:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/c6/77/c6778a56d0b6c6c4f0cd541bf8f87286/0115365909.jpeg "Die Linux-Kernel-Technologie eBPF hilft, Transparenz in die Kommunikation von Kubernetes-Clustern zu bringen. (Bild: <a href=https://unsplash.com/photos/background-pattern-GSiEeoHcNTQ>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/56/88/5688ec566e2eaf918ab513c5e250d0d2/0114682045.jpeg "Allie AI kann neue Datenbestände automatisch dokumentieren und geeignete Data Stewards vorschlagen. (Bild: Alation)")
:quality(80)/p7i.vogel.de/wcms/d8/42/d842e974aba302d38084f99665d5d62b/0115384258.jpeg "API-Sicherheit ist heute Chefsache. CISOs müssen mit den Entwicklerteams den Grundstein für eine sichere IT-Infrastruktur legen und dafür eine Security Policy aufsetzen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/6d/a26d6b9b81ed85fae9f94b4893ab44d3/0115643756.jpeg "Der Cyber Resilience Act soll die Besonderheiten in der Entwicklung von Open-Source-Projekten berücksichtigen. (© Duncan Andison - adobe.stock.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/66/7a66a7339fb3df4f3b74358ae8157182/0111426638.jpeg "Mit Hilfe der Cast-Cloud-Applikation können Anwender ihre Software modernisieren, sicherer und umweltfreundlicher gestalten. (Bild: Cast Software)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/fe/d2/fed27eb813d94f3512c74fee8380567d/0114893074.jpeg "Codeberg bietet Git-Hosting und andere Services für freie und quelloffene Software, Inhalte und Projekte an. (Bild: Codeberg)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Machine Identity Management als Schlüssel Sichere Bereitstellung eines Service Mesh
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Service-Mesh-Technologien helfen dabei, komplexe Kubernetes-Umgebungen effizienter zu steuern. Doch eine entsprechende Infrastrukturschicht erfordert ein gewisses Maß an Vorbereitung, damit es später nicht zu Performance- und Sicherheitsproblemen kommt.
Trotz des makroökonomischen Gegenwinds bleibt das Potenzial der digitalen Transformation ungebrochen. Tatsächlich bieten Cloud-Projekte in Zeiten schwieriger wirtschaftlicher Bedingungen dringend benötigte Möglichkeiten für effizientes Wachstum, Produktivitätssteigerungen und größere Agilität. Kubernetes hat sich als Schlüsselkomponente dieser Initiativen herausgestellt, da Cloud-Plattform-Teams mehrere Cluster in Multi-Cloud-Umgebungen einsetzen.
Doch die daraus resultierende Komplexität hat den Bedarf an einer verbesserten Governance erhöht. Hier kommen Service-Meshes wie Istio zum Tragen. Aber es ist nicht einfach, dieses Versprechen zu erfüllen. Es erfordert eine sorgfältige Planung, fachkundige Anleitung und den Einsatz von Cloud-agnostischen Tools für die Verwaltung von Maschinenidentitäten.
Vorstellung von Service Mesh
Die Nutzung von Kubernetes hat im Jahr 2022 noch zugenommen. Daten aus diesem Jahr zeigen, dass eine Rekordzahl von 96 Prozent der Unternehmen die Technologie entweder nutzt oder evaluiert, gegenüber 83 Prozent im Jahr 2020 und 78 Prozent im Jahr 2019. Aber auch die Art und Weise, wie Unternehmen die Technologie in Projekten einsetzen, hat sich weiterentwickelt.
Mit dem Aufbau von Clustern über verschiedene Clouds hinweg wird die Notwendigkeit der Überwachung jedoch immer akuter. Service-Meshes sind eine immer häufiger genutzte Option. Sie fungieren als separate Infrastrukturebene über Kubernetes-Clustern und bieten mehrere Netzwerkkonnektivitäts- und sicherheitsbezogene Funktionen für diese Cluster.
