Meshes

A tela Meshes mostra a listagem de meshes que estão presentes em seus clusters e que podem ser gerenciados pelo Sensedia Service Mesh.

Um mesh gerenciável se caracteriza como um namespace de um cluster Kubernetes com label do Istio habilitada.

Quando uma label do Istio é habilitada, proxies são injetadas nos pods de serviços. Isso é feito por meio do comando kubectl label namespace <namespace> istio-injection=enabled.

Você pode ler mais sobre isso na documentação do Istio.

Listagem de meshes

Os meshes gerenciáveis são exibidos em cards na tela Meshes, como o deste exemplo:

Cada card mostra o nome do mesh/namespace e sua descrição, informa se o mesh está saudável ou não (healthy ou unhealthy), a quantidade de pods, e o status — que pode ser provisionado (provisioned), não-gerenciado (unmanaged) ou com erro (error).

Um mesh não estará saudável se houver alguma configuração do Istio errada ou algum pod estiver com problemas.

Caso tenha ocorrido algum erro interno ao configurar o Mesh, ele estará com o status error.

Um mesh estará com status de provisionado quando tiver atuação da Sensedia. Um mesh visível mas sem atuação aparecerá como unmanaged. Para provisionar meshes, você deve acessar a tela de edição (veja abaixo).

Além dessas informações, os cards contêm os seguintes botões de ação:

, para editar o mesh (leia mais sobre isso abaixo);
, que leva à página Services;
, que leva à página Graph;
, que leva à página Tracing.

Visualizando um mesh

Ao clicar sobre o nome de um mesh em um card, você será levado à página de visualização do mesh, como a do exemplo abaixo:

No topo direito da tela, há os seguintes botões:

EDIT MESH direciona o usuário para a tela de edição do mesh. Veja mais sobre isso abaixo.
direciona o usuário para a tela Graph com o mesh atual já selecionado no campo de filtragem.
direciona o usuário para a tela Tracing com o mesh atual já selecionado no campo de filtragem.

Além disso, a tela contém quatro abas para informações e configurações:

Services

A aba SERVICES exibe os serviços que compõem o mesh.

Para cada serviço, é possível visualizar o seu nome (coluna NAME), sua saúde (healthy ou unhealthy, coluna HEALTH), sua quantidade de pods (coluna POD QTY) e a data e hora em que foi criado (coluna CREATED AT).

Se você clicar sobre o nome de um serviço, será direcionado à página Services, com visualização de detalhes do serviço e possibilidade de inserir políticas.

Mesh Authentication

A aba MESH AUTHENTICATION permite configurar autenticação para todos os serviços do mesh. Isso delimita a autenticação que deverá ser feita pelo cliente para que possa realizar requisições aos serviços do mesh.

Se você ainda não houver configurado a opção, a aba conterá o botão CONFIGURE AUTHENTICATION, como neste exemplo:

Um mesh pode ter apenas uma regra de autenticação. Se já houver uma configuração salva, você poderá editá-la clicando no botão icon edit ou excluí-la pelo botão icon delete (vide imagem abaixo).

Os campos a serem preenchidos quando uma configuração for criada ou editada são:

Name: o usuário deve escolher um nome para a configuração.
Audiences: campo selecionável a partir do que for inserido no campo Issuer. Não é obrigatório selecionar uma audience, mas se uma for selecionada, deverá constar no token do cliente.
Issuer: campo para inserir o endereço do provedor de OpenId Connect.
JKWS URI: endereço para obter as chaves JWKS.
EXCLUDED PATHS: campo para selecionar os paths que não requererão autenticação.
INCLUDED PATHS: campo para selecionar os paths que requererão autenticação.

Configurando autenticação para o mesh

Após as configurações terem sido salvas, será necessário que o cliente se autentique no issuer inserido para poder fazer requisições aos serviços do mesh.

Mesh Security

A aba Mesh Security contém um único botão: CHANGE SECURITY SETTINGS:

Ao clicar sobre ele, é possível marcar a opção que estabelece que a comunicação entre os serviços do mesh é por padrão desautorizada. Nesse caso, qualquer comunicação entre serviços só será permitida se houver uma política específica configurada para cada serviço a ser disponibilizado.

A opção deve ser marcada para que as políticas de autorização no âmbito de serviços sejam utilizadas ( serviço desejado aba AUTHORIZATION).

Metadata

A aba METADATA exibe as versões do Istio, Jaeger e Kiali utilizadas no mesh:

É necessário ter Istio, Jaeger e Kiali instalados para que o mesh seja gerenciado pelo Sensedia Service Mesh.

Editando um mesh

O botão EDIT MESH na visualização de um mesh direciona o usuário para a tela de edição.

O ícone

no card de um mesh (na tela inicial de listagem) leva à mesma tela de edição.

Os campos editáveis são:

Description: campo de descrição não obrigatório, mas recomendável para melhor identificar o mesh.
Host: campo para cadastrar a URL à qual o mesh responderá. Ou seja, é a porta de entrada para o mesh.

Quando o host é cadastrado, o status do mesh se torna Provisioned.

TLS CONFIGURATION: as configurações de TLS desta tela se referem ao gateway do mesh, ou seja, dizem respeito à autenticação necessária de cliente e servidor para que requisições externas sejam feitas ao mesh.
- None: a opção deve ser selecionada para expor o mesh por HTTP. Nesse caso, nenhum campo precisa ser preenchido.
- TLS: opção para expor o mesh por HTTPS.
- mTLS: modo opcional de autenticação no TLS no qual as duas partes se autenticam ao mesmo tempo. Ou seja, enquanto o protocolo TLS comprova a identidade do servidor para o cliente, o mutual TLS (mTLS) comprova também a identidade do cliente para o servidor.
  - Se TLS ou mTLS forem selecionados, será necessário inserir o valor do credentialName configurado nas opções do Istio (que é igual à secret do ingress gateway).

Campos para edição de um mesh

Thanks for your feedback!

EDIT

How useful was this article to you?