Definition: Service Mesh, plattformunabhängig und quelloffen

Was ist Istio?

| Autor / Redakteur: Stefan Luber / Florian Karlstetter

Service Mesh mit Istio: effizientes Microservice-Management für verteilte Cloud-native-Umgebungen.
Service Mesh mit Istio: effizientes Microservice-Management für verteilte Cloud-native-Umgebungen. (Bild: gemeinfrei (geralt / pixabay) / Pixabay)

Istio stellt ein offenes, plattformunabhängiges Service Mesh zur Verfügung, mit dem sich die Microservices verteilt arbeitender Cloud-native-Anwendungen komfortabel verwalten lassen. Zu den Kernfunktionen gehören das Traffic Management sowie Sicherheits-, Verbindungs- und Monitoring-Funktionen.

Istio steht für effizientes Microservice-Management für verteilte Cloud-native-Umgebungen Das Wort „Istio“ stammt ursprünglich aus dem Griechischen und bedeutet „Segel“. So handelt es sich bei Istio um eine plattformunabhängige, offene Software, mit der sich ein Service Mesh realisieren lässt. Der Begriff Service Mesh beschreibt dabei ein Netzwerk aus Microservices, das die Grundlage für Cloud-native-Anwendungen bildet. Istio stellt Funktionen wie Traffic Management, Sicherheits-, Verbindungs- und Monitoring-Funktionen zur Verfügung, um Microservices verteilt arbeitender Cloud-native-Anwendungen komfortabel zu verwalten und die Kommunikation zu steuern. Dadurch reduziert sich die Komplexität dieser Umgebungen und Microservice-Architekturen lassen sich effizient und sicher betreiben. Istio geht auf Entwicklungsprojekte der Unternehmen Google, Lyft und IBM zurück, die sich zu einer Kooperation zusammengeschlossen haben. Die Software steht unter Apache License 2.0 und war ursprünglich für die Container-Orchestrierungslösung Kubernetes (K8s) vorgesehen. Die erste Version der Software erschien im Jahr 2018. Die aktuelle Version (Stand Juli 2019) ist Istio 1.1.11. Mittlerweile ist Istio auch mit Lösungen wie Nomad und Consul kompatibel. Unterstützte Kubernetes-Plattformen sind beispielsweise die Amazon Web Services (AWS), die Google Kubernetes Engine oder die IBM Cloud Kubernetes Services (IKS). Istio ist sowohl Cloud-basiert als auch on-premises nutzbar.

Die Motivation für Istio

Moderne Anwendungsarchitekturen arbeiten mehr und mehr mit Cloud- und Container-basierten Microservices. Es entsteht ein komplexes Geflecht aus Services, das die Laufzeitzumgebung für die Anwendungen bereitstellt. Nicht selten bestehen Cloud-native-Applikationen aus einer Sammlung von tausenden Microservices, die auf hybriden Cloud-Strukturen in vielen verschiedenen Containern oder virtuellen Maschinen betrieben werden. Die Verwaltung, Skalierung und Sicherung der vielen Services stellt eine Herausforderung dar und erfordert Tools, mit denen sich die wichtigsten Managementaufgaben komfortabel erledigen lassen. Istio agiert als Service Mesh und bietet einen Rahmen zur Verbindung der verschiedenen Services Cloud-basierter Anwendungen. Es entsteht ein zentral managebares Servicesystem für die verteilten, Container-basierten Dienste. Die Logik muss nicht mehr aufwendig in einzelne Applikationen integriert werden, sondern ist mit Istio direkt nutzbar. Entwickler können sich auf die Business Logik ihrer Anwendung konzentrieren und müssen keine Lösungen für das Management und die Steuerung der Kommunikation der Microservices programmieren. Die Design-Ziele von Istio sind:

  • maximale Transparenz
  • einfache Erweiterbarkeit und Portabilität
  • Plattformunabhängigkeit
  • einheitliche Schnittstellen

Funktionsprinzip und Architektur von Istio

Istio unterteilt das Service Mesh in eine Data Plane und eine Control Plane. Innerhalb der Control Plane werden Proxies und Mixer konfiguriert und verwaltet. Aufgabe ist es, Verkehr zu routen, Policies zu überwachen und Telemetriedaten zu sammeln. Die Data Plane besteht aus einer Sammlung intelligenter Proxies (Envoy Proxies), die den Netzwerkverkehr zwischen den Microservices kontrollieren. Wichtige Architekturelemente von Istio sind:

