Anthos Service Mesh の使用

Apigee ハイブリッドバージョン 1.8 以降、Apigee ハイブリッドは Apigee Ingress ゲートウェイを使用して、ハイブリッドインストール用の Ingress ゲートウェイを提供します。Anthos Service Mesh を上り（内向き）用に使用する場合は、次の手順でクラスタに Anthos Service Mesh をインストールします。

サポートされている Anthos Service Mesh のバージョン

ハイブリッドバージョン 1.8 でサポートされる Anthos Service Mesh のバージョンについては、Apigee ハイブリッドでサポートされるプラットフォームをご覧ください。

ハイブリッドインストールをアップグレードする場合は、Anthos Service Mesh のアップグレードの説明に従ってください。

Anthos Service Mesh をインストールする

以下の手順は、Apigee Ingress ゲートウェイを使用していない場合に限り、新規の Apigee ハイブリッドインストールで実施してください。

この操作は、使用しているプラットフォームに適した Anthos Service Mesh のドキュメントを使用して行ってください。

Anthos Service Mesh をインストールして構成する手順は、プラットフォームによって異なります。プラットフォームは、次のカテゴリに分類されます。

GKE: Google Cloud で実行されている Google Kubernetes Engine クラスタ。
Google Cloud 以外: 次の場所で実行されている Anthos clusters。
- Anthos clusters on VMware（GKE On-Pprem）
- Anthos on bare metal
- Anthos clusters on AWS
- Amazon EKS
その他の Kubernetes プラットフォーム: 以下で作成され、実行される正規のクラスタ。
- AKS
- EKS
- OpenShift

GKE

Anthos Service Mesh のインストール手順は次のとおりです。

インストールの準備をします。
新しいバージョンの Anthos Service Mesh をインストールします。

Anthos Service Mesh のインストールを準備する

Anthos Service Mesh のアップグレードの要件を確認します。ただし、まだアップグレードは行わないでください。

新しい overlay.yaml ファイルを作成するか、既存の overlay.yaml に次の内容が含まれていることを確認します。

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  components:
    ingressGateways:
    - name: istio-ingressgateway
      enabled: true
      k8s:
        nodeSelector:
          # default node selector, if different or not using node selectors, change accordingly.
          cloud.google.com/gke-nodepool: apigee-runtime
        resources:
          requests:
            cpu: 1000m
        service:
          type: LoadBalancer
          loadBalancerIP: STATIC_IP # If you do not have a reserved static IP, leave this out.
          ports:
            - name: http-status-port
              port: 15021
            - name: http2
              port: 80
              targetPort: 8080
            - name: https
              port: 443
              targetPort: 8443
  meshConfig:
    accessLogFormat:
      '{"start_time":"%START_TIME%","remote_address":"%DOWNSTREAM_DIRECT_REMOTE_ADDRESS%","user_agent":"%REQ(USER-AGENT)%","host":"%REQ(:AUTHORITY)%","request":"%REQ(:METHOD)% %REQ(X-ENVOY-ORIGINAL-PATH?:PATH)% %PROTOCOL%","request_time":"%DURATION%","status":"%RESPONSE_CODE%","status_details":"%RESPONSE_CODE_DETAILS%","bytes_received":"%BYTES_RECEIVED%","bytes_sent":"%BYTES_SENT%","upstream_address":"%UPSTREAM_HOST%","upstream_response_flags":"%RESPONSE_FLAGS%","upstream_response_time":"%RESPONSE_DURATION%","upstream_service_time":"%RESP(X-ENVOY-UPSTREAM-SERVICE-TIME)%","upstream_cluster":"%UPSTREAM_CLUSTER%","x_forwarded_for":"%REQ(X-FORWARDED-FOR)%","request_method":"%REQ(:METHOD)%","request_path":"%REQ(X-ENVOY-ORIGINAL-PATH?:PATH)%","request_protocol":"%PROTOCOL%","tls_protocol":"%DOWNSTREAM_TLS_VERSION%","request_id":"%REQ(X-REQUEST-ID)%","sni_host":"%REQUESTED_SERVER_NAME%","apigee_dynamic_data":"%DYNAMIC_METADATA(envoy.lua)%"}'

