這篇文章主要介紹“Service Mesh有什么作用”，在日常操作中，相信很多人在Service Mesh有什么作用問(wèn)題上存在疑惑，小編查閱了各式資料，整理出簡(jiǎn)單好用的操作方法，希望對(duì)大家解答”Service Mesh有什么作用”的疑惑有所幫助！接下來(lái)，請(qǐng)跟著小編一起來(lái)學(xué)習(xí)吧！

成都創(chuàng)新互聯(lián)是一家專業(yè)提供鄭州企業(yè)網(wǎng)站建設(shè),專注與成都網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)、成都h5網(wǎng)站建設(shè)、小程序制作等業(yè)務(wù)。10年已為鄭州眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)的建站公司優(yōu)惠進(jìn)行中。

Service Meshes是什么？它為何如此重要？

連接問(wèn)題

要想理解Service Mesh的存在原因，首先考慮一下容器環(huán)境中的網(wǎng)絡(luò)連接。

想象一下當(dāng)你運(yùn)行一個(gè)云原生應(yīng)用時(shí)會(huì)發(fā)生什么。但凡它具有一定的規(guī)模和復(fù)雜性，它通常都需要由大量單獨(dú)的服務(wù)組成，這些服務(wù)間為了能夠像一個(gè)單體桌面應(yīng)用程序組件一樣高效地運(yùn)行，需要相互進(jìn)行協(xié)調(diào)。

再加上在任何指定時(shí)間運(yùn)行的每個(gè)服務(wù)的實(shí)例數(shù)量，以及這些實(shí)例的狀態(tài)及可用性的變化，不難看出，簡(jiǎn)單的將一個(gè)服務(wù)連接到另一個(gè)服務(wù)的行為，在這樣的情形下會(huì)變成多么恐怖的組合問(wèn)題。

編排是基礎(chǔ)

多虧了有Kubernetes等編排工具，云原生應(yīng)用程序不會(huì)出現(xiàn)混亂或者從內(nèi)部logjams出現(xiàn)凍結(jié)，它們將服務(wù)和實(shí)例組織成方便管理和尋址的單元，這樣就可以通過(guò)系統(tǒng)化的方式找到并訪問(wèn)這些單元。

這些編排工具就好像一個(gè)房屋開發(fā)商，他們鋪設(shè)街道，在新的社區(qū)建造房屋——它們建立了框架和交通線路，然而大多數(shù)情況下，處理社區(qū)的交通細(xì)節(jié)并不是它們的工作。

管理流量

這就是需要Service Mesh的地方。當(dāng)一個(gè)服務(wù)需要向另一個(gè)服務(wù)發(fā)送請(qǐng)求時(shí)，Service Mesh提供了一個(gè)標(biāo)準(zhǔn)化的接口，允許請(qǐng)求發(fā)送，并且管理這一個(gè)過(guò)程。

Service Mesh（如lstio和Linknerd）通常充當(dāng)微服務(wù)之間的請(qǐng)求和其他流量的代理，負(fù)責(zé)服務(wù)發(fā)現(xiàn)和執(zhí)行各種相關(guān)任務(wù)，包括入口、出口、負(fù)載均衡和故障處理。當(dāng)它接收到服務(wù)請(qǐng)求時(shí)，它會(huì)找到一個(gè)服務(wù)的可用實(shí)例，這個(gè)實(shí)例需滿足一組可配置的規(guī)則以及在請(qǐng)求服務(wù)和目標(biāo)服務(wù)之間的路由流量。

接手復(fù)雜的工作

這意味著你可以將服務(wù)發(fā)現(xiàn)和與其關(guān)聯(lián)的大多數(shù)任務(wù)從應(yīng)用程序設(shè)計(jì)和代碼（以及架構(gòu)腳本）中移出來(lái)，并交給Service Mesh處理它們。請(qǐng)求服務(wù)只需要使用目標(biāo)服務(wù)的抽象標(biāo)識(shí)符來(lái)提出請(qǐng)求；而Service Mesh將負(fù)責(zé)剩下的部分。

當(dāng)然，Service Mesh能夠處理的不止這些，還包括了跟蹤、度量、加密、認(rèn)證以及其他與性能和安全相關(guān)的任務(wù)。lstio和linkerd可以一同使用，把兩者包中最強(qiáng)大的特性集成在一起，進(jìn)行微服務(wù)相關(guān)的流量管理優(yōu)化。

Service Mesh與企業(yè)安全

上文所說(shuō)的這一切，對(duì)于企業(yè)安全意味著什么呢?

