Documente Academic
Documente Profesional
Documente Cultură
avanzadas en
GCP
Istio Deep Dive
Eduardo Rosales
https://www.linkedin.com/in/erosdz
Introducción
Arquitectura basadas en
Microservicios.
Ventajas:
● Modularidad.
● Escalabilidad.
● Resiliencia.
● Multitecnología
Inconvenientes.
Desventajas:
● Enrutamiento.
● Tolerancia a fallos.
● Latencia.
● Descubrimiento.
● Trazabilidad distribuida.
● Seguridad.
¿Qué es una malla de
servicios (Service Mesh)?
01
Podemos considerar un “Service Mesh” como una
infraestructura de software dedicada a manejar
arquitectura de microservicios.
Patrón de arquitectura: sidecar
El contenedor sidecar funciona como proxy, e implementa las funcionalidades comunes como
proxy, firewall, autenticación, monitoreo, comunicaciones entre servicios, etc, dejando los
microservicios libres para enfocarse en su funcionalidad específica.
Arquitectura de Istio
Plano de Datos:
Corresponde a los sidecar-proxies (Envoy) que se
ejecutarán en conjunto con cada pieza de la
aplicación interceptando su tráfico de entrada y
salida.
Plano de Control:
Se encargada de gestionar y configurar en los
proxies las reglas de enrutado, políticas de
seguridad… A esta parte corresponden piezas
como Pilot, Mixer…
Arquitectura de la App Music
Reglas de Despliegue:
Política de Canary, A/B, GreenBlue
reintento,
timeout
Escribe aquí tu texto Escribe aquí tu texto Escribe aquí tu texto Escribe aquí tu
texto Escribe aquí tu texto Escribe aquí tu texto Escribe aquí tu texto Escribe
aquí tu texto Escribe aquí tu texto.
Cuantos errores y
que tipos por
segundo
Cúal es la
latencia? Acceso a
servicios externos
Herramientas y Aplicaciones
Cloud Code
ignacio.aguirre@globant.com
GLOBANT
Chile Uruguay
Argentina
14
OUR
STUDIOS
15
PCI DSS 3.2
https://es.pcisecuritystandards.org/_onelink_/pcisecurity/en2es/minisite/en/docs/PCI_DSS_v3-2_es-LA.pdf
1. Instale y mantenga una configuración de firewall para proteger los datos del titular de la tarjeta.
2. No usar los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y
otros parámetros de seguridad.
3. Proteja los datos del titular de la tarjeta que fueron almacenados
4. Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas.
5. Proteger todos los sistemas contra malware y actualizar los programas o software antivirus
regularmente.
6. Desarrollar y mantener sistemas y aplicaciones seguros
7. Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la
empresa.
8. Identificar y autenticar el acceso a los componentes del sistema.
9. Restringir el acceso físico a los datos del titular de la tarjeta.
10. Rastree y supervise todos los accesos a los recursos de red y a los datos del titular de la tarjeta
11. Probar periódicamente los sistemas y procesos de seguridad.
12. Mantener una política que aborde la seguridad de la información para todo el personal
16
ARQUITECTURA
External
Customer Payment
Payment Processor
Requests
HTTPS
Application Network
Logging BigQuery
Monitoring
17
AISLAMIENTO
┃ Firewalls.
○ Puerto, IP origen y destino
○ 0.0.0.0/0
┃ Enrutamiento.
○ Rangos mínimos en IP destino
○ Solo rutas específicas
18
CONTROL
ACCESOS
┃ Consola.
○ Grupos G Suite
┃ Sistemas Operativo.
○ os-login
┃ Aplicativos de Gestión.
○ Usuarios G Suite
┃ Bases de Datos.
○ Eliminar root
○ Solo cuentas de servicio
┃ Buckets.
○ Eliminar herencia
○ Solo cuentas de servicio
19
SECRETOS
┃ KMS.
Kubernetes
┃ Buckets.
Engine
┃ Automatización de inyección.
Key Management
Compute
Engine
Service
Cloud
Storage
20
LOGGING, ALERTING AND
MONITORING
┃ Login y Logout.
○ Consola, SO, Aplicativos, Bases de Datos.
○ Login audit log (G Suite) to Stackdriver.
┃ Stackdriver + BigQuery.
○ Stackdriver Monitoring agent.
○ Stackdriver Logging agent.
○ Logs-based metrics.
21
GOBIERNO
┃ Billing.
┃ Inventario.
┃ Procedimientos.
22
PREGUNTAS
23
Disaster Recovery Cloud
con GCP
Contenido
Situación Actual
Conceptos clave
Disaster Recovery
RTO-RPO
High Availability
Tolerance Failure
Responsabilidad compartida
Patrones de recuperación de desastre (DR)
Factores Clave
Situación actual
Situación Actual
Situación Actual
Situación Actual
Situación Actual
DRP / HA / FT
High availability
High Availability (HA)
ZONE A ZONE A
Autoscaling Autoscaling
Cloud Load
Balancing
ZONE B ZONE B
Autoscaling Autoscaling
Failure Tolerance
Failure Tolerance (FT)
ZONE A ZONE A
Content Server Content Server
Compute Engine Compute Engine
Autoscaling Autoscaling
Cloud Load Cloud Load
Balancing Balancing
ZONE B ZONE B
Content Server Content Server
Compute Engine Compute Engine
Autoscaling Autoscaling
DRP
Disaster Recovery (DR)
● El DRP es un procedimiento.
Region XYQ
Standard
zone XYZ
Devices
Instance Group
Cloud Load Compute Engine Master
Balancing Cloud SQL
Web Applications
Region DR
2.- Existe un ambiente en otra región pero se encuentra apagado, no existe réplica de datos.
Region XYQ
Standard
zone XYZ
Devices
Instance Group
Cloud Load Compute Engine Master
Balancing Cloud SQL
Web Applications
Region DR
zone XYZ
Instance Group
Compute Engine Slave
Cloud SQL
Web Applications
3.- Existe un ambiente en otra región pero se encuentra apagado, con una réplica activa.
Region XYQ
Standard
zone XYZ
Devices
Instance Group
Cloud Load Compute Engine Master
Balancing Cloud SQL
Web Applications
Region DR
zone XYZ
Instance Group
Compute Engine Slave
Cloud SQL
Web Applications
4.- Existe un ambiente activo con todos los componentes de infraestructura creados, réplica de datos activa.
Region XYQ
Standard
zone XYZ
Devices
Instance Group
Cloud Load Compute Engine Master
Balancing Cloud SQL
Web Applications
Region XYQ
zone XYZ
Instance Group
Compute Engine Master
Cloud SQL
Web Applications
Factores clave
Factores clave