Anthos Service Mesh ドキュメントの次のセクションにある手順を実施します。
重要: この手順に沿って、オプション機能を使用して Anthos Service Mesh をアップグレードしてください。また、overlay.yaml を含めてください。
1. asmcli をダウンロードする
2. クラスタ管理者の権限を付与する
3. プロジェクトとクラスタを検証する
4. オプション機能を使用してアップグレードする。「Gateway をアップグレードする」には、まだ進まないでください。

Google Cloud 以外

ここでは、Anthos Service Mesh のアップグレードについて説明します。

Anthos clusters on VMware（GKE on-prem）
Anthos on bare metal
Anthos clusters on AWS
Amazon EKS

Anthos Service Mesh のインストール手順は次のとおりです。

インストールの準備をします。
新しいバージョンの Anthos Service Mesh をインストールします。

Anthos Service Mesh のインストールを準備する

Anthos Service Mesh のアップグレードの要件を確認します。ただし、まだアップグレードは行わないでください。

新しい overlay.yaml ファイルを作成するか、既存の overlay.yaml に次の内容が含まれていることを確認します。

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:  
  components:
    ingressGateways:
    - name: istio-ingressgateway
      enabled: true
      k8s:
        nodeSelector:
          # default node selector, if different or not using node selectors, change accordingly.
          cloud.google.com/gke-nodepool: apigee-runtime
        resources:
          requests:
            cpu: 1000m
        service:
          type: LoadBalancer
          loadBalancerIP: STATIC_IP # If you do not have a reserved static IP, leave this out.
          ports:
            - name: http-status-port
              port: 15021
            - name: http2
              port: 80
              targetPort: 8080
            - name: https
              port: 443
              targetPort: 8443
  values:
    gateways:
      istio-ingressgateway:
        runAsRoot: true

  meshConfig:
    accessLogFormat:
      '{"start_time":"%START_TIME%","remote_address":"%DOWNSTREAM_DIRECT_REMOTE_ADDRESS%","user_agent":"%REQ(USER-AGENT)%","host":"%REQ(:AUTHORITY)%","request":"%REQ(:METHOD)% %REQ(X-ENVOY-ORIGINAL-PATH?:PATH)% %PROTOCOL%","request_time":"%DURATION%","status":"%RESPONSE_CODE%","status_details":"%RESPONSE_CODE_DETAILS%","bytes_received":"%BYTES_RECEIVED%","bytes_sent":"%BYTES_SENT%","upstream_address":"%UPSTREAM_HOST%","upstream_response_flags":"%RESPONSE_FLAGS%","upstream_response_time":"%RESPONSE_DURATION%","upstream_service_time":"%RESP(X-ENVOY-UPSTREAM-SERVICE-TIME)%","upstream_cluster":"%UPSTREAM_CLUSTER%","x_forwarded_for":"%REQ(X-FORWARDED-FOR)%","request_method":"%REQ(:METHOD)%","request_path":"%REQ(X-ENVOY-ORIGINAL-PATH?:PATH)%","request_protocol":"%PROTOCOL%","tls_protocol":"%DOWNSTREAM_TLS_VERSION%","request_id":"%REQ(X-REQUEST-ID)%","sni_host":"%REQUESTED_SERVER_NAME%","apigee_dynamic_data":"%DYNAMIC_METADATA(envoy.lua)%"}'

Anthos Service Mesh ドキュメントの次のセクションにある手順を実施します。
重要: この手順に沿って、オプション機能を使用して Anthos Service Mesh をアップグレードしてください。また、overlay.yaml を含めてください。
1. asmcli をダウンロードする
2. クラスタ管理者の権限を付与する
3. プロジェクトとクラスタを検証する
4. オプション機能を使用してアップグレードする。「Gateway をアップグレードする」には、まだ進まないでください。

