Eseguire l'upgrade di Apigee hybrid alla versione 1.8

Introduzione al gateway in entrata Apigee

A partire dalla versione 1.8, Apigee Hybrid offre una nuova funzionalità per gestire il gateway di ingresso per la tua installazione ibrida, Apigee ingress gateway. Anthos Service Mesh non è più un prerequisito per l'installazione ibrida. Con il gateway di ingresso Apigee, Apigee smetterà di fornire la configurazione di routing ad Anthos Service Mesh. Dopo l'upgrade, devi eseguire la migrazione del traffico al nuovo gateway di ingresso Apigee prima di poter iniziare a utilizzare la funzionalità.

Apigee utilizza un piccolo sottoinsieme di funzionalità di Anthos Service Mesh per il gateway di ingresso. A partire dalla versione ibrida 1.8, Apigee hybrid include un gateway di ingresso che viene installato e sottoposto ad upgrade nell'ambito degli upgrade di Apigee hybrid. Pertanto, non è necessario acquisire competenze su Anthos Service Mesh per installare, eseguire l'upgrade e gestire Apigee Hybrid. Problemi sulle versioni del gateway in entrata e sulla compatibilità con Apigee hybrid le release vengono gestite automaticamente.

Gli scenari per la migrazione sono due:

  • Migrazione multi-cluster o multiregionale (consigliata):

    Prima di passare a un nuovo Ingress per Apigee, scarica tutto il traffico su un altro cluster o regione dal cluster di cui stai eseguendo la migrazione. In questo modo, avrai il tempo di verificare se il nuovo gateway di ingresso Apigee funziona come previsto. Poi sposta di nuovo il traffico sul cluster sottoposto ad upgrade.

  • Upgrade in loco (non consigliato negli ambienti di produzione):

    Durante l'upgrade, Apigee attiverà il nuovo gateway di ingresso con un indirizzo IP specificato. Puoi quindi verificare se il nuovo gateway di ingresso Apigee funziona come previsto e poi spostare il traffico sul nuovo ingresso. Durante l'upgrade potrebbero verificarsi tempi di inattività.

Quando esegui l'upgrade di Apigee hybrid alla versione 1.8, devi configurare il gateway di ingresso Apigee nel file delle sostituzioni. Dopo l'upgrade, potrai controllare il tipo di traffico indirizzando i record A o CNAME del registrar all'indirizzo IP per il gateway Apigee in entrata o per Anthos Service Mesh.

Panoramica dell'upgrade alla versione 1.8.8

Le procedure per l'upgrade di Apigee hybrid sono organizzate nelle seguenti sezioni:

  1. Preparati all'upgrade.
  2. Installa il runtime ibrido versione 1.8.8.
  3. Per la porta di accesso, scegli una delle seguenti opzioni:

Prerequisito

Queste istruzioni per l'upgrade presuppongono che tu abbia installato Apigee hybrid 1.7.x o una release di patch precedente della versione 1.8.x e che tu voglia eseguire l'upgrade alla versione 1.8.8. Se esegui l'aggiornamento da una versione precedente consulta le istruzioni per Eseguire l'upgrade Apigee hybrid alla versione 1.7.

Se preferisci continuare a utilizzare Anthos Service Mesh, devi assicurarti che venga eseguito l'upgrade ad una versione supportata. Consulta la tabella Piattaforme supportate per le versioni supportate di Anthos Service Mesh.

Prepararsi all'upgrade alla versione 1.8

  1. Queste istruzioni utilizzano la variabile di ambiente APIGEECTL_HOME per la directory nel file system in cui hai installato apigeectl. Se necessario, cambia directory nella directory apigeectl e definisci la variabile con il seguente comando:

    Linux

    export APIGEECTL_HOME=$PWD
    echo $APIGEECTL_HOME

    Mac OS

    export APIGEECTL_HOME=$PWD
    echo $APIGEECTL_HOME

    Windows

    set APIGEECTL_HOME=%CD%
    echo %APIGEECTL_HOME%
  2. Crea una copia di backup della directory $APIGEECTL_HOME/ della versione 1.7. Ad esempio:
    tar -czvf $APIGEECTL_HOME/../apigeectl-v1.7-backup.tar.gz $APIGEECTL_HOME
  3. Esegui il backup del database Cassandra seguendo le istruzioni riportate in Backup e recupero di Cassandra

Aggiungi il ruolo Agente Cloud Trace all'account di servizio per il runtime Apigee. (facoltativo)

(Facoltativo) Se prevedi di utilizzare Cloud Trace e non hai ancora eseguito questo passaggio sull'installazione ibrida 1.7, assicurati che l'account di servizio per i servizi di runtime Apigee abbia il ruolo Google Agente Cloud Trace. (roles/cloudtrace.agent).

Per gli ambienti di produzione, in genere si tratta dell'account di servizio apigee-runtime. Per in ambienti non di produzione, di solito si tratta dell'account di servizio apigee-non-prod.

Puoi aggiungere il ruolo nell'interfaccia utente di Cloud Console > IAM & Amministrazione > Account di servizio o con i seguenti comandi:

  1. Ottieni l'indirizzo email del tuo account di servizio con il seguente comando:

    Produzione

    gcloud iam service-accounts list --filter "apigee-runtime"

    Se corrisponde al pattern apigee-runtime@$ORG_NAME.iam.gserviceaccount.com, puoi usare questo pattern nel passaggio successivo.