Istio和Linkerd等平臺(tái)的安全性和整體流量管理功能是否能夠提供足夠的保護(hù)？或者恰恰相反，他們是否會(huì)暴露出新的攻擊面，給入侵者提供了后門攻擊的機(jī)會(huì)？

事實(shí)是，任何控制基礎(chǔ)設(shè)施的新元素都有可能包含這兩者。在Service Mesh的情景下，如入口/出口管理、代理和加密等特性將與安全相關(guān)的元素添加到系統(tǒng)中。與此同時(shí)，這些平臺(tái)會(huì)管理流量和訪問(wèn)，并且受到應(yīng)用程序和其他基礎(chǔ)設(shè)施元素的信任，這使得它們成為了攻擊目標(biāo)。

Service Mesh的整體作用是在應(yīng)用程序的邊界（即入口規(guī)則）處提供一些強(qiáng)化，并為該周邊內(nèi)的流量創(chuàng)建有效的通道。就企業(yè)安全而言，這意味著你需要關(guān)注至少兩條（或許更多）的潛在攻擊路線。

當(dāng)入侵者突破邊界

如果入侵者突破Service Mesh的基本邊界防御，并且甚至侵占了一個(gè)服務(wù)的某一個(gè)實(shí)例，將會(huì)發(fā)生什么？如果該服務(wù)向Service Mesh發(fā)送請(qǐng)求，或它響應(yīng)Service Mesh的請(qǐng)求，那么惡意負(fù)載可能會(huì)被注入系統(tǒng)中，從而利用Service Mesh的高效流量管理將負(fù)載傳遞到盡可能多的潛在目標(biāo)。如果Service Mesh將服務(wù)表現(xiàn)出來(lái)的樣子認(rèn)定為“信任”，而應(yīng)用程序又錯(cuò)誤地判定Service Mesh在服務(wù)之間傳遞的是非惡意數(shù)據(jù)，那么任何的惡意參與者都可以利用這種信任，將自己偽裝成有效服務(wù)。

當(dāng)然，實(shí)際上像Istio和Linkerd這樣的平臺(tái)確實(shí)包含了維護(hù)安全流量的功能，比如TLC認(rèn)證；Istio的Role-Based Access Control（基于角色的訪問(wèn)控制，RBAC）提供了靈活、可定制的多級(jí)訪問(wèn)控制。但是，如果入侵者突破了這些防御，仍然可以在系統(tǒng)內(nèi)移動(dòng)并且造成破壞。

攻擊Service Mesh基礎(chǔ)設(shè)施

Service Mesh平臺(tái)，就像當(dāng)下其他任何基于云基礎(chǔ)架構(gòu)的元素一樣，是由代碼構(gòu)成的，并且和其他類型的代碼一樣容易受到攻擊。對(duì)入侵者來(lái)說(shuō)，最具誘惑力的攻擊面可能是控制發(fā)現(xiàn)和路由的規(guī)則——如果請(qǐng)求可以重新路由到外部位置，那么整個(gè)系統(tǒng)都可能會(huì)受到危害。

當(dāng)然也會(huì)有其他的攻擊點(diǎn)。入口、出口、代理以及負(fù)載均衡等功能都可能會(huì)出現(xiàn)先前未監(jiān)測(cè)到的切入點(diǎn)。簡(jiǎn)而言之就是，基礎(chǔ)設(shè)施的元素越多地控制應(yīng)用程序和整個(gè)系統(tǒng)，那么它就越容易成為攻擊的目標(biāo)，也就越應(yīng)該關(guān)注它。

抵御攻擊

那么有沒有最佳策略來(lái)處理與Service Mesh有關(guān)的安全性問(wèn)題？有的。

Service Mesh本身提供的防御功能可以和像白名單這樣強(qiáng)大的邊界防御工作結(jié)合起來(lái)使用，進(jìn)一步加強(qiáng)應(yīng)用程序的入侵防御能力。其中，內(nèi)部異常檢測(cè)提供了更強(qiáng)大的防御。程序中任何不尋常的行為都會(huì)觸發(fā)自動(dòng)響應(yīng)。網(wǎng)絡(luò)安全監(jiān)控可以檢測(cè)并抵消掉服務(wù)網(wǎng)格基礎(chǔ)設(shè)施本身受到的攻擊。

在基于云的領(lǐng)域中，容器化應(yīng)用程序、Service Mesh都是企業(yè)計(jì)算中不可或缺的工具。與功能齊全的企業(yè)級(jí)安全服務(wù)結(jié)合使用，入侵者就沒有必要，也不會(huì)損害到組織的數(shù)據(jù)安全。

到此，關(guān)于“Service Mesh有什么作用”的學(xué)習(xí)就結(jié)束了，希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí)，快去試試吧！若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí)，請(qǐng)繼續(xù)關(guān)注創(chuàng)新互聯(lián)網(wǎng)站，小編會(huì)繼續(xù)努力為大家?guī)?lái)更多實(shí)用的文章！