AKS / EKS

Anthos Service Mesh のインストールの準備

Linux

Anthos Service Mesh インストールファイルを現在の作業ディレクトリにダウンロードします。

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-linux-amd64.tar.gz

署名ファイルをダウンロードし、OpenSSL を使用して署名を検証します。

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-linux-amd64.tar.gz.1.sig

openssl dgst -verify /dev/stdin -signature istio-1.13.9-asm.10-linux-amd64.tar.gz.1.sig istio-1.13.9-asm.10.tar.gz <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

ファイルシステム上の任意の場所にファイルの内容を抽出します。たとえば、現在の作業ディレクトリに内容を抽出するには、次のコマンドを実行します。

tar xzf istio-1.13.9-asm.10-linux-amd64.tar.gz

このコマンドにより、現在の作業ディレクトリに istio-1.13.9-asm.10 という名前のインストールディレクトリが作成されます。このディレクトリには、次のものが含まれます。

samples ディレクトリにあるサンプルアプリケーション。
Anthos Service Mesh のインストールに使用する istioctl コマンドラインツールは、bin ディレクトリにあります。
Anthos Service Mesh 構成プロファイルは manifests/profiles ディレクトリにあります。

Anthos Service Mesh インストールのルートディレクトリに移動していることを確認します。

cd istio-1.13.9-asm.10

利便性を考えて、/bin ディレクトリ内のツールを PATH に追加します。

export PATH=$PWD/bin:$PATH

Mac OS

Anthos Service Mesh インストールファイルを現在の作業ディレクトリにダウンロードします。

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-osx.tar.gz

署名ファイルをダウンロードし、OpenSSL を使用して署名を検証します。

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-osx.tar.gz.1.sig

openssl dgst -sha256 -verify /dev/stdin -signature istio-1.13.9-asm.10-osx.tar.gz.1.sig istio-1.13.9-asm.10.tar.gz <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

tar xzf istio-1.13.9-asm.10-osx.tar.gz

samples ディレクトリにあるサンプルアプリケーション。
Anthos Service Mesh のインストールに使用する istioctl コマンドラインツールは、bin ディレクトリにあります。
Anthos Service Mesh 構成プロファイルは manifests/profiles ディレクトリにあります。

Anthos Service Mesh インストールのルートディレクトリに移動していることを確認します。

cd istio-1.13.9-asm.10

利便性を考えて、/bin ディレクトリ内のツールを PATH に追加します。

export PATH=$PWD/bin:$PATH

Windows

Anthos Service Mesh インストールファイルを現在の作業ディレクトリにダウンロードします。

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-win.zip

署名ファイルをダウンロードし、OpenSSL を使用して署名を検証します。

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-win.zip.1.sig

openssl dgst -verify - -signature istio-1.13.9-asm.10-win.zip.1.sig istio-1.13.9-asm.10.win.zip <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

tar xzf istio-1.13.9-asm.10-win.zip

samples ディレクトリにあるサンプルアプリケーション。
Anthos Service Mesh のインストールに使用する istioctl コマンドラインツールは、bin ディレクトリにあります。
Anthos Service Mesh 構成プロファイルは manifests\profiles ディレクトリにあります。

Anthos Service Mesh インストールのルートディレクトリに移動していることを確認します。

cd istio-1.13.9-asm.10

利便性を考えて、\bin ディレクトリ内のツールを PATH に追加します。

set PATH=%CD%\bin:%PATH%

Anthos Service Mesh Istio がインストールされているので、istioctl のバージョンを確認します。
```
istioctl version
```
コントロールプレーンコンポーネント用に istio-system という Namespace を作成します。
```
kubectl create namespace istio-system
```