    Non prod

    gcloud iam service-accounts list --filter "apigee-non-prod"

    Se corrisponde al pattern apigee-non-prod@$ORG_NAME.iam.gserviceaccount.com, puoi usare questo pattern nel passaggio successivo.

  2. Assegna il ruolo Agente Cloud Trace all'account di servizio:

    Produzione

    gcloud projects add-iam-policy-binding $PROJECT_ID \
        --member="serviceAccount:apigee-runtime@$PROJECT_ID.iam.gserviceaccount.com" \
        --role="roles/cloudtrace.agent"

    Non prod

    gcloud projects add-iam-policy-binding $PROJECT_ID \
        --member="serviceAccount:apigee-non-prod@$PROJECT_ID.iam.gserviceaccount.com" \
        --role="roles/cloudtrace.agent"

    Esempio

    gcloud projects add-iam-policy-binding hybrid-example-project \
        --member="serviceAccount:apigee-runtime@hybrid-example-project.iam.gserviceaccount.com" \
        --role="roles/cloudtrace.agent"

    Dove: $PROJECT_ID è il nome del progetto Google Cloud in cui è installato Apigee Hybrid.

Prepararsi a installare il gateway di ingresso Apigee

Per installare il gateway in entrata Apigee nell'ambito dell'upgrade. Devi aggiungere seguo ingressGateways al file degli override.

Sintassi

ingressGateways:
- name: INGRESS_NAME
  replicaCountMin: REPLICAS_MIN
  replicaCountMax: REPLICAS_MAX
  resources:
    requests:
      cpu: CPU_COUNT_REQ
      memory: MEMORY_REQ
    limits:
      cpu: CPU_COUNT_LIMIT
      memory: MEMORY_LIMIT
  svcAnnotations:  # optional. See Known issue 243599452.
    SVC_ANNOTATIONS_KEY: SVC_ANNOTATIONS_VALUE
  svcLoadBalancerIP: SVC_LOAD_BALANCER_IP # optional

Esempio

ingressGateways:
- name: prod1
  replicaCountMin: 2
  replicaCountMax: 100
  resources:
    requests:
      cpu: 1
      memory: 1Gi
    limits:
      cpu: 2
      memory: 2Gi 
  • INGRESS_NAME è il nome del deployment in entrata. Può essere qualsiasi nome che soddisfi i seguenti requisiti:
    • Avere una lunghezza massima di 17 caratteri
    • Contenere solo caratteri alfanumerici minuscoli, "-" o "."
    • Deve iniziare con un carattere alfanumerico
    • Termina con un carattere alfanumerico

    Vedi ingressGateways[].name nel riferimento della proprietà di configurazione

  • REPLICAS_MIN e REPLICAS_MAX sono i conteggi delle repliche minimo e massimo per il gateway di ingresso Apigee nella tua installazione. Per ulteriori informazioni e impostazioni predefinite, consulta ingressGateways[].replicaCountMin e ingressGateways[].replicaCountMax nel riferimento alla proprietà Configuration.
  • CPU_COUNT_REQ e MEMORY_REQ sono le richieste di CPU e memoria per ogni replica del gateway di ingresso Apigee nella tua installazione.

    Per ulteriori informazioni e impostazioni predefinite, consulta ingressGateways[].resources.requests.cpu e ingressGateways[].resources.requests.memory nel riferimento alla proprietà Configuration.

  • CPU_COUNT_LIMIT e MEMORY_LIMIT I limiti massimi di CPU e memoria per ogni replica del gateway di ingresso Apigee nella tua installazione.

    Per ulteriori informazioni e impostazioni predefinite, vedi ingressGateways[].resources.limits.cpu e ingressGateways[].resources.limits.memory nel riferimento della proprietà di configurazione.

  • SVC_ANNOTATIONS_KEY e SVC_ANNOTATIONS_VALUE (facoltativo):

    Si tratta di una coppia chiave-valore che fornisce annotazioni per il servizio in entrata predefinito. Le annotazioni vengono utilizzate dalla piattaforma cloud per aiutarti a configurare l'installazione ibrida, ad esempio impostando il tipo di bilanciatore del carico su interno o esterno. Ad esempio:

    ingressGateways:
      svcAnnotations:
        networking.gke.io/load-balancer-type: "Internal"

    Le annotazioni variano da piattaforma a piattaforma. Fai riferimento alla documentazione della piattaforma per le annotazioni richieste e suggerite.

    Consulta ingressGateways[].svcAnnotations nel riferimento per le proprietà di configurazione.
  • SVC_LOAD_BALANCER_IP (facoltativo) Ti consente di assegnare un indirizzo IP statico per il bilanciatore del carico. Sulle piattaforme che supportano l'indicazione dell'indirizzo IP del bilanciatore del carico, il bilanciatore del carico verrà creato con questo indirizzo IP. Sulle piattaforme che non consentono di specificare indirizzo IP del bilanciatore del carico, questa proprietà viene ignorata.

