Google服务网格控制平面Traffic Director，现可简单配置gRPC服务间的安全通讯

Google更新gRPC无代理服务，解决微服务间通讯的安全痛点，开发者透过Traffic Director控制平面，就够简单配置gRPC服务，以TLS/mTLS建立服务之间的安全通讯。

gRPC（General-purpose Remote Procedure Calls）是一个由Google发起的开源远端程序呼叫框架，建立在HTTP/2协定之上，并且使用protobuf作为序列化和反序列化机制，支援各种使用案例和部署模型，能够用于后端服务间的通讯，或是不同客户端存取GCP服务的通讯，由于gRPC支援多语言环境，因此能够让像是Java客户端，跟由Go语言编写的服务器沟通。

gRPC在现今的微服务架构中，扮演重要的角色，当大型单体应用程序分解成较小的微服务时，单体应用程序元件之间的程序内呼叫，便需要转变成微服务之间的网络呼叫，而gRPC让这件事变简单。在去年的时候，Google更新gRPC无代理服务，让用户可以让gRPC客户端能够处理和实作流量管理和负载平衡策略，并且还正式支援Traffic Director作为控制平面。

但是要让gRPC网络呼叫和程序内呼叫一样安全是个挑战，而TLS/mTLS便能派上用场，最新版本的gRPC让开发者可以配置政策，以加密服务到服务的通讯。Google新提出的解决方案，克服了服务之间的安全性痛点，包括在客户端和服务器上管理和安装证书，或是从可信的CA绑定身份和发布证书，甚至是轮替证书等。

Google提到，在基础设施中提供工作负载身份、CA和证书管理等功能，同时工作负载函式库也在服务网格通讯中，利用这些设施来提供服务到服务的TLS/mTLS和身份验证，这将能大幅节省开发人员和管理员的时间。现在用户可以使用Traffic Director配置gRPC服务，在服务之间以自动化的方式，建立安全性功能，只需要在客户端和服务器配置安全政策，Traffic Director就能够将其发布到服务中。

使用这项Google新提供的安全功能，用户就可以替网格中所有服务，快速提供金钥和证书，而金钥和证书也会自动轮替，因此增加了整体安全性，同时还与GKE整合，并且能和以Envoy为基础的服务网格无缝互通，像是服务可以位在Envoy代理之后，但是客户端却使用gRPC无代理服务网格。

Google还会继续更新gRPC无代理服务，增加服务到服务间通讯的身份验证功能，并且支援其他部署模型，让gRPC除了在GKE运作，还能在Compute Engine等服务上执行。