Anthos Service Mesh のインストール

overlay.yaml ファイルを編集するか、次の内容の新しいファイルを作成します。

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  meshConfig:
    accessLogFile: /dev/stdout
    enableTracing: true
    accessLogFormat:
      '{"start_time":"%START_TIME%","remote_address":"%DOWNSTREAM_DIRECT_REMOTE_ADDRESS%","user_agent":"%REQ(USER-AGENT)%","host":"%REQ(:AUTHORITY)%","request":"%REQ(:METHOD)% %REQ(X-ENVOY-ORIGINAL-PATH?:PATH)% %PROTOCOL%","request_time":"%DURATION%","status":"%RESPONSE_CODE%","status_details":"%RESPONSE_CODE_DETAILS%","bytes_received":"%BYTES_RECEIVED%","bytes_sent":"%BYTES_SENT%","upstream_address":"%UPSTREAM_HOST%","upstream_response_flags":"%RESPONSE_FLAGS%","upstream_response_time":"%RESPONSE_DURATION%","upstream_service_time":"%RESP(X-ENVOY-UPSTREAM-SERVICE-TIME)%","upstream_cluster":"%UPSTREAM_CLUSTER%","x_forwarded_for":"%REQ(X-FORWARDED-FOR)%","request_method":"%REQ(:METHOD)%","request_path":"%REQ(X-ENVOY-ORIGINAL-PATH?:PATH)%","request_protocol":"%PROTOCOL%","tls_protocol":"%DOWNSTREAM_TLS_VERSION%","request_id":"%REQ(X-REQUEST-ID)%","sni_host":"%REQUESTED_SERVER_NAME%","apigee_dynamic_data":"%DYNAMIC_METADATA(envoy.lua)%"}'
  components:
    ingressGateways:
    - name: istio-ingressgateway
      enabled: true
      k8s:
        service:
          type: LoadBalancer
          ports:
          - name: status-port
            port: 15021
            targetPort: 15021
          - name: http2
            port: 80
            targetPort: 8080
          - name: https
            port: 443
            targetPort: 8443

asm-multicloud プロファイルを使用して、istioctl を使用して Anthos Service Mesh をインストールします。
```
istioctl install \
    --set profile=asm-multicloud \
    --set revision="asm-1139-10" \
    --filename overlay.yaml
```
出力は次のようになります。
```
kubectl get pods -n istio-system
NAME                                   READY   STATUS    RESTARTS   AGE
istio-ingressgateway-88b6fd976-flgp2   1/1     Running   0          3m13s
istio-ingressgateway-88b6fd976-p5dl9   1/1     Running   0          2m57s
istiod-asm-1139-10-798ffb964-2ls88       1/1     Running   0          3m21s
istiod-asm-1139-10-798ffb964-fnj8c       1/1     Running   1          3m21s
```
--set revision 引数は、istio.io/rev=asm-1139-10 形式のリビジョンラベルを istiod に追加します。リビジョンラベルは、自動サイドカーインジェクタ Webhook によって使用され、挿入されたサイドカーを特定の istiod リビジョンに関連付けます。Namespace のサイドカー自動挿入を有効にするには、istiod のラベルと一致するリビジョンのラベルを付ける必要があります。

インストールが完了したことを確認します。

kubectl get svc -n istio-system

出力は次のようになります。

NAME                   TYPE           CLUSTER-IP       EXTERNAL-IP     PORT(S)                                                                      AGE
istio-ingressgateway   LoadBalancer   172.200.48.52    34.74.177.168   15021:30479/TCP,80:30030/TCP,443:32200/TCP,15012:32297/TCP,15443:30244/TCP   3m35s
istiod                 ClusterIP      172.200.18.133   <none>          15010/TCP,15012/TCP,443/TCP,15014/TCP                                        4m46s
istiod-asm-1139-10       ClusterIP      172.200.63.220   <none>          15010/TCP,15012/TCP,443/TCP,15014/TCP                                        3m43s

