Service Mesh有什么作用

這篇文章主要介紹“Service Mesh有什么作用”，在日常操作中，相信很多人在Service Mesh有什么作用問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”Service Mesh有什么作用”的疑惑有所幫助！接下來，請跟著小編一起來學習吧！

Service Meshes是什么？它為何如此重要？

連接問題

要想理解Service Mesh的存在原因，首先考慮一下容器環境中的網絡連接。

想象一下當你運行一個云原生應用時會發生什么。但凡它具有一定的規模和復雜性，它通常都需要由大量單獨的服務組成，這些服務間為了能夠像一個單體桌面應用程序組件一樣高效地運行，需要相互進行協調。

再加上在任何指定時間運行的每個服務的實例數量，以及這些實例的狀態及可用性的變化，不難看出，簡單的將一個服務連接到另一個服務的行為，在這樣的情形下會變成多么恐怖的組合問題。

編排是基礎

多虧了有Kubernetes等編排工具，云原生應用程序不會出現混亂或者從內部logjams出現凍結，它們將服務和實例組織成方便管理和尋址的單元，這樣就可以通過系統化的方式找到并訪問這些單元。

這些編排工具就好像一個房屋開發商，他們鋪設街道，在新的社區建造房屋——它們建立了框架和交通線路，然而大多數情況下，處理社區的交通細節并不是它們的工作。

管理流量

這就是需要Service Mesh的地方。當一個服務需要向另一個服務發送請求時，Service Mesh提供了一個標準化的接口，允許請求發送，并且管理這一個過程。

Service Mesh（如lstio和Linknerd）通常充當微服務之間的請求和其他流量的代理，負責服務發現和執行各種相關任務，包括入口、出口、負載均衡和故障處理。當它接收到服務請求時，它會找到一個服務的可用實例，這個實例需滿足一組可配置的規則以及在請求服務和目標服務之間的路由流量。

接手復雜的工作

這意味著你可以將服務發現和與其關聯的大多數任務從應用程序設計和代碼（以及架構腳本）中移出來，并交給Service Mesh處理它們。請求服務只需要使用目標服務的抽象標識符來提出請求；而Service Mesh將負責剩下的部分。

當然，Service Mesh能夠處理的不止這些，還包括了跟蹤、度量、加密、認證以及其他與性能和安全相關的任務。lstio和linkerd可以一同使用，把兩者包中最強大的特性集成在一起，進行微服務相關的流量管理優化。

Service Mesh與企業安全

上文所說的這一切，對于企業安全意味著什么呢?

Istio和Linkerd等平臺的安全性和整體流量管理功能是否能夠提供足夠的保護？或者恰恰相反，他們是否會暴露出新的攻擊面，給入侵者提供了后門攻擊的機會？

事實是，任何控制基礎設施的新元素都有可能包含這兩者。在Service Mesh的情景下，如入口/出口管理、代理和加密等特性將與安全相關的元素添加到系統中。與此同時，這些平臺會管理流量和訪問，并且受到應用程序和其他基礎設施元素的信任，這使得它們成為了攻擊目標。

Service Mesh的整體作用是在應用程序的邊界（即入口規則）處提供一些強化，并為該周邊內的流量創建有效的通道。就企業安全而言，這意味著你需要關注至少兩條（或許更多）的潛在攻擊路線。

當入侵者突破邊界

如果入侵者突破Service Mesh的基本邊界防御，并且甚至侵占了一個服務的某一個實例，將會發生什么？如果該服務向Service Mesh發送請求，或它響應Service Mesh的請求，那么惡意負載可能會被注入系統中，從而利用Service Mesh的高效流量管理將負載傳遞到盡可能多的潛在目標。如果Service Mesh將服務表現出來的樣子認定為“信任”，而應用程序又錯誤地判定Service Mesh在服務之間傳遞的是非惡意數據，那么任何的惡意參與者都可以利用這種信任，將自己偽裝成有效服務。

當然，實際上像Istio和Linkerd這樣的平臺確實包含了維護安全流量的功能，比如TLC認證；Istio的Role-Based Access Control（基于角色的訪問控制，RBAC）提供了靈活、可定制的多級訪問控制。但是，如果入侵者突破了這些防御，仍然可以在系統內移動并且造成破壞。

攻擊Service Mesh基礎設施

Service Mesh平臺，就像當下其他任何基于云基礎架構的元素一樣，是由代碼構成的，并且和其他類型的代碼一樣容易受到攻擊。對入侵者來說，最具誘惑力的攻擊面可能是控制發現和路由的規則——如果請求可以重新路由到外部位置，那么整個系統都可能會受到危害。

當然也會有其他的攻擊點。入口、出口、代理以及負載均衡等功能都可能會出現先前未監測到的切入點。簡而言之就是，基礎設施的元素越多地控制應用程序和整個系統，那么它就越容易成為攻擊的目標，也就越應該關注它。

抵御攻擊

那么有沒有最佳策略來處理與Service Mesh有關的安全性問題？有的。

Service Mesh本身提供的防御功能可以和像白名單這樣強大的邊界防御工作結合起來使用，進一步加強應用程序的入侵防御能力。其中，內部異常檢測提供了更強大的防御。程序中任何不尋常的行為都會觸發自動響應。網絡安全監控可以檢測并抵消掉服務網格基礎設施本身受到的攻擊。

在基于云的領域中，容器化應用程序、Service Mesh都是企業計算中不可或缺的工具。與功能齊全的企業級安全服務結合使用，入侵者就沒有必要，也不會損害到組織的數據安全。

到此，關于“Service Mesh有什么作用”的學習就結束了，希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習，快去試試吧！若想繼續學習更多相關知識，請繼續關注億速云網站，小編會繼續努力為大家帶來更多實用的文章！