Hizmet ağı, uygulama katmanında gözlemlenebilirlik, güvenlik ve trafik yönetimi yetenekleri eklemek için bir araçtır. Bir hizmet ağı, geliştiricilere ve site güvenilirlik mühendislerine (SRE’ler) Kubernetes kümeleri içinde hizmetten hizmete iletişim konusunda yardımcı olmayı amaçlamaktadır. Mikro hizmetleri dağıtma ve yönetmeyle ilgili zorluklar, hizmet ağının oluşturulmasına yol açmıştır, ancak hizmet ağı çözümlerinin kendisi karmaşıklıklar ve zorluklar getirir.
Burada kullanım durumlarını, zorlukları ve bir servis ağının sizin için doğru olup olmadığına nasıl karar vereceğinizi inceleyeceğiz.
Benimsemeyi Teşvik Eden Kullanım Örnekleri
DevOps ekiplerinin ve platform ve hizmet sahiplerinin hizmet ağı benimsemesine olan ilgisini artıran dört ana kullanım durumu vardır: güvenlik/şifreleme, hizmet düzeyinde gözlemlenebilirlik ve hizmet düzeyinde kontrol.
- Veri aktarımı sırasında şifreleme – Bir küme içinde aktarım halindeki veriler için güvenlik. Genellikle bu, PCI uyumluluğu veya HIPAA gibi sektöre özgü düzenleyici endişeler tarafından yönlendirilir. Veya, dahili veri güvenliği gereklilikleri tarafından yönlendirilebilir. İnternete bakan uygulamaların güvenliği bir organizasyonun markasının ve itibarının merkezinde olduğunda, güvenlik en önemli öncelik haline gelir.
- Hizmet düzeyinde gözlemlenebilirlik – İş yüklerinin ve hizmetlerin uygulama katmanında nasıl iletişim kurduğuna dair görünürlük. Kubernetes çok kiracılı bir ortamdır. Daha fazla iş yükü ve hizmet dağıtıldıkça, her şeyin birlikte nasıl çalıştığını anlamak zorlaşır, özellikle de bir kuruluş mikro hizmetlere dayalı bir mimariyi benimsiyorsa. Hizmet ekipleri, yukarı ve aşağı akış bağımlılıklarını anlamak ister.
- Hizmet düzeyi kontrolü – Hangi hizmetlerin birbirleriyle konuşabileceğini kontrol etmek. Bu, sıfır güven modeli etrafında en iyi uygulamaları uygulama becerisini içerir.
- Güvenli kümeler arası bağlantı – Hizmetler çok kümeli ortamlarda paylaşılır ve merkezileştirilirken, kümeler arası iletişimin güvenliğini sağlamak ve yetkilendirmek platform operatörleri için bir diğer gereklilik haline geliyor.
Bunlar, hizmet ağının benimsenmesinin ana itici güçleridir; ancak, bir hizmet ağının kullanımıyla sağlam güvenlik, şifreleme, hizmet düzeyinde gözlemlenebilirlik ve hizmet düzeyinde kontrol elde etmede yer alan operasyonel karmaşıklık, benimsenmeye karşı caydırıcı olabilir.
Hizmet Ağının Zorlukları
Karmaşıklık ve performans, servis ağının ortaya koyduğu iki temel zorluktur.
- Ek kontrol düzlemi: Hizmet ağının kurulumu ve yönetimi zordur ve özel bir beceri seti gerektirir. Bir hizmet ağı kullanmak, güvenlik ekiplerinin yönetmesi için ek bir kontrol düzlemi sunar ve bu da dağıtım karmaşıklığının artmasına ve önemli operasyonel yüke neden olur.
- Uzmanlaşmış beceriler: Birçok hizmet ağı mevcut olsa da, farklı kuruluşların ihtiyaçlarını karşılayacak tek bir çözüm yoktur. Bununla birlikte, güvenlik ekiplerinin uygulamaları için hangi hizmet ağının işe yarayacağını bulmak için zaman harcamaları muhtemeldir. Bir hizmet ağının kullanımı, kullanıcının seçtiği hizmet ağıyla ilgili alan bilgisi ve özel beceriler gerektirir. Bu, ekibin Kubernetes ile halihazırda yaptığı işe ek olarak başka bir karmaşıklık katmanı ekler.