OpenShift

Anthos Service Mesh のインストールの準備

新しいバージョンをインストールする前に、現在のリビジョンを確認します。現在の Anthos Service Mesh インストールから検証 Webhook と変更 Webhook を削除するには、この情報が必要です。現在の istiod リビジョンを環境変数に格納するには、次のコマンドを使用します。
```
export DELETE_REV=$(kubectl get deploy -n istio-system -l app=istiod -o jsonpath={.items[*].metadata.labels.'istio\.io\/rev'}'{"\n"}')
echo $DELETE_REV
```
出力は 1.12.9-asm.2 のようになります。

注: 複数の値が返される場合は、DELETE_REV の値を最も古いバージョンに設定し、手順を沿って最も古いバージョンを削除します。すべてのバージョンを削除するまで処理を続行できません。

Linux

次の OpenShift CLI（oc）コマンドを使用して、anyuid セキュリティコンテキスト制約（SCC）を istio-system に付与します。

oc adm policy add-scc-to-group anyuid system:serviceaccounts:istio-system

Anthos Service Mesh インストールファイルを現在の作業ディレクトリにダウンロードします。

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-linux-amd64.tar.gz

署名ファイルをダウンロードし、OpenSSL を使用して署名を検証します。

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-linux-amd64.tar.gz.1.sig

openssl dgst -verify /dev/stdin -signature istio-1.13.9-asm.10-linux-amd64.tar.gz.1.sig istio-1.13.9-asm.10.tar.gz <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

tar xzf istio-1.13.9-asm.10-linux-amd64.tar.gz

samples ディレクトリにあるサンプルアプリケーション。
Anthos Service Mesh のインストールに使用する istioctl コマンドラインツールは、bin ディレクトリにあります。
Anthos Service Mesh 構成プロファイルは manifests/profiles ディレクトリにあります。

Anthos Service Mesh インストールのルートディレクトリに移動していることを確認します。

cd istio-1.13.9-asm.10

利便性を考えて、/bin ディレクトリ内のツールを PATH に追加します。

export PATH=$PWD/bin:$PATH

Mac OS

次の OpenShift CLI（oc）コマンドを使用して、anyuid セキュリティコンテキスト制約（SCC）を istio-system に付与します。

oc adm policy add-scc-to-group anyuid system:serviceaccounts:istio-system

Anthos Service Mesh インストールファイルを現在の作業ディレクトリにダウンロードします。

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-osx.tar.gz

署名ファイルをダウンロードし、OpenSSL を使用して署名を検証します。

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-osx.tar.gz.1.sig

openssl dgst -sha256 -verify /dev/stdin -signature istio-1.13.9-asm.10-osx.tar.gz.1.sig istio-1.13.9-asm.10.tar.gz <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

tar xzf istio-1.13.9-asm.10-osx.tar.gz

samples ディレクトリにあるサンプルアプリケーション。
Anthos Service Mesh のインストールに使用する istioctl コマンドラインツールは、bin ディレクトリにあります。
Anthos Service Mesh 構成プロファイルは manifests/profiles ディレクトリにあります。

Anthos Service Mesh インストールのルートディレクトリに移動していることを確認します。

cd istio-1.13.9-asm.10

利便性を考えて、/bin ディレクトリ内のツールを PATH に追加します。

export PATH=$PWD/bin:$PATH

Windows

次の OpenShift CLI（oc）コマンドを使用して、anyuid セキュリティコンテキスト制約（SCC）を istio-system に付与します。

oc adm policy add-scc-to-group anyuid system:serviceaccounts:istio-system

Anthos Service Mesh インストールファイルを現在の作業ディレクトリにダウンロードします。

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-win.zip

署名ファイルをダウンロードし、OpenSSL を使用して署名を検証します。

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-win.zip.1.sig

openssl dgst -verify - -signature istio-1.13.9-asm.10-win.zip.1.sig istio-1.13.9-asm.10.win.zip <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

tar xzf istio-1.13.9-asm.10-win.zip

samples ディレクトリにあるサンプルアプリケーション。
Anthos Service Mesh のインストールに使用する istioctl コマンドラインツールは、bin ディレクトリにあります。
Anthos Service Mesh 構成プロファイルは manifests\profiles ディレクトリにあります。

