加速業務交付，從 GKE 上使用 Kubernetes 和 Istio 開始

原文來源於：谷歌雲技術博客

許多企業機構正在把所有或部分 IT 業務遷移到雲端，幫助企業更好的運營。不過這樣的大規模遷移，在企業的實際操做中也有必定難度。很多企業保存在本地服務器的重要資源，並不支持直接遷移到雲端。

另外，從企業本地到雲的遷移過程，也會受到政策的限制、安全性考慮和原先運營方式的約束。

谷歌雲致力於幫助用戶把本地數據中內心的 IT 架構和資源，用更高效安全的方式遷移到雲端。基於此目的，咱們基於容器和微服務架構，開發了一系列的開源技術。

下面的內容能夠幫助您瞭解，咱們有哪些方式能夠幫助您的企業順暢地遷移到雲上。

走向開放的雲堆棧

在 Google Cloud Next '18 大會裏，發佈了雲服務平臺（Cloud Services Platform ），這是一套基於 Google 開源技術的託管方案。在這個平臺上，有容器化和基於微服務的應用架構工具，用戶能夠利用這些功能，迅速實現 IT 資源的遷移和應用建立。

Cloud Services Platform 將容器編排工具 Kubernetes，以及服務管理平臺 Istio 結合起來，在架構、安全性、可操做性上都給用戶帶來最好的體驗。目標是提升雲端工做效率和可靠性的同時，更適配業務的規模擴展。下面介紹一下如何經過GKE上的Istio來達到這一目標。

搭建服務時優先考慮Istio

咱們堅信幫助用戶實踐出最佳微服務架構，Istio 是一個關鍵工具。Istio 的優點在於它有更好的可見性和安全性，能讓容器化任務更方便管理。藉助Istio，咱們把 Kubernetes 服務直接集成，並簡化容器的生命週期管理，Google Cloud 也是最先提供這項功能的雲服務之一。

Istio 並非單個基礎架構組件，而是一種服務網格，能提供應用程序的管理和可視化服務。經過收集日誌，監控和網絡遙測的數據，用戶能夠來設置和執行本身業務上的策略。Istio 支持加密網絡流量來提升安全性，同時能透明地分層到現有的分佈式應用程序上，完成這一步時，用戶無需在代碼中嵌入任何客戶端庫。

Istio 有我的身份驗證，並能夠和用戶其餘的服務關聯起來。 mTLS （相互傳輸層安全協議）會被添加到服務通訊中，確保全部信息將在傳輸過程當中被加密。Istio 爲每一個服務提供身份標識，容許用戶針對每一個應用程序，執行單獨的服務策略，同時提供惟一身份驗證。

除此以外，由於 Istio 集成了 GCP 的原生監控工具 Stackdriver，你會從它的可視化界面功能中受益。這項集成將數據指標、日誌和遙測發送到 Stackdriver，能讓你監控 GKE 中每一個服務的信息（包括流量，報錯率和延遲等）。

因爲負載在本地和雲端不一樣的環境中運行，容器化微服務或單片虛擬機等等，而 Istio 1.0 是幫助用戶實現混合雲管理的關鍵一步。經過使用 GKE 上的Istio，能獲得可見性、安全性和彈性更好的容器化應用程序，其中還包含一個超簡單的插件，可與現有的程序一塊兒來使用。

在 GKE 中使用 Istio

Istio 提供的服務級別視圖和安全性，對於容器化微服務部署的分佈式應用程序尤其重要，而 GKE 上的 Istio 容許您經過點擊將 Istio 部署到 Kubernetes 集羣。

GKE 上的 Istio 適用於新的和現有的容器部署。它容許您增量更新功能，例如Istio安全性，能讓你現有的部署獲得保障。當新版本發佈時，它還能夠自動升級Istio的部署，以此來簡化Istio生命週期管理。

