Execution Context
この統合設計では、IstioまたはLinkerdを用いて堅牢なサービスメッシュ層を構築し、分散システムにおけるトラフィックルーティング、認証、および監視を管理します。重点は、セキュアなサービス間通信に必要なメッシュの構成とポリシー適用メカニズムの定義に置かれています。この段階は、アプリケーションコードを変更することなく、共通の機能(cross-cutting concerns)を処理するサイドカープロキシを導入することで、モノリシックなアーキテクチャからマイクロサービスへの移行を促進します。
選択されたサービスメッシュのコントロールプレーン(IstioまたはLinkerd)を、専用のクラスタコンポーネントとしてデプロイし、メッシュインフラストラクチャの初期化を行います。
対象サービスに対してサイドカーインジェクションポリシーを設定し、自動的なプロキシ連携とトラフィック傍受機能を確保します。
mTLSポリシーと仮想サービスルートを定義し、セキュリティ境界を確立するとともに、ラベルまたはメタデータに基づいてトラフィックをルーティングします。
Operating Checklist
コントロールプレーンのクラスタを、適切なリソース制限とネットワークポリシーとともに初期化します。
サービスメッシュ特有のAdmission Controllerを定義し、自動サイドカー注入を実現します。
すべてのサービス間通信チャネルにおいて、mTLSによる相互認証ポリシーを設定してください。
メタデータに基づいて、トラフィックの分割とルーティングのロジックを定義するための仮想サービスルートを確立します。
Integration Surfaces
コントロールプレーンのデプロイメント
IstioまたはLinkerdのコントロールプレーンを、Helmチャートまたは公式のマニフェストを使用してインストールし、複数のゾーンにまたがる高可用性を確保してください。
サイドカーインジェクションポリシー
特定のネームスペースまたはサービスラベルに一致するすべてのポッドに、サイドカープロキシを注入するための、クラスター全体で適用されるアドミッションコントローラーを作成します。
トラフィックポリシー定義
仮想サービスと宛先ルールを実装し、トラフィックの流れを制御するとともに、ロードバランシングを適用し、サーキットブレーカー機能を有効にします。