Anthos Service Mesh インストールのルートディレクトリに移動していることを確認します。

cd istio-1.13.9-asm.10

利便性を考えて、\bin ディレクトリ内のツールを PATH に追加します。

set PATH=%CD%\bin:%PATH%

Anthos Service Mesh Istio がインストールされているので、istioctl のバージョンを確認します。
```
istioctl version
```
コントロールプレーンコンポーネント用に istio-system という Namespace を作成します。
```
kubectl create namespace istio-system
```

検証 Webhook を構成する

Anthos Service Mesh をインストールするときに、istiod にリビジョンラベルを設定します。検証 Webhook に同じリビジョンを設定する必要があります。

次の内容のファイルを istiod-service.yaml という名前で作成します。

apiVersion: v1
kind: Service
metadata:
  name: istiod
  namespace: istio-system
  labels:
    istio.io/rev: asm-1139-10
    app: istiod
    istio: pilot
    release: istio
spec:
  ports:
    - port: 15010
      name: grpc-xds # plaintext
      protocol: TCP
    - port: 15012
      name: https-dns # mTLS with k8s-signed cert
      protocol: TCP
    - port: 443
      name: https-webhook # validation and injection
      targetPort: 15017
      protocol: TCP
    - port: 15014
      name: http-monitoring # prometheus stats
      protocol: TCP
  selector:
    app: istiod
    istio.io/rev: asm-1139-10
  meshConfig:
    accessLogFormat:
      '{"start_time":"%START_TIME%","remote_address":"%DOWNSTREAM_DIRECT_REMOTE_ADDRESS%","user_agent":"%REQ(USER-AGENT)%","host":"%REQ(:AUTHORITY)%","request":"%REQ(:METHOD)% %REQ(X-ENVOY-ORIGINAL-PATH?:PATH)% %PROTOCOL%","request_time":"%DURATION%","status":"%RESPONSE_CODE%","status_details":"%RESPONSE_CODE_DETAILS%","bytes_received":"%BYTES_RECEIVED%","bytes_sent":"%BYTES_SENT%","upstream_address":"%UPSTREAM_HOST%","upstream_response_flags":"%RESPONSE_FLAGS%","upstream_response_time":"%RESPONSE_DURATION%","upstream_service_time":"%RESP(X-ENVOY-UPSTREAM-SERVICE-TIME)%","upstream_cluster":"%UPSTREAM_CLUSTER%","x_forwarded_for":"%REQ(X-FORWARDED-FOR)%","request_method":"%REQ(:METHOD)%","request_path":"%REQ(X-ENVOY-ORIGINAL-PATH?:PATH)%","request_protocol":"%PROTOCOL%","tls_protocol":"%DOWNSTREAM_TLS_VERSION%","request_id":"%REQ(X-REQUEST-ID)%","sni_host":"%REQUESTED_SERVER_NAME%","apigee_dynamic_data":"%DYNAMIC_METADATA(envoy.lua)%"}'

kubectl を使用して検証 Webhook 構成を適用します。
```
kubectl apply -f istiod-service.yaml
```

構成が適用されたことを確認します。

kubectl get svc -n istio-system

レスポンスは次のようになります。

NAME     TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)                                 AGE
istiod   ClusterIP   172.200.18.133   <none>        15010/TCP,15012/TCP,443/TCP,15014/TCP   22s

