Cloud Service Mesh への期待が止まらない！！

Cloud Service Mesh への期待が止まらない！！ Jagu’e’r クラウドネイティブ分科会 Meetup#15 - Tomonori
Hayashi 1

Tomonori Hayashi • NTT コミュニケーションズイノベーションセンター所属 ◦ ノーコード時系列分析ツール「 Node-AI」の開発/運用 ◦
ソフトウェアエンジニア ▪ Front：TypeScript - React/Next.js ▪ Infra：Google Cloud • Google Cloud Partner Top Engineer 2024 • Google Cloud All Certiﬁcations • Jagu’e’r との関わり ◦ 2022.12 - 人材育成分科会運営参加 ◦ 2024.01 - O11y-SRE 分科会運営参加 2 @pHaya72 @t_hayashi

Node-AI の紹介 • ノーコードで AI モデルを作成できる WEB アプリケーション • カードを直感的につなげるだけで
時系列データの前処理から AI モデルの学習・評価までのパイプラインを作成・実行できる • 技術スタック ◦ TypeScript + React / Next ◦ Python + Django ◦ C# + ASP.NET Core + SignalR ◦ Kubernetes ◦ Google Cloud ◦ Scikit-learn / Tensorﬂow / Pytorch 3

みなさん Cloud Service Mesh ご存知ですか？

Google Cloud Next ‘24 で発表された 5 ※ 引用：https://assets.swoogo.com/uploads/3777201-661713fbb0003.pdf

Google Cloud Next ‘24 で発表された 6 ※ 引用：https://assets.swoogo.com/uploads/3777201-661713fbb0003.pdf 世界中のどこからでもサービス管理

Google Cloud Next ‘24 で発表された 7 世界中のどこからでもサービス管理コントロールプレーン・データプレーンが Google
管理 ※ 引用：https://assets.swoogo.com/uploads/3777201-661713fbb0003.pdf

管理 Google Cloud のネットワークやコンピュートとシームレスに統合可能 ※ 引用：https://assets.swoogo.com/uploads/3777201-661713fbb0003.pdf

管理 Google Cloud のネットワークやコンピュートとシームレスに統合可能エンタープライズレベルの巨大なデプロイメントにも対応 ※ 引用：https://assets.swoogo.com/uploads/3777201-661713fbb0003.pdf

管理 Google Cloud のネットワークやコンピュートとシームレスに統合可能エンタープライズレベルの巨大なデプロイメントにも対応 ※ 引用：https://assets.swoogo.com/uploads/3777201-661713fbb0003.pdf サービスメッシュってなんだっけ・・・😇

サービスメッシュについて 11 サービスメッシュとは？マイクロサービスアーキテクチャの複雑さ（認証/認可・通信暗号化 etc）を管理して、信頼性・セキュリティ・可観測性を向上させる処理レイヤコントロールプレーンサービスA
アプリケーションインスタンスアプリケーションインスタンスサービスB データプレーンデータプレーン

なぜサービスメッシュなのか？ 12 サービスメッシュとは？コントロールプレーンサービスA アプリケーションインスタンスアプリケーションインスタンスサービスB
データプレーンデータプレーン Ingress Traffic Mesh Traffic Egress Traffic マイクロサービスアーキテクチャの複雑さ（認証/認可・通信暗号化 etc）を管理して、信頼性・セキュリティ・可観測性を向上させる処理レイヤ

データプレーンデータプレーン Ingress Traffic Mesh Traffic Egress Traffic マイクロサービスアーキテクチャの複雑さ（認証/認可・通信暗号化 etc）を管理して、信頼性・セキュリティ・可観測性を向上させる処理レイヤ 1. スケールと信頼性サービス間のトラフィック管理や負荷分散などの機能提供によりアプリケーションのスケーラビリティと信頼性を向上

データプレーンデータプレーン Ingress Traffic Mesh Traffic Egress Traffic マイクロサービスアーキテクチャの複雑さ（認証/認可・通信暗号化 etc）を管理して、信頼性・セキュリティ・可観測性を向上させる処理レイヤ 1. スケールと信頼性サービス間のトラフィック管理や負荷分散などの機能提供によりアプリケーションのスケーラビリティと信頼性を向上 2. セキュリティとポリシーサービス間の通信を保護やアクセス制御の機能提供によりゼロトラストセキュリティを実現