Dazu gehört mutual TLS (mTLS) für eine transparente Verschlüsselung von Service zu Service mit TLS-Zertifikaten. Dies ermöglicht es, dass die gesamte Kommunikation zwischen Workloads miteinander kommunizieren kann, ohne dass es zu Problemen kommt.
Da der gesamte Datenverkehr durch das Service Mesh fließt, ist eine genauere Beobachtung möglich – einschließlich der Rückverfolgbarkeit von Pod-zu-Pod-Anfragen und Leistungseinblicken. Die Benutzer profitieren außerdem von mehr Bereitstellungsoptionen, der Anpassung des Datenverkehrs und der Unterbrechung von Verbindungen, z. B. in Situationen, in denen Pods nicht miteinander kommunizieren können.
Es gibt zwar mehrere Service-Mesh-Anbieter, aber Istio und Linkerd sind heute vielleicht die bekanntesten. Als transparentes, sprachunabhängiges Framework bieten sie alle Service-Mesh-Vorteile wie einheitliche Beobachtung, Traffic-Management und richtliniengesteuerte Sicherheit – und erledigen damit eine Aufgabe, für die andernfalls mehrere Einzellösungen erforderlich wären.
Hindernisse bei der Implementierung von Istio
Während diese Vorteile unbestreitbar sind, gibt es auch die Herausforderungen, die mit der Implementierung von Istio oder jeder anderen Service-Mesh-Architektur einhergehen. Dies kann viele Unternehmen abschrecken, denen die Zeit, das Geld und die internen Fähigkeiten zur Unterstützung solcher Projekte fehlen.
Eine Schwierigkeit liegt in den Sidecars: Jeder Pod hat einen Hauptanwendungscontainer und einen Sidecar-Container, der den Service-Mesh-Proxy enthält – das ist die geheime Zutat, die es Organisationen ermöglicht, alle Service-Mesh-Vorteile zu nutzen, da der Netzwerkverkehr vom Anwendungscontainer des Pods dorthin geleitet wird.
Sidecars verursachen jedoch zusätzliche Latenzzeiten und beanspruchen CPU- und Speicherressourcen, was im großen Maßstab ein großes Problem darstellen kann. Selbst wenn jedes Sidecar nur fünf MB Arbeitsspeicher und 0,1 CPU beansprucht, würde dies, multipliziert mit 100.000 Pods, einen enormen Ressourcenverbrauch bedeuten. Istio, das den Open-Source-Proxy Envoy als Sidecar verwendet, ist dafür besonders anfällig.
Linkerd hat sich für die Entwicklung eines eigenen, leichteren, auf Rust basierenden Proxy-Sidecars entschieden und überzeugende Untersuchungen vorgelegt, die zeigen, dass die Auswirkungen auf die Latenzzeit und der Ressourcenverbrauch deutlich geringer sind. Als stillschweigendes Eingeständnis der Einschränkungen ihres Sidecar-Proxy-Ansatzes hat Istio die Vorschau von „Ambient Mesh“ angekündigt, dass einen knotenbasierten Proxy bereitstellt, der einige der zuvor von Envoy bereitgestellten Funktionen übernimmt.
Es wurden große Fortschritte gemacht, um die Bereitstellung von Istio und Service-Meshes im Allgemeinen zu vereinfachen, aber es ist immer noch unglaublich komplex, Verbindungsprobleme zu beheben und die Architektur zu konfigurieren, insbesondere in großen Umgebungen. Es gibt auch unbeabsichtigte betriebliche Probleme, die durch mTLS verursacht werden. Obwohl es mit HTTP-Verkehr gut funktioniert, wird mTLS bei TCP-Traffic problematischer - zum Beispiel, wenn ein Pod mit einer Datenbank kommunizieren muss.