目前在 GKE 上的 Istio Beta 版本，是咱們努力讓 GKE 成爲企業理想選擇的最新成果。歡迎訪問 Google Cloud Platform 控制檯，使用 GKE 上的 Istio 。要了解更多信息，請訪問 cloud.google.com/istio 或 GKE 上的 Istio 文檔。

優化 GKE 網絡

在今年早些時候，咱們公佈了許多關於 GKE 的新的網絡功能，包括 VPC 原生集羣，共享 VPC，原生容器負載均衡以及原生容器的網絡服務，它們服務於 GKE 上的應用程序以及在谷歌雲上的 Kubernetes。

• 藉助 VPC 原生集羣，GKE 自己能支持許多 VPC 功能，好比擴展，IP 管理，安全檢查和混合鏈接等等。

• 共享 VPC 容許你將管理職責委派給集羣管理員，同時確保那些關鍵的網絡資源是由網絡管理員來管理的。

• 容器原生負載均衡容許你建立負載均衡時指定容器做爲端點，以實現更好的負載均衡。

• 網絡服務能讓你在容器工做中使用 Cloud Armor，Cloud CDN 和 Identity Aware Proxy。

咱們還公佈了一些新功能，以簡化容器部署的配置，包括一些後端和前端配置的加強功能。這些改進讓不少操做和配置變得更簡單，不管是網絡資源的身份和訪問管理，仍是 CDN，Cloud Armor 或負載均衡的控制。

改善了 GKE 的安全性

GCP 藉助軟件供應鏈和運行時安全工具，幫助用戶在構建和部署生命週期的每一個階段，保護容器環境。其中包括多個安全合做夥伴的工具集成，全部這些都創建在谷歌以安全性爲中心的基礎架構和實踐的基礎上。節點自動升級和私有集羣等新功能增長了 GKE 用戶可用的安全選項。

你能夠在「探索容器安全性：今年是關於安全性的一年」中閱讀有關 GKE 中新安全功能的更多信息。

經過 GCP Marketplace 發佈 Kubernetes 應用程序

企業一般在 IT 環境中與許多合做夥伴合做，不管是在雲中仍是在本地。六個月之前，咱們介紹瞭如何經過 GCP Marketplace 實現 Kubernetes 應用程序交付。 Kubernetes 應用程序不只僅提供容器鏡像；它們是集成了用於一鍵部署發佈的 GKE 生產級別的解決方案，Kubernetes 應用程序將被徹底視做應用程序來進行管理，從而簡化資源管理。你還能夠將 Kubernetes 應用程序，部署到非 GKE 的 Kubernetes 集羣——不管它們是在本地仍是在雲中——從而輕鬆實現快速開發和多容器統一計費。

用你的方式，定義你的雲服務

若是你使用了 Containers and Kubernetes，會很熟悉它們是如何優化基礎架構資源，下降運營開銷，以及提升應用程序可遷移性的。不過經過對 Kubernetes 進行標準化，你還爲改進的服務管理、安全性以及跨雲和本地的簡化應用程序採購和部署奠基了基礎。

請在將來幾個月繼續關注有關 Kubernetes，微服務和雲服務平臺的更多信息。

讓谷歌雲更好地支持你

谷歌雲團隊將於今年與全國谷歌開發者社區更緊密的合做，但願可以爲谷歌雲用戶提供更好的支持與服務，不只將產出更多優質的文檔、技術博客解決使用中遇到的問題，也將投入更多資源力量，與谷歌雲的用戶創建更直接的聯繫，面對面解決使用中的疑惑。

咱們真誠的但願，有更多的谷歌雲用戶和開發者們，可以參與進谷歌雲的技術生態建設中來，讓咱們更加了解你們的需求，使用中遇到的問題，和其餘想對咱們說的話。

掃描下圖的二維碼，參與谷歌雲團隊的線上調查，得到第一手學習資料與技術資源，咱們將抽取 10 位朋友，得到谷歌雲正版周邊，並有機會參與谷歌雲團隊的線下交流活動。