    Se non hai allocato un indirizzo IP statico per il bilanciatore del carico, lascia questa proprietà al di fuori del file delle sostituzioni.

    Consulta ingressGateways[].svcLoadBalancerIP nel riferimento per le proprietà di configurazione.

Apporta ulteriori modifiche al file degli override per attivare o disattivare le funzionalità facoltative della versione 1.8

Aggiungi le seguenti proprietà al file overrides.yaml per attivare nuove funzionalità in ibrido v1.8. Queste funzionalità sono facoltative.

  • La funzione UDCA con ambito a livello di organizzazione ora è attiva per impostazione predefinita. L'utilizzo di un singolo deployment UDCA per gestire il traffico per tutti gli ambienti impedisce il sottoutilizzo dei pod UDCA e aumenta la disponibilità delle risorse dei nodi per altri componenti Apigee. L'UDCA con ambito a livello di organizzazione utilizza un singolo account di servizio per tutti gli ambienti, apigee-udca.

    Se utilizzi account di servizio diversi per UDCA in ambienti diversi, tieni presente che ora utilizzerà l'account di servizio specificato a livello di organizzazione negli override file con udca:serviceAccountPath, anziché quelli specificati a livello di ambiente con envs:udca:serviceAccountPath.

    Apigee hybrid versione 1.8 supporta le UDCA basate sull'ambiente. Per mantenere l'impostazione UDCA per ambiente, imposta orgScopedUDCA: false.

    Vedi orgScopedUDCA nella sezione Configurazione. di riferimento delle proprietà.

  • Abilita validateOrg per richiedere una convalida rigorosa che l'organizzazione Apigee e sono attivi e funzionano con il progetto Google Cloud Platform specificato overrides file.
    validateOrg: true

    Vedi validateOrg nella sezione Configurazione proprietà di riferimento.

Installazione del runtime ibrido 1.8.8

  1. Assicurati di essere nella directory di base ibrida (la directory principale in cui si trova il file eseguibile apigeectl):
    cd $APIGEECTL_HOME/..
  2. Scarica il pacchetto di release per il tuo sistema operativo utilizzando il seguente comando. Assicurati di selezionare la tua piattaforma nella tabella seguente:

    Linux

    Linux a 64 bit:

    curl -LO \
      https://storage.googleapis.com/apigee-release/hybrid/apigee-hybrid-setup/1.8.8/apigeectl_linux_64.tar.gz

    Mac OS

    Mac a 64 bit:

    curl -LO \
      https://storage.googleapis.com/apigee-release/hybrid/apigee-hybrid-setup/1.8.8/apigeectl_mac_64.tar.gz

    Windows

    Windows a 64 bit:

    curl -LO ^
      https://storage.googleapis.com/apigee-release/hybrid/apigee-hybrid-setup/1.8.8/apigeectl_windows_64.zip
  3. Rinomina la directory apigeectl/ attuale con il nome di una directory di backup. Ad esempio:

    Linux

    mv $APIGEECTL_HOME/ $APIGEECTL_HOME-v1.7/

    Mac OS

    mv $APIGEECTL_HOME/ $APIGEECTL_HOME-v1.7/ 

    Windows

    rename %APIGEECTL_HOME% %APIGEECTL_HOME%-v1.7 
  4. Estrai il contenuto del file gzip scaricato nella directory di base ibrida. La directory di base ibrida è la directory in cui si trova la directory apigeectl-v1.7 rinominata:

    Linux

    tar xvzf filename.tar.gz -C ./

    Mac OS

    tar xvzf filename.tar.gz -C ./

    Windows

    tar xvzf filename.zip -C ./
  5. Per impostazione predefinita, i contenuti tar vengono espansi in una directory con la versione e la piattaforma in il nome. Ad esempio: ./apigeectl_1.8.8-xxxxxxx_linux_64. Rinomina la directory in apigeectl utilizzando il seguente comando:

    Linux

    mv apigeectl_1.8.8-xxxxxxx_linux_64 apigeectl

    Mac OS

    mv apigeectl_1.8.8-xxxxxxx_mac_64 apigeectl

    Windows

    rename apigeectl_1.8.8-xxxxxxx_windows_64 apigeectl
  6. Passa alla directory apigeectl:
    cd ./apigeectl

    Questa directory è la home directory di apigeectl. È qui che si trova il comando eseguibile apigeectl.

  7. Queste istruzioni utilizzano la variabile di ambiente $APIGEECTL_HOME per la directory nel file system in cui è installata l'utilità apigeectl. Se necessario, cambia directory nella directory apigeectl e definisci la variabile con il seguente comando:

    Linux

    export APIGEECTL_HOME=$PWD
    echo $APIGEECTL_HOME

    Mac OS

    export APIGEECTL_HOME=$PWD
    echo $APIGEECTL_HOME

    Windows

    set APIGEECTL_HOME=%CD%
    echo %APIGEECTL_HOME%
  8. Verifica la versione di apigeectl con il comando version:
    ./apigeectl version
    Version: 1.8.8
  9. Passa alla directory hybrid-base-directory/hybrid-files. hybrid-files è la directory in cui i file di configurazione, come file di override, certificati e account di servizio, in cui si trovano. Ad esempio:
    cd $APIGEECTL_HOME/../hybrid-files
  10. Verifica che kubectl sia impostato sul contesto corretto utilizzando il seguente comando. Il contesto attuale deve essere impostato sul cluster in cui stai eseguendo l'upgrade di Apigee hybrid.
    kubectl config get-contexts | grep \*
  11. Nella directory hybrid-files:
    1. Aggiorna i seguenti link simbolici a $APIGEECTL_HOME. Questi link ti consentono di eseguire il comando apigeectl appena installato dall'interno Directory hybrid-files:
      ln -nfs $APIGEECTL_HOME/tools tools
      ln -nfs $APIGEECTL_HOME/config config
      ln -nfs $APIGEECTL_HOME/templates templates
      ln -nfs $APIGEECTL_HOME/plugins plugins
    2. Per verificare che i link simbolici siano stati creati correttamente, esegui il seguente comando e assicurati che i percorsi dei link rimandino alle posizioni corrette:
      ls -l | grep ^l
  12. Esegui un'inizializzazione di prova per verificare la presenza di errori:
    ${APIGEECTL_HOME}/apigeectl init -f OVERRIDES_FILE --dry-run=client

    Dove OVERRIDES_FILE è il nome del file di override, ad esempio ./overrides/overrides.yaml.

  13. Se non ci sono errori, inizializzare ibrido 1.8.8. Questo comando inoltre installa e configura il gateway in entrata Apigee:
    $APIGEECTL_HOME/apigeectl init -f OVERRIDES_FILE
  14. Controlla lo stato dell'inizializzazione:
    $APIGEECTL_HOME/apigeectl check-ready -f OVERRIDES_FILE

    Se l'esito è positivo, l'output dice: All containers ready.

    Per un ulteriore controllo, puoi anche eseguire questo comando per controllare lo stato di ApigeeDataStore:

    kubectl describe apigeeds -n apigee

    Nell'output, cerca State: running.

  15. Verifica la presenza di errori con una prova simulata del comando apply utilizzando il flag --dry-run:
    $APIGEECTL_HOME/apigeectl apply -f OVERRIDES_FILE --dry-run=client
  16. Se non sono presenti errori, applica le sostituzioni. Seleziona e segui le istruzioni per gli ambienti di produzione o per gli ambienti non di produzione, a seconda dell'installazione.

    Produzione

    Per gli ambienti di produzione, devi eseguire l'upgrade di ogni componente ibrida singolarmente e controllare lo stato del componente di cui è stato eseguito l'upgrade prima di procedere con il componente successivo.

    1. Assicurati di essere nella directory hybrid-files.
    2. Applica le sostituzioni per eseguire l'upgrade di Cassandra:
      $APIGEECTL_HOME/apigeectl apply -f OVERRIDES_FILE --datastore
    3. Verifica di completamento:
      $APIGEECTL_HOME/apigeectl check-ready -f OVERRIDES_FILE

      Procedi al passaggio successivo solo quando i pod sono pronti.

    4. Applica gli override per eseguire l'upgrade dei componenti di telemetria e verificare il completamento:
      $APIGEECTL_HOME/apigeectl apply -f OVERRIDES_FILE --telemetry
      $APIGEECTL_HOME/apigeectl check-ready -f OVERRIDES_FILE
    5. Visualizza i componenti Redis:
      $APIGEECTL_HOME/apigeectl apply -f OVERRIDES_FILE --redis
    6. Applica gli override per eseguire l'upgrade dei componenti a livello di organizzazione (MART, Watcher e Apigee) connettiti) e verifica il completamento:
      $APIGEECTL_HOME/apigeectl apply -f OVERRIDES_FILE --org
      $APIGEECTL_HOME/apigeectl check-ready -f OVERRIDES_FILE
    7. Applica le sostituzioni per eseguire l'upgrade degli ambienti. Hai a disposizione due opzioni:
      • Per ambiente: applica le sostituzioni a un ambiente alla volta e controlla il completamento. Ripeti questo passaggio per ogni ambiente:
        $APIGEECTL_HOME/apigeectl apply -f OVERRIDES_FILE --env ENV_NAME
        $APIGEECTL_HOME/apigeectl check-ready -f OVERRIDES_FILE

        dove ENV_NAME è il nome dell'ambiente di cui stai eseguendo l'upgrade.

      • Tutti gli ambienti contemporaneamente: applica le sostituzioni a tutti gli ambienti contemporaneamente e controlla il completamento:
        $APIGEECTL_HOME/apigeectl apply -f OVERRIDES_FILE --all-envs
        $APIGEECTL_HOME/apigeectl check-ready -f OVERRIDES_FILE
    8. Applica gli override per eseguire l'upgrade dei componenti virtualhosts e verificare il completamento:
      $APIGEECTL_HOME/apigeectl apply -f OVERRIDES_FILE --settings virtualhosts
      $APIGEECTL_HOME/apigeectl check-ready -f OVERRIDES_FILE

    Non prod

    Nella maggior parte degli ambienti di produzione, demo o sperimentali, puoi applicare le sostituzioni a tutti i componenti contemporaneamente. Se il tuo ambiente non di produzione è di grandi dimensioni e complesso o se rispecchia molto da vicino un ambiente di produzione, ti consigliamo di utilizzare le istruzioni per l'upgrade degli ambienti di produzione.

