Service Mesh for Enterprises / Cloud Native Days Tokyo 2019

©2019 VMware, Inc.
エンタープライズが
求めるサービスメッシュとは？
進藤資訓 (@motonori_shindo)
ヴイエムウェア株式会社
CTO, North Asia
2019.07.22

©2019 VMware, Inc. 2
分散した多様なアプリケーション
クラウドネイティブなアプリケーションアーキテクチャ
MOBILE APP
WEB APP
API Gateway
REST API
WEB UI
WEB
Service
A
Service
B
Service
C
REST API
REST API
REST API
Service
D
REST API
• イノベーション
• 伸縮性
• 耐障害性

アプリケーションの近代化とプラットフォームの進化
• コンテナの管理
• パッケージング
• デリバリ
• 実行
• 開発者志向
• コンテナのオーケストレーション
• クラスタ
• 自己修復性
• スケーリング
• アップグレード
• 運用者志向
?

マイクロサービス化によって顕在化してくる新たな課題
アプリケーションの
プラットフォームや
クラウドごとにサイロ化
スケール、セキュリティ
担保、モニタリングする
ポイントが多数に
セキュリティポリシーや
ログの一貫性を保つのが困難
多言語サポートによる
コードの肥大化と
複雑性の増大
Enterprise PKS

マイクロサービスによる “デススター”
Source: https://hackernoon.com/capture-and-forward-correlation-ids-through-different-lambda-event-sources-220c227c65f5

サービスメッシュ
接続性制御セキュリティオブザーバビリ
ティ

コントロールプレーン
一般的なサービスメッシュの構成
サービス A
ビジネス
ロジック
サイドカー
サービス B
基本的なネット
ワーク機能
ビジネス
ロジック
サイドカー
基本的なネット
ワーク機能
データプレーン

コントロールプレーン
データプレーン
主なサービスメッシュの実装
※一部、分類しにくいものあり

Istio / Envoy
Google、IBM、Lyft らによって開発されたサービスメッシュシステム
Envoy は Kubernetes, Prometheus に続き 3番目に CNCF を「卒業」
機能
• トラフィック制御
– サービスディスカバリ
– ロードバランシング
• セキュリティ
– 認証
– アクセス制御
– 暗号化
• オブザーバビリティ

Control Plane
Istio アーキテクチャ
Service A
Proxy
MixerAdapter
Pilot Galley Citadel
Adapter
Source: https://istio.io/docs/concepts/what-is-istio/
Service B
Proxy
HTTP/1.1, HTTP/2,
gRPC or TCP --
with or without
mTLS
Configuration
data to proxies Configuration
data
TLS certificate
to proxies
Policy checks,
telemetry

エンタープライズクラスのサービスメッシュ
理想的なソリューション
US-WEST の
データセンター
DUS-EAST の
データセンター
Pivotal の PCFVMware ベースの
クラウド
パブリッククラウド
マルチプラットフォーム、
マルチクラウドな
フェデレーション
アプリケーション
コードの変更不要
集中的な可視化と
監視機能
サービスとデータに
対するグローバルな
ポリシー
Google KE
Azure KS
Enterprise PKS

ビジネスをより効率的に
VMware の NSX ポートフォリオを拡張
物理ネットワーク: データセンター内の物理ス
イッチ、ルータ、LB間の接続性を提供（IPアド
レス、ポート、プロトコル）
ネットワーク仮想化: VM、コンテナ、ベアメタル
間のセキュリティ、自動化、アプリケーションの
継続性（セルフサービスや DR など）を提供
サービスメッシュ: クラウドネイティブなアプリ
ケーションにおけるユーザ、サービス、データ間
の通信に可視化、制御、セキュリティを提供
(NSX Service Mesh)
アプリケーションプラットフォーム
(VMware PKS / Kubernetes)
物理インフラストラクチャ
スイッチ、ルータ
ネットワーク仮想化
(NSX Data Center)
アプリケーションプラットフォーム:
コンテナ化されたアプリケーションやクラスタの
デプロイ、管理、運用

VMware が提供するエンタープライズ向け Service Mesh
NSX Service Mesh (NSX-SM)
サービス
データ
ユーザー
ディスカバリモニタリングコントロールセキュリティ
Enterprise PKS

段階的アップグレードの制御
段階的に新しいアプリを
リリースをする -- カナリア、
ブルー/グリーンなど
調子の良くないバージョンを
止めたり、ワンクリックで
ロールバックをする
トラフィックルール、SLO ポ
リシー、リカバリーなどを含ん
だデプロイメント指示
ポリシーによる段階的なアプリ
ケーションのデプロイ
– より安定的なデプロイとリス
クの軽減
カナリアリリースのためのトラフィック振り分け
SvcB-Pod1
SvcB-Pod2
SvcB-Pod3
SvcB-Pod4
現在バージョン
カナリアバージョン
SvcA
98%
2%

アプリケーションの SLO ポリシー
トラフィック量、遅延、使用率、
飽和率、エラーなどのしきい値
による SLO の定義
サービス、インフラストラク
チャ、およびユーザーに対する
SLO ポリシー
Policies ユーザーが異変に
気付く前に自動的に
修復プロセスを実行
Wavefront にメトリックを
出力し、より高度な分析を行う
正常でないサービスインスタンスの自動修復
SvcB-Pod1
SvcB-Pod2
SvcB-Pod3
SvcA
正常でないインスタンス
正常でないインスタンスをロード
バランスのプールとレジストリか
ら削除。正常なインスタンスを自
動的にオートスケール
> 125 ms

エンドツーエンドのデータ中心のセキュリティ
アプリケーションユーザーの
コンテクストにもとづいた
ABAC ポリシー
サブジェクト、環境変数、
アクション、リソースなどの
属性を考慮
ユーザーとアプリケーションの
挙動を監視し、
不正なアクセス検出
コンプライアンスのために
監査ログを出力
重要なデータへのアクセスを防止
DB
Pod
Service
C
Web
APP
不正なリクエスト
1. アクセスを拒否
2. セキュリティ管理者
にアラートをあげる
3. SIEM にログ出力
Web UI

通信の暗号化
authn/z による柔軟な暗号化
ポリシーによる通信の保護と
データプライバシーの保護
サービス間およびユーザー〜
サービス間の暗号化
自動的な鍵と証明書の管理
実行データの暗号化による
コンプライアンスの実現
複数のクラスタやクラウドに
またがった相互運用性
透過的な相互認証 TLS による暗号化
Service
B
Service
A
mTLS
ID
Egress
Proxy
ID
Ingress
Proxy
ID
mTLS mTLS
ID

エンタープライズが本格的にアプリケーションをマイクロサービス化して運用していくためには、
サービスメッシュは必要不可欠
サービスメッシュとしては Istio が事実上のデファクトとなっている
NSX Service Mesh は Istio をベースにしつつ、サービスだけでなく、ユーザーやデータを
扱うことができ、複数のプラットフォーム上のサービスメッシュのフェデレーションが可能
本日のポイント

Service Mesh for Enterprises / Cloud Native Days Tokyo 2019

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Service Mesh for Enterprises / Cloud Native Days Tokyo 2019

Similar to Service Mesh for Enterprises / Cloud Native Days Tokyo 2019 (20)

More from Motonori Shindo

More from Motonori Shindo (18)

Recently uploaded

Recently uploaded (14)

Service Mesh for Enterprises / Cloud Native Days Tokyo 2019

Editor's Notes