データプレーンデータプレーン Ingress Traffic Mesh Traffic Egress Traffic マイクロサービスアーキテクチャの複雑さ（認証/認可・通信暗号化 etc）を管理して、信頼性・セキュリティ・可観測性を向上させる処理レイヤ 1. スケールと信頼性サービス間のトラフィック管理や負荷分散などの機能提供によりアプリケーションのスケーラビリティと信頼性を向上 2. セキュリティとポリシーサービス間の通信を保護やアクセス制御の機能提供によりゼロトラストセキュリティを実現 3. サービス管理サービス間の通信に関するテレメトリデータを提供によりアプリケーションのパフォーマンスや依存関係を監視

Google Cloud のサービスメッシュ 16 Anthos Service Mesh ・Istio ベースのフルマネージドサービス・ハイブリッド
& マルチクラウドに対応・プラットフォーム管理者やサービス運用者などのサービスメッシュに理解が深いユーザーがターゲット Traffic Director ・フルマネージドサービス・Google Cloud のみ対応・ネットワーク管理者など Google Cloud 内に簡単にサービスメッシュを導入したいユーザーがターゲット Anthos Service Mesh コントロールプレーン App A Pod Pod App B Envoy Proxy Envoy Proxy Traffic Director App A インスタンスインスタンス App B （プロキシレス） Envoy Proxy サイドカーコンテナ

Google Cloud のサービスメッシュ 17 Anthos Service Mesh ・Istio ベースのフルマネージドサービス・ハイブリッド
& マルチクラウドに対応・プラットフォーム管理者やサービス運用者などのサービスメッシュに理解が深いユーザーがターゲット Traffic Director ・フルマネージドサービス・Google Cloud のみ対応・ネットワーク管理者など Google Cloud 内に簡単にサービスメッシュを導入したいユーザーがターゲット Cloud Service Mesh A globally scalable, fully managed, Google platform integrated service mesh for all enterprise 世界中のどこからでもサービス管理コントロールプレーン・データプレーンが Google 管理 Google Cloud のネットワークやコンピュートとシームレスに統合可能エンタープライズレベルの巨大なデプロイメントにも対応

Cloud Service Mesh への期待① 18 Ambient Mode の提供・Istio のデータプレーン実装の新しいアプローチ
・アプリケーションコードを変更することなく導入可能・Sidecar Mode と比較してリソース消費の削減やパフォーマンス向上を期待できるコントロールプレーン App A Node Node Proxy App B App A Proxy App B 1. 共有プロキシ各ノードで軽量なプロキシが共有リソースとして動作プロキシは L4(TCP/IP) トラフィック管理を担当、透過的に機能 2. オプションの L7 プロキシ L7(HTTP/gRPC) の高度な機能が必要であれば専用のプロキシを追加可能全てのワークロードに配置しなくてよい

Cloud Service Mesh への期待② 19 Ambient Mode の提供・Istio のデータプレーン実装の新しいアプローチ
・アプリケーションコードを変更することなく導入可能・Sidecar Mode と比較してリソース消費の削減やパフォーマンス向上を期待できるコントロールプレーン App A Node Node Proxy App B App A Proxy App B Cloud Run でのサービスメッシュ構築・Google Cloud Next ‘24 の Cloud Run のセッションで　アナウンスがあった・Cloud Service Mesh によって Cloud Run でサービス　　メッシュ構築が可能に

Preview でのサポートが発表されましたね！ ※ 引用：https://cloud.google.com/run/docs/release-notes

Cloud Service Mesh × Cloud Run 21 旧 Traffic Director
による連携っぽい動きしそう Cloud Run との連携は、旧 Traffic Director の Envoy プロキシベースのサービスメッシュと HTTP サービスによるセットアップに準拠しているっぽい ※ 引用：https://cloud.google.com/service-mesh/docs/service-routing/set-up-envoy-http-mesh Cloud Service Mesh とのやりとりするためのクライアントサービスがいるっぽい Mesh リソースと HTTP Route リソースの設定情報を流していそう

Cloud Service Mesh × Cloud Run 22 チュートリアル的なのを触ってみた Cloud Run
サービス以外にも Network Endpoint Group, Backend Service, HTTP Route, Mesh などいくつかのサービスデプロイが必要だった Cloud Run Service (Backend) Backend Service Network Endpoint Group (Severless) HTTP Route Cloud DNS Cloud Service Mesh Cloud Run Service (Client) curl -H "Authorization: Bearer $(gcloud auth print-identity-token)" "$CLIENT_SERVICE_URL/fortio/fetch/BACKEND_SERVICE_NAME.DOMAIN_NAME"

