支招！如何解决基于微服务架构应用的安全性和

（Secure Service Mesh）

该架构使得Lightning ADC（数据平面组件）轻量化并可在Kubernetes环境中部署，而 Harmony控制器则负责管理功能。

Ingress控制器与Ingress 资源相配合，使用Harmony 的API自动创建应用。它还可以创建负载均衡及内容交换规则，配置应用交付和安全策略，并将应用连接到Lightning ADC集群。Ingress控制器还可负责监控应用服务容器，并通过Harmony控制器将任何变更传达给Lightning ADC，使得ADC配置和基础设施始终保持同步。

Lightning ADC将作为Kubernetes Daemonset部署。随着流量增长及更多节点被添加到 Kubernetes集群，A10 Lightning ADC集群也会随之自动增长。新的ADC实例自动会与 Harmony控制器连接，以获取配置信息，并准备好处理流量，无需任何手动配置。

Kubernetes提供了简单的方法来扩展节点、Pod、服务等。此外，它还会持续监控正在运行的容器，并在发现容器出现故障时用新容器来替换故障容器。因此，服务容器的IP地址不断变化。而这种动态环境带来的问题就是，当应用服务希望彼此通信时，它们可能不知道正在运行服务的当前IP地址集。

安全服务网格自动跟踪动态 Kubernetes 环境中微服务的IP地址变化，促进微服务之间的通信。

Lightning ADC可以配置为拦截流经微服务之间的流量（也称为东西流量）。一旦流量开始通过Lightning ADC，适当的安全策略（根据微分段配置）将应用于此流量。微分段可实现微服务的彼此隔离并单独保护它们。其目的是让安全性更加精细化。

由于应用服务容器的 IP 地址可能会随着时间而自动更改，因此访问策略是基于服务标签而非IP地址。

这款解决方案在流量离开节点边界时能够自动对其进行加密，并在将其传输到微服务之前在目标节点上对其进行解密，从而实现增强的SSL安全性，而无需对应用进行任何更改。

在类似于Kubernetes的弹性分布式环境中，单独管理各个ADC是一项主要挑战。借助 Harmony控制器，对各项配置进行维护就变得非常简单，因为该控制器允许在逻辑应用层定义配置，并智能地将其推送至适当的ADC实例。此外，所有管理和分析功能都通过称为 Harmony API的REST API予以公开。这在优化应用交付功能时实现了高度自动化。

在传统的ADC环境中，对应用层流量的可见性很低或根本不存在，因此很难收集解决问题所需的数据。A10 ADC可实时收集 各项指标并将其推送至交付可执行洞察的分析引擎，这为用户提供了可用于调优其应用和基础设施的情报，加快故障排除速度。

• 为Kubernetes中部署的微服务提供创新的第4层至第7层功能，包括流量管理、高级弹性负载均衡，以及安全性和分析。

• 允许对南北流量和东西流量进行流量微分段和细粒度策略应用。

• 持CI/CD应用环境的蓝绿(Blue-Green)部署/Canary部署。

• 提高运营效率，减少繁琐任务并降低风险。
  

  Lightning ADC 对东西流量和南北流量执行安全策略

   

   

  A10 Harmony控制器

  • 为多云环境中的安全应用服务提供管理、编排和分析。

  • 收集、分析和报告流经ADC的流量，并提供每个服务的可见性、分析和警报。

  • 使IT能够自动化应用服务的部署和运营，从而提高运营敏捷性，简化分布式服务的管理，缩短故障排除时间并降低总体拥有成本。
    

    Harmony 控制器提供的分析示例

     

     

    A10 Ingress控制器

    • 监控应用服务容器和Ingress资源，如果发生任何变化， 通知Harmony控制器立即与 Lightning ADC同步。

     

     

    为在KUBERNETES环境中部署的应用提供出色的应用交付和安全性

     

     

     

    除了操作简单、优异的微服务性能以及对所有应用流量的详尽可见性和分析外，A10安全服务网格还为部署在Kubernetes环境中的应用提供应用层安全。

     

    安全功能涵盖南北流量和东西流量。可执行洞察和出色的故障排除功能可大限度地减少在Kubernetes环境中进行应用交付管理的负担。

（Secure Service Mesh）