    1. Assicurati di essere nella directory hybrid-files.
    2. $APIGEECTL_HOME/apigeectl apply -f OVERRIDES_FILE
    3. Controlla lo stato:
      $APIGEECTL_HOME/apigeectl check-ready -f OVERRIDES_FILE

Esegui l'upgrade della versione di Kubernetes

Esegui l'upgrade della piattaforma Kubernetes alle versioni supportate da hybrid 1.8. Se hai bisogno di aiuto, consulta la documentazione della tua piattaforma.

Cambia il traffico da Anthos Service Mesh al gateway in entrata Apigee

Per trasferire il traffico al gateway in entrata Apigee:

  1. Esporre il gateway in entrata Apigee. Segui le procedure descritte in Esporre il gateway di ingresso Apigee.
  2. Testa il nuovo gateway di ingresso chiamando un proxy. Idealmente, testa tutti i proxy cruciali di cui hai eseguito il deployment.
  3. Per cambiare il traffico, aggiorna i record DNS in modo che puntino all'indirizzo IP del nuovo gateway in entrata Apigee. A seconda del tuo provider DNS, potresti essere in grado di spostare gradualmente il traffico sul nuovo endpoint. Suggerimento : puoi trovare l'indirizzo IP esterno del gateway Apigee in entrata con il seguente comando:
    kubectl get svc -n apigee -l app=apigee-ingressgateway

    L'output dovrebbe avere il seguente aspetto:

    NAME                                        TYPE           CLUSTER-IP    EXTERNAL-IP     PORT(S)                                      AGE
    apigee-ingressgateway-prod-hybrid-37a39bd   LoadBalancer   192.0.2.123   233.252.0.123   15021:32049/TCP,80:31624/TCP,443:30723/TCP   16h
  4. Assicurati che tutto il traffico di runtime funzioni monitorando le dashboard. Vai al passaggio successivo solo se tutto funziona come previsto. Assicurati che non venga inviato traffico tramite il vecchio gateway di ingresso (Anthos Service Mesh), poiché la propagazione dell'aggiornamento DNS potrebbe essere lenta a causa della memorizzazione nella cache DNS.
  5. Per interrompere la fornitura della configurazione ad Anthos Service Mesh da parte di Apigee, segui i passaggi descritti in Interrompi l'invio della configurazione ad ASM in la guida alla gestione del gateway in entrata Apigee.
  6. Esegui nuovamente il test e monitora il traffico del proxy API.
  7. Segui le istruzioni riportate nella documentazione di Anthos Service Mesh per disinstallare Anthos Service Mesh dal cluster.

Esegui l'upgrade di Anthos Service Mesh alla versione 1.15

Esegui le procedure utilizzando la documentazione di Anthos Service Mesh appropriata per la tua piattaforma:

Le istruzioni per installare e configurare Anthos Service Mesh variano a seconda della piattaforma. La piattaforme sono suddivise nelle seguenti categorie:

  • GKE: cluster di Google Kubernetes Engine in esecuzione su Google Cloud.
  • All'esterno di Google Cloud: cluster Anthos in esecuzione su:
    • Cluster Anthos su VMware (GKE on-prem)
    • Anthos su Bare Metal
    • Anthos clusters on AWS
    • Amazon EKS
  • Altre piattaforme Kubernetes: cluster conformi creati ed eseguiti su:
    • AKS
    • EKS
    • OpenShift

GKE

La sequenza per eseguire l'upgrade alla versione di Anthos Service Mesh 1.13.9 per il tuo modello ibrido l'installazione è la seguente:

  1. Preparati per l'upgrade.
  2. Installa la nuova versione di Anthos Service Mesh.
  3. Elimina i deployment, i servizi e gli webhook della versione precedente di Anthos Service Mesh dalla tua installazione attuale.
  4. Esegui l'upgrade dei gateway e configura i nuovi webhook.

Prepara l'upgrade di Anthos Service Mesh alla versione 1.13.9

  1. Esamina i requisiti in Eseguire l'upgrade di Anthos Service Mesh, ma non eseguire ancora l'upgrade.
  2. Prima di installare la nuova versione, determina la revisione corrente. Ti serviranno queste informazioni per eliminare i deployment, i servizi e gli webhook della versione precedente di Anthos Service Mesh dalla tua installazione attuale. Utilizza il seguente comando per archiviare la revisione istiod corrente in una variabile di ambiente:
    export DELETE_REV=$(kubectl get deploy -n istio-system -l app=istiod -o jsonpath={.items[*].metadata.labels.'istio\.io\/rev'}'{"\n"}')
    echo $DELETE_REV