Anthos Service Mesh のインストール

overlay.yaml ファイルを編集するか、次の内容の新しいファイルを作成します。

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  meshConfig:
    accessLogFile: /dev/stdout
    enableTracing: true
    accessLogFormat:
      '{"start_time":"%START_TIME%","remote_address":"%DOWNSTREAM_DIRECT_REMOTE_ADDRESS%","user_agent":"%REQ(USER-AGENT)%","host":"%REQ(:AUTHORITY)%","request":"%REQ(:METHOD)% %REQ(X-ENVOY-ORIGINAL-PATH?:PATH)% %PROTOCOL%","request_time":"%DURATION%","status":"%RESPONSE_CODE%","status_details":"%RESPONSE_CODE_DETAILS%","bytes_received":"%BYTES_RECEIVED%","bytes_sent":"%BYTES_SENT%","upstream_address":"%UPSTREAM_HOST%","upstream_response_flags":"%RESPONSE_FLAGS%","upstream_response_time":"%RESPONSE_DURATION%","upstream_service_time":"%RESP(X-ENVOY-UPSTREAM-SERVICE-TIME)%","upstream_cluster":"%UPSTREAM_CLUSTER%","x_forwarded_for":"%REQ(X-FORWARDED-FOR)%","request_method":"%REQ(:METHOD)%","request_path":"%REQ(X-ENVOY-ORIGINAL-PATH?:PATH)%","request_protocol":"%PROTOCOL%","tls_protocol":"%DOWNSTREAM_TLS_VERSION%","request_id":"%REQ(X-REQUEST-ID)%","sni_host":"%REQUESTED_SERVER_NAME%","apigee_dynamic_data":"%DYNAMIC_METADATA(envoy.lua)%"}'
  components:
    ingressGateways:
      - name: istio-ingressgateway
        enabled: true
        k8s:
          service:
            type: LoadBalancer
            ports:
            - name: status-port
              port: 15021
              targetPort: 15021
            - name: http2
              port: 80
              targetPort: 8080
            - name: https
              port: 443
              targetPort: 8443

asm-multicloud プロファイルを使用して、istioctl を使用して Anthos Service Mesh をインストールします。
```
istioctl install \
    --set profile=asm-multicloud \
    --set revision="asm-1139-10" \
    --filename overlayfile.yaml
```
出力は次のようになります。
```
kubectl get pods -n istio-system
NAME                                   READY   STATUS    RESTARTS   AGE
istio-ingressgateway-88b6fd976-flgp2   1/1     Running   0          3m13s
istio-ingressgateway-88b6fd976-p5dl9   1/1     Running   0          2m57s
istiod-asm-1139-10-798ffb964-2ls88       1/1     Running   0          3m21s
istiod-asm-1139-10-798ffb964-fnj8c       1/1     Running   1          3m21s
```
--set revision 引数は、istio.io/rev=1.6.11-asm.1 形式のリビジョンラベルを istiod に追加します。リビジョンラベルは、自動サイドカーインジェクタ Webhook によって使用され、挿入されたサイドカーを特定の istiod リビジョンに関連付けます。Namespace のサイドカー自動挿入を有効にするには、istiod のラベルと一致するリビジョンのラベルを付ける必要があります。

インストールが完了したことを確認します。

kubectl get svc -n istio-system

出力は次のようになります。

NAME                   TYPE           CLUSTER-IP       EXTERNAL-IP     PORT(S)                                                                      AGE
istio-ingressgateway   LoadBalancer   172.200.48.52    34.74.177.168   15021:30479/TCP,80:30030/TCP,443:32200/TCP,15012:32297/TCP,15443:30244/TCP   3m35s
istiod                 ClusterIP      172.200.18.133   <none>          15010/TCP,15012/TCP,443/TCP,15014/TCP                                        4m46s
istiod-asm-1139-10       ClusterIP      172.200.63.220   <none>          15010/TCP,15012/TCP,443/TCP,15014/TCP                                        3m43s