- Performans sorunları: Servis ağı gecikmeye yol açtığı için performans sorunlarına da neden olabilir.
Platform sahipleri, DevOps ekipleri ve SRE’lerin kaynakları sınırlıdır, bu nedenle yapılandırma ve işletim için gereken kaynaklar nedeniyle bir hizmet ağı benimsemek önemli bir girişimdir. Peki, bağımsız bir hizmet ağına kimin ihtiyacı var?
Bir Servis Ağına İhtiyacım Var Mı?
Güvenlik ve gözlemlenebilirlik birincil itici güçlerinizse, ayrı, bağımsız bir hizmet ağı yerine hafif bir yaklaşım muhtemelen yeterli olacaktır. Hafif bir hizmet ağıyla, tam yığın gözlemlenebilirlik ve güvenliğe kolayca ulaşabilir, yüksek performanslı şifreleme dağıtabilir ve güvenlik duvarları gibi mevcut güvenlik altyapısıyla sıkı bir şekilde entegre olabilirsiniz.
Hizmet Ağına Hafif Yaklaşım
Hafif bir servis ağı ararken aşağıdakileri göz önünde bulundurmak önemlidir:
- Güvenlik: En son kripto teknolojisinden yararlanan, aktarım halindeki veriler için şifreleme sunan bir çözüm arayın. Bu, şifrelemenin yüksek performanslı olmasını sağlarken aynı zamanda tüm trafik akışlarına görünürlük sağlar.
- Gözlenebilirlik: Çözüm, kaynak açısından verimli ve maliyet açısından etkili bir şekilde hizmetten hizmete iletişimin görünürlüğünü sağlamalıdır. Sorun gidermeyi kolaylaştırmak için hizmetler ve ekip alanları arasında iletişim akışlarını görselleştirebilmeniz için topladığı tüm verilerin Kubernetes yerel görselleştirmelerini sağlamalıdır. Bu, platform operatörleri, hizmet sahipleri ve geliştirme ekipleri için faydalıdır.
- Kontrollerin uygulanması: Seçtiğiniz çözüm, ağ katmanından uygulama katmanına kadar tüm yığın için kontrolleri uygulama yetenekleri sağlamalıdır. Bu, bir servis ağıyla elde edeceğiniz uygulama katmanı kontrollerini elde etmenizi ancak bunları ağ veya taşıma katmanında uygulamak isteyebileceğiniz kontrollerle birleştirebilmenizi sağlayacaktır.
Aradığınız belirli bir yetenek çıkış erişim denetimidir. Bu yetenek, çıkış trafiğinin kaynağını anlamak isteyebileceğiniz güvenlik duvarları veya diğer denetim türleriyle entegrasyonu kolaylaştırır ve bunun etrafında belirli denetimler uygular. Bir SIEM veya başka bir günlük yönetim sistemi veya izleme aracıyla çalışıyorsanız, çıkış trafiğinin kaynağını belirleyebilmek, kümenin dışında görülen çıkış trafiğinin geldiği belirli uygulama veya ad alanına görünürlük elde edebileceğiniz noktaya kadar gerçekten yararlıdır.
- Küme ağı ve federasyon: Uç noktaların ve hizmetlerin kimliğini kümeler arasında birleştirmeye yarayan bir küme ağı sağlayan bir çözüm arayın, bu da ekiplerin daha fazla paylaşılan hizmet ve API merkezileştikçe gerekli olan kümeler arası iletişimi açıkça yetkilendiren ve güvence altına alan politikaları tanımlamasına olanak tanır. Bu, platform sahiplerinin her kümede bir hizmet ağı çalıştırmanın getirdiği ek yükü üstlenmeden çok kümeli bir ortamın tüm avantajlarından faydalanmasını sağlar.
Sizin için neyin doğru olduğuna karar vermek
Bağımsız hizmet ağları bazı kullanım durumları için doğru olsa da, güvenlik ve gözlemlenebilirlik kuruluşunuzun ana hedefleriyse, özel bir çözüm muhtemelen gerekli değildir. Diğer çözümler, yalnızca uygulama katmanında değil, tüm yığında ayrıntılı gözlemlenebilirlik ve güvenlik sağlayabilirken, bir hizmet ağının dağıtımıyla sıklıkla ilişkilendirilen operasyonel karmaşıklıklardan ve ek yüklerden kaçınır.
Reklam