    L'output dovrebbe avere il seguente aspetto: 1.12.9-asm.2

  3. Crea un nuovo file overlay.yaml o verifica che quello esistente overlay.yaml contenga i seguenti contenuti:
    apiVersion: install.istio.io/v1alpha1
    kind: IstioOperator
    spec:
      components:
        ingressGateways:
        - name: istio-ingressgateway
          enabled: true
          k8s:
            nodeSelector:
              # default node selector, if different or not using node selectors, change accordingly.
              cloud.google.com/gke-nodepool: apigee-runtime
            resources:
              requests:
                cpu: 1000m
            service:
              type: LoadBalancer
              loadBalancerIP: STATIC_IP # If you do not have a reserved static IP, leave this out.
              ports:
                - name: http-status-port
                  port: 15021
                - name: http2
                  port: 80
                  targetPort: 8080
                - name: https
                  port: 443
                  targetPort: 8443
      meshConfig:
        accessLogFormat:
          '{"start_time":"%START_TIME%","remote_address":"%DOWNSTREAM_DIRECT_REMOTE_ADDRESS%","user_agent":"%REQ(USER-AGENT)%","host":"%REQ(:AUTHORITY)%","request":"%REQ(:METHOD)% %REQ(X-ENVOY-ORIGINAL-PATH?:PATH)% %PROTOCOL%","request_time":"%DURATION%","status":"%RESPONSE_CODE%","status_details":"%RESPONSE_CODE_DETAILS%","bytes_received":"%BYTES_RECEIVED%","bytes_sent":"%BYTES_SENT%","upstream_address":"%UPSTREAM_HOST%","upstream_response_flags":"%RESPONSE_FLAGS%","upstream_response_time":"%RESPONSE_DURATION%","upstream_service_time":"%RESP(X-ENVOY-UPSTREAM-SERVICE-TIME)%","upstream_cluster":"%UPSTREAM_CLUSTER%","x_forwarded_for":"%REQ(X-FORWARDED-FOR)%","request_method":"%REQ(:METHOD)%","request_path":"%REQ(X-ENVOY-ORIGINAL-PATH?:PATH)%","request_protocol":"%PROTOCOL%","tls_protocol":"%DOWNSTREAM_TLS_VERSION%","request_id":"%REQ(X-REQUEST-ID)%","sni_host":"%REQUESTED_SERVER_NAME%","apigee_dynamic_data":"%DYNAMIC_METADATA(envoy.lua)%"}'
  4. Segui le istruzioni riportate nelle seguenti sezioni della documentazione di Anthos Service Mesh:
    1. Scarica asmcli
    2. Concedi autorizzazioni di amministratore del cluster
    3. Convalida progetto e cluster
    4. Upgrade con funzionalità facoltative. Interrompi prima di avviare la sezione "Esegui l'upgrade dei gateway".
  5. Passa al nuovo piano di controllo:
    1. Scarica l'etichetta di revisione in istiod:
      kubectl get pod -n istio-system -L istio.io/rev

      L'output del comando è simile al seguente.

          NAME                                  READY  STATUS  RESTARTS   AGE  REV
          istiod-asm-1139-10-67998f4b55-lrzpz    1/1    Running  0         68m  asm-1129-0
          istiod-asm-1139-10-67998f4b55-r76kr    1/1    Running  0         68m  asm-1129-0
          istiod-1129-0-1-5cd96f88f6-n7tj9      1/1    Running  0         27s  asm-1139-10
          istiod-1129-0-1-5cd96f88f6-wm68b      1/1    Running  0         27s  asm-1139-10
    2. Assegna l'etichetta della revisione più recente a una variabile di ambiente.

      Nell'output, nella colonna REV, prendi nota del valore dell'etichetta della revisione per la nuova versione. In questo esempio, il valore è asm-1139-10

      export UPGRADE_REV="REVISION_LABEL"
    3. Aggiungi l'etichetta di revisione allo spazio dei nomi istio-system e rimuovi l'etichetta istio-injection (se esistente) con il seguente comando.
      kubectl label namespace istio-system istio.io/rev=$UPGRADE_REV istio-injection- --overwrite

      Se nell'output viene visualizzato "istio-injection not found", puoi ignorarlo. Ciò significa che in precedenza lo spazio dei nomi non aveva Etichetta istio-injection. Poiché l'iniezione automatica non riesce se un spazio dei nomi contiene sia l'etichetta istio-injection sia l'etichetta di revisione, tutti i comandi kubectl label nella documentazione di Anthos Service Mesh includono la rimozione dell'etichetta istio-injection.

    4. Riavvia i pod per attivare la reiniezione.
      kubectl rollout restart deployment -n istio-system
    5. Testa l'applicazione per verificare che i carichi di lavoro funzionino correttamente.
    6. Se hai carichi di lavoro in altri spazi dei nomi, ripeti i passaggi per etichettare lo spazio dei nomi e riavviare i pod.
  6. Elimina le versioni precedenti:
    1. Vai alla directory in cui hai installato asmcli.
    2. Archivia la directory di output per l'installazione di Anthos Service Mesh nel Variabile di ambiente DIR_PATH. Questa è la stessa directory in cui specificato nel Upgrade con le caratteristiche facoltative.
      export DIR_PATH=OUTPUT_DIR
    3. Crea uno script shell contenente i seguenti comandi:
      #!/bin/bash
      
