将全局命名空间和零信任策略与 VMware Tanzu Service Mesh 结合使用

时间:2022-12-29 17:15:26

将全局命名空间和零信任策略与 VMware Tanzu Service Mesh 结合使用

VMware Tanzu Service Mesh 提供联合 Istio 服务,为企业客户带来核心开源项目之外的重要价值,提高应用程序安全性、弹性和多云运营。

启用此附加值的 Tanzu 服务网格的主要构造是全局命名空间 (GNS) 的概念。GNS 允许平台运营商和开发人员使用 Tanzu Service Mesh 连接应用程序服务,而无需指定(甚至不知道)任何底层基础设施详细信息,因为所有网格操作(包括路由、入口规则、目的地规则、服务条目等)都由 GNS 自动完成。借助这种抽象的强大功能,应用程序微服务可以在任何地方、任何 Kubernetes 集群、任何站点和任何云中“存在”,允许团队根据应用程序和组织要求(而不是基础架构限制)做出放置决策。这种更高级别的抽象提供了完全自动化的服务网格操作和应用程序服务之间的安全连接,无论它们是在单个 Kubernetes 集群中还是在多个集群中运行。

这个想法很简单:在GNS(一种逻辑结构)中,您可以将编译应用程序并需要在自己的“网格切片”中相互通信的服务分组。通过将服务分组到此“网格切片”中,您可以从任何底层基础架构详细信息中抽象应用程序,从而可以将服务网格功能(例如服务发现、mTLS 的身份服务、弹性和 HA 策略以及其他高级功能)应用于抽象的应用程序,而不是 Kubernetes 集群。

这种抽象和自动化使您能够在任何地方“移动”、“扩展”或“突发”应用程序服务,而无需更改任何配置或代码行。这确实将多云和混合云工作负载的想法变为现实,并且在单集群部署中也非常有用。

这一价值来自于这样一个事实,即基于微服务的分布式应用程序需要前所未有的安全级别,因为它们通过网络进行通信。Tanzu 服务网格为 GNS 提供了一组独特的高级零信任安全性和合规性功能:

  • 服务之间的端到端 mTLS 加密,不考虑集群、站点或云
  • 应用程序级别的微分段访问策略
  • API 控制和分段 – 通过控制 API 直至参数级别来记录、分析和保护 API
  • PII 跟踪和 DLP – 个人身份信息的数据泄露保护
  • 东西向威胁检测 – 检测并阻止任何连接上的 OWASP 10 和/或自定义攻击特征,无论是南北还是东西

将全局命名空间和零信任策略与 VMware Tanzu Service Mesh 结合使用

Tanzu 服务网格 GNS 中的零信任策略

请务必注意,这些高级安全功能在 GNS 中工作,而 Tanzu 服务网格维护端到端 mTLS 会话。

与往常一样,演示是展示功能的最佳方式,因此我们准备了一个演示,引导您从创建 GNS 到应用上述高级安全策略。