Google服務網格控制平面Traffic Director，現可簡單配置gRPC服務間的安全通訊

Google更新gRPC無代理服務，解決微服務間通訊的安全痛點，開發者透過Traffic Director控制平面，就夠簡單配置gRPC服務，以TLS/mTLS建立服務之間的安全通訊。

gRPC（General-purpose Remote Procedure Calls）是一個由Google發起的開源遠端程序呼叫框架，建立在HTTP/2協定之上，並且使用protobuf作為序列化和反序列化機制，支援各種使用案例和部署模型，能夠用於後端服務間的通訊，或是不同客戶端存取GCP服務的通訊，由於gRPC支援多語言環境，因此能夠讓像是Java客戶端，跟由Go語言編寫的伺服器溝通。

gRPC在現今的微服務架構中，扮演重要的角色，當大型單體應用程式分解成較小的微服務時，單體應用程式元件之間的程序內呼叫，便需要轉變成微服務之間的網路呼叫，而gRPC讓這件事變簡單。在去年的時候，Google更新gRPC無代理服務，讓用戶可以讓gRPC客戶端能夠處理和實作流量管理和負載平衡策略，並且還正式支援Traffic Director作為控制平面。

但是要讓gRPC網路呼叫和程序內呼叫一樣安全是個挑戰，而TLS/mTLS便能派上用場，最新版本的gRPC讓開發者可以配置政策，以加密服務到服務的通訊。Google新提出的解決方案，克服了服務之間的安全性痛點，包括在客戶端和伺服器上管理和安裝證書，或是從可信的CA綁定身份和發布證書，甚至是輪替證書等。

Google提到，在基礎設施中提供工作負載身份、CA和證書管理等功能，同時工作負載函式庫也在服務網格通訊中，利用這些設施來提供服務到服務的TLS/mTLS和身份驗證，這將能大幅節省開發人員和管理員的時間。現在用戶可以使用Traffic Director配置gRPC服務，在服務之間以自動化的方式，建立安全性功能，只需要在客戶端和伺服器配置安全政策，Traffic Director就能夠將其發布到服務中。

使用這項Google新提供的安全功能，用戶就可以替網格中所有服務，快速提供金鑰和證書，而金鑰和證書也會自動輪替，因此增加了整體安全性，同時還與GKE整合，並且能和以Envoy為基礎的服務網格無縫互通，像是服務可以位在Envoy代理之後，但是客戶端卻使用gRPC無代理服務網格。

Google還會繼續更新gRPC無代理服務，增加服務到服務間通訊的身份驗證功能，並且支援其他部署模型，讓gRPC除了在GKE運作，還能在Compute Engine等服務上執行。