      set -ex
      
      if [[ "${DELETE_REV}" != "${UPGRADE_REV}" ]]; then
        kubectl apply -f ${DIR_PATH}/asm/istio/istiod-service.yaml
        kubectl delete deploy -l app=istio-ingressgateway,istio.io/rev=${DELETE_REV} -n istio-system --ignore-not-found=true
        kubectl delete deploy -l app=istio-ingressgateway-connectors,istio.io/rev=${DELETE_REV} -n istio-system --ignore-not-found=true
        kubectl delete ValidatingWebhookConfiguration -l app=istiod,istio.io/rev=${DELETE_REV} -n istio-system --ignore-not-found=true
        kubectl delete MutatingWebhookConfiguration -l app=sidecar-injector,istio.io/rev=${DELETE_REV} -n istio-system --ignore-not-found=true
        kubectl delete Service,Deployment,HorizontalPodAutoscaler,PodDisruptionBudget istiod-${DELETE_REV} -n istio-system --ignore-not-found=true
        kubectl delete IstioOperator installed-state-${DELETE_REV} -n istio-system --ignore-not-found=true
      fi
      
    4. Esegui lo script per eliminare le versioni precedenti.

Al di fuori di Google Cloud

Queste istruzioni riguardano l'upgrade di Anthos Service Mesh su:

  • Cluster Anthos su VMware (GKE on-prem)
  • Anthos su Bare Metal
  • Anthos clusters on AWS
  • Amazon EKS

La sequenza per eseguire l'upgrade alla versione 1.13.9 di Anthos Service Mesh per l'installazione ibrida è la seguente:

  1. Preparati per l'upgrade.
  2. Installa la nuova versione di Anthos Service Mesh.
  3. Elimina i deployment, i servizi e gli webhook della versione precedente di Anthos Service Mesh dalla tua installazione attuale.
  4. Esegui l'upgrade dei gateway e configura i nuovi webhook.

Prepara l'upgrade di Anthos Service Mesh alla versione 1.13.9

  1. Esamina i requisiti in Eseguire l'upgrade di Anthos Service Mesh, ma non eseguire ancora l'upgrade.
  2. Prima di installare la nuova versione, determina la revisione corrente. Ti serviranno queste informazioni per eliminare i deployment, i servizi e i webhook dalla tua installazione attuale. Utilizza il seguente comando per archiviare la revisione istiod corrente in una variabile di ambiente:
    export DELETE_REV=$(kubectl get deploy -n istio-system -l app=istiod -o jsonpath={.items[*].metadata.labels.'istio\.io\/rev'}'{"\n"}')
    echo $DELETE_REV

    L'output dovrebbe avere il seguente aspetto: 1.12.9-asm.2

  3. Crea un nuovo file overlay.yaml o verifica che quello esistente overlay.yaml contenga i seguenti contenuti:
    apiVersion: install.istio.io/v1alpha1
    kind: IstioOperator
    spec:  
      components:
        ingressGateways:
        - name: istio-ingressgateway
          enabled: true
          k8s:
            nodeSelector:
              # default node selector, if different or not using node selectors, change accordingly.
              cloud.google.com/gke-nodepool: apigee-runtime
            resources:
              requests:
                cpu: 1000m
            service:
              type: LoadBalancer
              loadBalancerIP: STATIC_IP # If you do not have a reserved static IP, leave this out.
              ports:
                - name: http-status-port
                  port: 15021
                - name: http2
                  port: 80
                  targetPort: 8080
                - name: https
                  port: 443
                  targetPort: 8443
      values:
        gateways:
          istio-ingressgateway:
            runAsRoot: true
    
      meshConfig:
        accessLogFormat:
          '{"start_time":"%START_TIME%","remote_address":"%DOWNSTREAM_DIRECT_REMOTE_ADDRESS%","user_agent":"%REQ(USER-AGENT)%","host":"%REQ(:AUTHORITY)%","request":"%REQ(:METHOD)% %REQ(X-ENVOY-ORIGINAL-PATH?:PATH)% %PROTOCOL%","request_time":"%DURATION%","status":"%RESPONSE_CODE%","status_details":"%RESPONSE_CODE_DETAILS%","bytes_received":"%BYTES_RECEIVED%","bytes_sent":"%BYTES_SENT%","upstream_address":"%UPSTREAM_HOST%","upstream_response_flags":"%RESPONSE_FLAGS%","upstream_response_time":"%RESPONSE_DURATION%","upstream_service_time":"%RESP(X-ENVOY-UPSTREAM-SERVICE-TIME)%","upstream_cluster":"%UPSTREAM_CLUSTER%","x_forwarded_for":"%REQ(X-FORWARDED-FOR)%","request_method":"%REQ(:METHOD)%","request_path":"%REQ(X-ENVOY-ORIGINAL-PATH?:PATH)%","request_protocol":"%PROTOCOL%","tls_protocol":"%DOWNSTREAM_TLS_VERSION%","request_id":"%REQ(X-REQUEST-ID)%","sni_host":"%REQUESTED_SERVER_NAME%","apigee_dynamic_data":"%DYNAMIC_METADATA(envoy.lua)%"}'
  4. Segui le istruzioni nelle seguenti sezioni della documentazione di Anthos Service Mesh:
    1. Scarica asmcli
    2. Concedi autorizzazioni di amministratore del cluster
    3. Convalida progetto e cluster
    4. Eseguire l'upgrade con funzionalità facoltative. Interrompi prima di iniziare la sezione "Eseguire l'upgrade dei gateway".
  5. Passa al nuovo piano di controllo:
    1. Scarica l'etichetta di revisione in istiod:
      kubectl get pod -n istio-system -L istio.io/rev

      L'output del comando è simile al seguente.