Einstieg leicht gemacht, aber die Vorbereitung ist wichtig
Die Wahrheit ist, dass Kubernetes für den Nutzer mit einer enorm steilen Lernkurve einhergeht. Fügt man ein Service-Mesh hinzu, wird die Kurve nur noch steiler. Als Erstes muss eine Liste der Ziele erstellt werden, die das Unternehmen mit einem Service-Mesh erreichen möchte, und es müssen Prioritäten gesetzt werden.
Die Cloud-Plattform-Teams müssen zunächst entscheiden, wofür es verwendet werden soll: hauptsächlich mTLS und Nord-Süd- oder Ost-West-Eingangsgateways? Darüber hinaus müssen sie sich überlegen, wie es benutzt werden soll, wenn ein Pod mit einem externen Dienst kommunizieren muss – z. B. mit einer Datenbank, die sich nicht im selben Cluster befindet. Wie wird der Datenverkehr verschlüsselt, falls gewünscht? Wie sollen die Richtlinien für das Routing des Datenverkehrs aussehen?
Auch die Verwaltung der Maschinenidentität sollte berücksichtigt werden. Jede Service-Mesh-Kontrollebene verfügt über eine Komponente, die sich mit der Zertifikatsverwaltung befasst. Bei der Installation der Steuerebene wird eine Stammzertifizierungsstelle (CA) für jeden Cluster erstellt, die von dieser CA signierte Zertifikate generiert.
Eine selbstsignierte Stammzertifizierungsstelle ist jedoch sicherlich nicht die beste Praxis, insbesondere in stark regulierten Sektoren wie Finanzdienstleistungen. Für Unternehmen, die mehrere Servicemeshes (und selbstsignierte Stammzertifizierungsstellen) in Betrieb haben, vervielfacht sich das Problem. Unternehmen müssen auch bedenken, dass Pods eine relativ kurze Lebensdauer haben und jeder einzelne sein eigenes Zertifikat benötigt.
Selbstsignierte Zertifikate bieten nicht die Sichtbarkeit und Kontrolle, die Sicherheitsteams benötigen. Sie werden nicht von einer öffentlich vertrauenswürdigen Zertifizierungsstelle unterzeichnet, können nicht widerrufen werden und laufen nie ab. All dies sind Warnsignale für das Thema Sicherheit.
Teams, die es mit Best Practices in Sachen Sicherheit ernst meinen, müssen daher nach einer Cloud-unabhängigen, automatisierten Methode suchen, um den gesamten Prozess der Identitätsausstellung und des Lebenszyklusmanagements zu verwalten – unter Verwendung einer Kontrollebene für clusterübergreifende Transparenz und Konfiguration. Tools wie cert-manager und Jetstack Secure helfen dabei, die Sicherheit und Transparenz zu gewährleisten, die Unternehmen in ihren Service Meshes benötigen, und gleichzeitig das Compliance-Risiko zu minimieren und Entwicklerzeit freizusetzen.
Fazit
Die maschinelle Identität ist bei Weitem nicht das einzige Hindernis auf dem Weg zu einer effektiven Service-Mesh-Implementierung, aber sie ist ein wichtiger Schritt. Mit der richtigen professionellen Anleitung und einem sorgfältig geplanten Ansatz können Unternehmen bei ihren digitalen Transformationsprojekten große Schritte machen.
* Steve Judd ist Solutions Architect bei Venafi.
(ID:49032464)
:quality(80)/p7i.vogel.de/wcms/dc/8d/dc8d9b3e23bc5bb6a8323b67991445df/0110203970.jpeg "Die mit Microservices verbundene Fragmentierung von Anwendungen führt zwangsläufig zu neuen Sicherheitsrisiken und einer größeren Angriffsfläche. (Bild: <a href=https://pixabay.com/users/thedigitalartist-202249/>Pete Linforth</a>)")
:quality(80)/p7i.vogel.de/wcms/bb/5a/bb5ab7fc4cb3fdc00916162e749ee93f/0112804200.jpeg "Cilium ist eine quelloffene, Cloud-native Lösung auf Basis der Kernel-Technologie eBPF. (Bild: <a href=https://cilium.io>Cilium.io</a>)")