動化

自動化在動態(tài)環(huán)境中尤其有利。波動的需求要求操作人員擴(kuò)展服務(wù)實例的數(shù)量，這是比較簡單的任務(wù)。然而，可能需要更新網(wǎng)絡(luò)防火墻、負(fù)載均衡系統(tǒng)或其他網(wǎng)絡(luò)基礎(chǔ)設(shè)施，才能訪問新實例。同樣，新的應(yīng)用程序服務(wù)可能需要更新網(wǎng)絡(luò)設(shè)備，然后客戶端才能訪問它們。

由于大多數(shù)組織都有獨立的網(wǎng)絡(luò)團(tuán)隊和安全團(tuán)隊，這種工作流程常常需要手動提交工單，請求更新網(wǎng)絡(luò)設(shè)備，這可能需要數(shù)小時甚至數(shù)天才能完成?？s減或停用服務(wù)可能導(dǎo)致另外的問題。這是由于很容易忽視要求網(wǎng)絡(luò)團(tuán)隊從網(wǎng)絡(luò)設(shè)備中刪除IP地址的請求，從而導(dǎo)致潛在的安全漏洞。

為了應(yīng)對這些挑戰(zhàn)，一些服務(wù)網(wǎng)格與HashiCorp Terraform等基礎(chǔ)設(shè)施配置工具建立了獨特的集成。Consul與Terraform有獨特的集成，可以自動觸發(fā)網(wǎng)絡(luò)設(shè)備更新和重新配置。操作人員可以配置Consul-Terraform-Sync（CTS），根據(jù)Consul目錄中的服務(wù)出現(xiàn)的更改，自動更新防火墻和負(fù)載均衡系統(tǒng)等設(shè)備。自動處理這些任務(wù)減少了對手動工單系統(tǒng)的依賴，提高了工作流程效率，并加強(qiáng)了組織的安全狀況。

南北流量控制

除了在組織網(wǎng)絡(luò)內(nèi)的服務(wù)之間整形和路由流量外，還需要確?？梢詮耐獠靠蛻舳嗽L問這些服務(wù)。如果組織不打算擴(kuò)展到單一云之外的云環(huán)境，AWS API Gateway、Azure API Management和Google Cloud API Gateway等云原生方案可能是不錯的選擇。對于在多個云上運行的組織而言，統(tǒng)一使用單個通用平臺有其價值。

一些與云無關(guān)的服務(wù)網(wǎng)格（包括Consul）有內(nèi)置的API網(wǎng)關(guān)，可以提供與云原生方案相似的功能。這讓組織可以使用一個統(tǒng)一的管理平面來管理服務(wù)網(wǎng)格內(nèi)部的流量（東西向）以及來自外部客戶端的流量（南北向），因而不需要在不同環(huán)境上部署多個不同的API網(wǎng)關(guān)。

誰從服務(wù)網(wǎng)格的工具整合中受益？

既然服務(wù)網(wǎng)格有助于整合不同運行時環(huán)境之間的許多不同工具，是不是每家組織都應(yīng)該將服務(wù)網(wǎng)格整合到基礎(chǔ)設(shè)施中？這要看情況。

對于86%的已經(jīng)使用或計劃使用多個云的組織而言，服務(wù)網(wǎng)格絕對有助于遏制工具散亂現(xiàn)象。

就連致力于單一云提供商的組織也可能在處理不同的開發(fā)團(tuán)隊選擇的不同運行時環(huán)境。統(tǒng)一使用服務(wù)網(wǎng)格以提供全球服務(wù)發(fā)現(xiàn)、零信任網(wǎng)絡(luò)和負(fù)載均衡等功能，也能幫助這些組織緩解工具散亂現(xiàn)象。Consul等與云無關(guān)的服務(wù)網(wǎng)格可以通過內(nèi)置功能提供進(jìn)一步的工具整合，以連接云之間的服務(wù)、自動實現(xiàn)網(wǎng)絡(luò)設(shè)備更新以及控制來自外部客戶端的服務(wù)訪問。

雖然一些小組織可能看不到整合工具的顯著意義，但至少可以得益于采用服務(wù)網(wǎng)格作為力量倍增器，從而改善整體安全狀況，不需要開發(fā)人員、平臺工程師或網(wǎng)絡(luò)工程師花另外的精力。

原文標(biāo)題：??All the Things a Service Mesh Can Do???，作者：Van Phan?