  • Envoy Proxy
  • Mixer
  • Pilot
  • Citadel
  • Galley

Ein Envoy Proxy schaltet sich in die Kommunikation der Microservices ein. Er lässt sich auch nachträglich noch in Anwendungen integrieren, ohne die ursprünglichen Microservices zu verändern. Aufgaben des Envoy Proxies sind unter anderem Load Balancing, dynamisches Service Discovery, TLS-Terminierung, Health Checks oder Fault Injection. Die Microservices bekommen einen Envoy Proxy zugeteilt, der in der Regel direkt im Container des jeweiligen Services agiert. Sämtliche Kommunikation mit dem Service erfolgt über den Proxy. Die Proxies sind in der Lage, Antwortzeiten zu messen und die Anzahl der Requests oder die Menge der übertragenen Daten zu loggen. Der Envoy Proxy kommuniziert darüber hinaus mit dem Mixer und liefert diesem die gewonnenen Daten. Der Mixer sorgt für die Plattformunabhängigkeit des Service Meshs und sendet die Telemetriedaten an die Monitoring-Systeme. Der Pilot versorgt den Envoy Proxy mit den für das Service Discovery benötigten Informationen. Drüber hinaus konvertiert er High-Level-Routing-Vorgaben in durch den Envoy Proxy interpretierbare Konfigurationen und stellt sie diesem zur Verfügung. Citadel ermöglicht eine starke Service- und User-Authentifizierung. Bei Galley handelt es sich um die Istio-Komponente, die Konfigurationen aufnimmt, validiert, verarbeitet und verteilt. Sie sorgt in Bezug auf die Konfiguration für die Isolation der Istio-Komponenten von der zugrundeliegenden Plattform wie Kubernetes.

Die wichtigsten Funktionen von Istio

Für das Service Mesh bietet Istio ein Vielzahl an Funktionen. Zu den wichtigsten Funktionen zählt das Traffic Management. Istio entkoppelt die Verwaltung des Verkehrs von der Infrastruktur. Anfragen lassen sich durch das intelligente Zusammenspiel zwischen Envoy Proxies und Pilot dynamisch verteilen und Lasten ausgleichen. Weitere wichtige Kernfunktionen sind das Logging und das Monitoring. Istio sammelt alle für den Betrieb der Services benötigten Logging-, Tracing- und Monitoring-Informationen des Netzwerks. Die Leistung und der Verkehrsfluss der einzelnen Services lassen sich überwachen und Probleme schnell erkennen. Für einen vollständigen Überblick über das Service Mesh stehen benutzerdefinierte Dashboards zur Verfügung. Die Sicherheitsfunktionen von Istio stellen eine starke Authentifizierung der Services und Clients sicher. Die Authentifizierungsrichtlinien unterstützen eine rollenbasierte Zugriffssteuerung für die verschiedenen Ebenen des Service Meshs. Es lassen sich sowohl die Dienste untereinander als auch Dienste und Clients autorisieren. Ebenfalls integriert ist ein automatisiertes Schlüsselverwaltungssystem, das die Generierung, Zuteilung und Sperrung von Zertifikaten oder Schlüsseln organisiert. Entwickler müssen keine eigenen Sicherheits- oder Verschlüsselungsmechanismen implementieren, sondern können sich auf die Programmierung der Sicherheit auf Anwendungsebene konzentrieren.

Die Plattformunabhängigkeit von Istio

Eine der Designprinzipien von Istio ist die Plattformunabhängigkeit. Istio lässt sich in verschiedenen Umgebungen Cloud-basiert oder on-premises einsetzen. Unterstützt werden unter anderem Kubernetes, Mesos, Nomad und Consul sowie verschiedene Plattformen der Cloud Anbieter wie Amazon, Google oder IBM. Die Dienste des Service Meshs können in einzelnen virtuellen Maschinen, Containern oder auf dedizierten Servern betrieben werden.

Die Vorteile durch den Einsatz von Istio im Service Mesh kurz zusammengefasst

  • Schaffung einer ausfallsicheren und fehlertoleranten Microservice-Architektur
  • nahtlose Verbindung unterschiedlicher Microservices unabhängig von den verwendeten Plattformen und Anbietern
  • höhere Transparenz durch ein umfassendes und einheitliches Monitoring
  • dynamische Verkehrssteuerung und Load Balancing im Service Mesh
  • starke Authentifizierungsmechanismen für Services, Clients und User
  • rollenbasierte Zugriffssteuerung
  • Durchsetzung der Policies

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Cloud Foundry: Infrastrukturagnostische Bereitstellung Cloud-nativer Microservices