Cloud Service Mesh × Cloud Run 23 サービスメッシュの大枠となるような Mesh リソースの作成
簡単な YAML ファイルを作成して、そのファイルを読み込ませて Mesh リソースを作成する Cloud Run Service (Backend) Backend Service Network Endpoint Group (Severless) HTTP Route Cloud Run Service (Client) curl -H "Authorization: Bearer $(gcloud auth print-identity-token)" "$CLIENT_SERVICE_URL/fortio/fetch/BACKEND_SERVICE_NAME.DOMAIN_NAME" Mesh リソースの作成 mesh.yaml Name: MESH_NAME gcloud network-services meshes import MESH_NAME \ --source=mesh.yaml \ --location=global Cloud DNS Cloud Service Mesh

Cloud Service Mesh × Cloud Run 24 Route リソースに Mesh
リソースを参照させる今回はバックエンドが HTTP サービスなので、 Route リソースの中でも HTTP Route リソースを作成して、 Mesh リソース紐付けさせる Cloud Run Service (Backend) Backend Service Network Endpoint Group (Severless) HTTP Route Cloud DNS Cloud Service Mesh Cloud Run Service (Client) curl -H "Authorization: Bearer $(gcloud auth print-identity-token)" "$CLIENT_SERVICE_URL/fortio/fetch/BACKEND_SERVICE_NAME.DOMAIN_NAME" Route リソースで Mesh リソースとの紐付け http_route.yaml name: "DESTINATION_SERVICE_NAME-route" hostnames: - "DESTINATION_SERVICE_NAME.DOMAIN_NAME" meshes: - "projects/PROJECT_NAME/locations/global/meshes/MESH_NAME" rules: - action: destinations: - serviceName: "projects/../locations/…/backendServices/DESTINATION_SERVICE_NAME-REGION" gcloud network-services http-routes import helloworld-http-route \ --source=http_route.yaml \ --location=global

Cloud Service Mesh のコンソール画面 25 • コンソールの Cloud Service Mesh（Traffic
Director）の項目から見えるのは Backend Service を中心とした情報 • Mesh リソースに紐づいている Route リソースには複数の Backend Service リソースを紐付けられる → 複数の Cloud Run サービスでサービスメッシュを構築できる（ぽい） Backend Service リソース名 Network Endpoint Group リソース名 Route リソース名 Mesh リソース名

チュートリアルで確認できたメリット 26 Cloud Run Service で認証ありで通信が可能になる従来リクエストをいじったりしないと認証ありで通信できないがサービスメッシュを構築することでコード変更なく認証ありでセキュアになる Cloud Run
Service (Backend) Backend Service Network Endpoint Group (Severless) HTTP Route Cloud DNS Cloud Service Mesh Cloud Run Service (Client) 認証ありにできる

チュートリアルで確認できたメリット 27 サービスメッシュに参加していれば全て認証ありにできそう？ Client 経由のリクエストは認証ありの Backend-a, Backend-b にそれぞれ通るしかし、Backend-a から
Backend-b に対するリクエストは弾かれた Cloud Run Service (Backend-a) Backend Service Network Endpoint Group (Severless) HTTP Route Cloud DNS Cloud Service Mesh Cloud Run Service (Client) 認証あり Backend Service Cloud Run Service (Backend-b) Network Endpoint Group (Severless) 認証ありまだまだ理解が足りない！！

リリースノートの記載通りの結果ではある ※ 引用：https://cloud.google.com/run/docs/release-notes

まとめ Cloud Service Mesh を活用してコード変更なくサービスメッシュを構築できる • 期待ポイント ◦ GKE でサービスメッシュを構築する際の
Ambient Mode の提供 ◦ Cloud Run でサービスメッシュを構築できる Cloud Run でサービスメッシュをサポート！（ Preview） • 実際にやってみると旧 Traﬃc Director によるサービスメッシュ構築を踏襲 • コード変更なく認証ありで通信できるまだまだ理解足りていないので後日ブログを書こうと思います！！

CREDITS: This presentation template was created by Slidesgo, and includes
icons by Flaticon, and infographics & images by Freepik Thanks! 30 @pHaya72 @t_hayashi

Cloud Service Mesh への期待が止まらない！！

Cloud Service Mesh への期待が止まらない！！

Tomonori Hayashi

More Decks by Tomonori Hayashi

Other Decks in Technology

Featured

Transcript