(資料圖)

VMware Tanzu Service Mesh提供聯合 Istio 服務，為企業客戶帶來核心開源項目之外的重要價值，提高應用程序安全性、彈性和多云運營。

啟用此附加值的 Tanzu 服務網格的主要構造是全局命名空間 （GNS） 的概念。GNS 允許平臺運營商和開發人員使用 Tanzu Service Mesh 連接應用程序服務，而無需指定（甚至不知道）任何底層基礎設施詳細信息，因為所有網格操作（包括路由、入口規則、目的地規則、服務條目等）都由 GNS 自動完成。借助這種抽象的強大功能，應用程序微服務可以在任何地方、任何 Kubernetes 集群、任何站點和任何云中“存在”，允許團隊根據應用程序和組織要求（而不是基礎架構限制）做出放置決策。這種更高級別的抽象提供了完全自動化的服務網格操作和應用程序服務之間的安全連接，無論它們是在單個 Kubernetes 集群中還是在多個集群中運行。

這個想法很簡單：在GNS（一種邏輯結構）中，您可以將編譯應用程序并需要在自己的“網格切片”中相互通信的服務分組。通過將服務分組到此“網格切片”中，您可以從任何底層基礎架構詳細信息中抽象應用程序，從而可以將服務網格功能（例如服務發現、mTLS 的身份服務、彈性和 HA 策略以及其他高級功能）應用于抽象的應用程序，而不是 Kubernetes 集群。

這種抽象和自動化使您能夠在任何地方“移動”、“擴展”或“突發”應用程序服務，而無需更改任何配置或代碼行。這確實將多云和混合云工作負載的想法變為現實，并且在單集群部署中也非常有用。

這一價值來自于這樣一個事實，即基于微服務的分布式應用程序需要前所未有的安全級別，因為它們通過網絡進行通信。Tanzu 服務網格為 GNS 提供了一組獨特的高級零信任安全性和合規性功能：

服務之間的端到端 mTLS 加密，不考慮集群、站點或云應用程序級別的微分段訪問策略API 控制和分段 – 通過控制 API 直至參數級別來記錄、分析和保護 APIPII 跟蹤和 DLP – 個人身份信息的數據泄露保護東西向威脅檢測 – 檢測并阻止任何連接上的 OWASP 10 和/或自定義攻擊特征，無論是南北還是東西

Tanzu 服務網格 GNS 中的零信任策略

請務必注意，這些高級安全功能在 GNS 中工作，而 Tanzu 服務網格維護端到端 mTLS 會話。

與往常一樣，演示是展示功能的最佳方式，因此我們準備了一個演示，引導您從創建 GNS 到應用上述高級安全策略。