(Zurück) zu VMware, hin zu Kubernetes

Cloud Foundry: Infrastrukturagnostische Bereitstellung Cloud-nativer Microservices

Das Lifecycle-Management verteilter Anwendungen könnte wohl kaum noch komplexer werden. Applikationen schneller bauen, testen, skalieren und infrastrukturagnostisch bereitstellen: Genau diese Versprechen hat sich das quelloffene Projekt Cloud Foundry auf die Fahnen geschrieben. lesen

Die heißesten Cloud-Native-Projekte für das Rechenzentrum

Kubernetes als Basis

Die heißesten Cloud-Native-Projekte für das Rechenzentrum

Die „Cloud 2019 Technology & Services Conference“ steht ins Haus. Im Zuge von Digitalisierung, Cloud-Transformation und Anwendungsmodernisierung kommen Unternehmen um den Einsatz neuster Technologien rund um Container und Cloud Native nicht mehr herum. lesen

Velten: „Cloud Native ist der Gamechanger“

Cloud 2019 Technology & Services Conference

Velten: „Cloud Native ist der Gamechanger“

Ab 10. September findet die Veranstaltungsreihe „Cloud 2019 Technology & Services Conference“ statt. Fachvorträge, Live Demos und Technologie Outlooks thematisieren die Herausforderungen der Multicloud und von Cloud Native. Die Veranstaltungen in Hamburg und München starten mit einer Keynote von Dr. Carlo Velten, Managing Director von Crisp Research. DataCenter-Insider hat ihn und seinen Kollegen Maximilian Hille vorab dazu befragt. lesen

Warum migrieren Unternehmen aus der Public Cloud zurück?

Cloud Repatriation

Warum migrieren Unternehmen aus der Public Cloud zurück?

Unternehmen holen Daten vermehrt ins eigene Rechenzentrum zurück, um Daten und Anwendungen in alle Umgebungen verschieben zu können. Was treibt die sogenannte Cloud Repatriation von der Public Cloud zurück in die Hybrid Cloud an? lesen

Alpha-Version des Pivotal Application Service (PAS) für Kubernetes

Vereinfachte Nutzung von Kubernetes

Alpha-Version des Pivotal Application Service (PAS) für Kubernetes

Pivotal hat die Alpha-Version des Pivotal Application Service (PAS) für Kubernetes vorgestellt. Neue, auf dem PAS basierende Produkte sollen zudem Entwicklern eine bessere User Experience bei der Nutzung von Kubernetes bescheren. lesen

Open Source verbindet DevOps und NetOps

Continuous Deployment verwirklichen

Open Source verbindet DevOps und NetOps

Die Bereitstellung von Anwendungen muss sich in Unternehmen verändern, um in einer Multi-Cloud-Welt die Anforderungen an Konsistenz und Transparenz zu erfüllen. Open Source kann hier die Kluft zwischen DevOps und NetOps überwinden. lesen

Kubernetes – die Wundertüte für Container

Kubernetes feiert 5. Geburtstag auf KubeCon + CloudNativeCon

Kubernetes – die Wundertüte für Container

Die vom 20. bis 23. Mai in Barcelona ausgerichtete KubeCon + CloudNativeCon Europe 2019 war gleichsam eine Art Geburtstagsparty für die 2014 erschienene Container-Orchestrierungs-Lösung Kubernetes. 7.700 Besucher feierten eine geradezu wuchernde Plattform der Plattformen. lesen

Juniper plant SD-WAN as a Service

Contrail-Lösung mit Managed-Cloud-Deployment-Option

Juniper plant SD-WAN as a Service

Juniper Networks will seine SD-WAN-Lösung nun auch als Cloud-basierten Dienst verfügbar machen. Das skalierbare Angebot solle Vorzüge von Software-Defined Networking (SDN) in Zweigstellen bringen, Sicherheitslösungen integrieren und die WLAN-Lösungen des übernommen Anbieters Mist Systems einbinden. lesen

Die Cloud-nativen Highlights des ersten Quartals

Neues rund um Kubernetes

Die Cloud-nativen Highlights des ersten Quartals

Wen Tech-Innovationen interessieren, der muss die Cloud Native Community im Auge behalten, deren wesentlicher Akteur die Cloud Native Computing Foundation (CNCF) mit mittlerweile über 375 Mitgliedern ist. Erfreulich, dass hier zahlreiche Companies und Startups auch aus dem deutschsprachigen Raum dabei sind und die Community vorantreiben. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46052901 / Definitionen)