          NAME                                  READY  STATUS  RESTARTS   AGE  REV
          istiod-asm-1139-10-67998f4b55-lrzpz    1/1    Running  0         68m  asm-1129-0
          istiod-asm-1139-10-67998f4b55-r76kr    1/1    Running  0         68m  asm-1129-0
          istiod-1129-0-1-5cd96f88f6-n7tj9      1/1    Running  0         27s  asm-1139-10
          istiod-1129-0-1-5cd96f88f6-wm68b      1/1    Running  0         27s  asm-1139-10
    2. Assegna l'etichetta della revisione più recente a una variabile di ambiente.

      Nell'output, nella colonna REV, prendi nota del valore dell'etichetta della revisione per la nuova versione. In questo esempio, il valore è asm-1139-10

      export UPGRADE_REV="REVISION_LABEL"
    3. Aggiungi l'etichetta di revisione allo spazio dei nomi istio-system e rimuovi lo Etichetta istio-injection (se esistente) con il seguente comando.
      kubectl label namespace istio-system istio.io/rev=$UPGRADE_REV istio-injection- --overwrite

      Se nell'output viene visualizzato "istio-injection not found", puoi ignorarlo. Ciò significa che in precedenza lo spazio dei nomi non aveva Etichetta istio-injection. Poiché l'iniezione automatica non riesce se un spazio dei nomi contiene sia l'etichetta istio-injection sia l'etichetta di revisione, tutti i comandi kubectl label nella documentazione di Anthos Service Mesh includono la rimozione dell'etichetta istio-injection.

    4. Riavvia i pod per attivare la reiniezione.
      kubectl rollout restart deployment -n istio-system
    5. Testa l'applicazione per verificare che i carichi di lavoro funzionino correttamente.
    6. Se hai carichi di lavoro in altri spazi dei nomi, ripeti i passaggi per etichettare lo spazio dei nomi e riavviare i pod.
  6. Elimina le versioni precedenti:
    1. Vai alla directory in cui hai installato asmcli.
    2. Memorizza la directory di output per l'installazione di Anthos Service Mesh nella variabile di ambiente DIR_PATH. Questa è la stessa directory in cui specificato nel Upgrade con le caratteristiche facoltative.
      export DIR_PATH=OUTPUT_DIR
    3. Crea uno script shell contenente i seguenti comandi:
      #!/bin/bash
      
      set -ex
      
      if [[ "${DELETE_REV}" != "${UPGRADE_REV}" ]]; then
        kubectl apply -f ${DIR_PATH}/asm/istio/istiod-service.yaml
        kubectl delete deploy -l app=istio-ingressgateway,istio.io/rev=${DELETE_REV} -n istio-system --ignore-not-found=true
        kubectl delete deploy -l app=istio-ingressgateway-connectors,istio.io/rev=${DELETE_REV} -n istio-system --ignore-not-found=true
        kubectl delete ValidatingWebhookConfiguration -l app=istiod,istio.io/rev=${DELETE_REV} -n istio-system --ignore-not-found=true
        kubectl delete MutatingWebhookConfiguration -l app=sidecar-injector,istio.io/rev=${DELETE_REV} -n istio-system --ignore-not-found=true
        kubectl delete Service,Deployment,HorizontalPodAutoscaler,PodDisruptionBudget istiod-${DELETE_REV} -n istio-system --ignore-not-found=true
        kubectl delete IstioOperator installed-state-${DELETE_REV} -n istio-system --ignore-not-found=true
      fi
      
    4. Esegui lo script per eliminare le versioni precedenti.

AKS / EKS

In queste istruzioni viene spiegato come eseguire l'upgrade della versione Anthos Service Mesh (Anthos Service Mesh). istio-1.13.9-asm.10 su cluster collegati ad Anthos è la stessa cosa che eseguire una nuova installazione.

Preparazione all'installazione di Anthos Service Mesh

  1. Prima di installare la nuova versione, determina la revisione corrente. Ti serviranno queste informazioni per eliminare il webhook di convalida e il webhook mutante. dalla tua attuale installazione di Anthos Service Mesh. Utilizza il seguente comando per archiviare la revisione istiod corrente in una variabile di ambiente:
    export DELETE_REV=$(kubectl get deploy -n istio-system -l app=istiod -o jsonpath={.items[*].metadata.labels.'istio\.io\/rev'}'{"\n"}')
    echo $DELETE_REV

    L'output dovrebbe essere simile a 1.12.9-asm.2

  2. Linux

  3. Scarica il file di installazione di Anthos Service Mesh nella directory di lavoro attuale:
    curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-linux-amd64.tar.gz
  4. Scarica il file della firma e usa OpenSSL per verificarla:
    curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-linux-amd64.tar.gz.1.sig
    openssl dgst -verify /dev/stdin -signature istio-1.13.9-asm.10-linux-amd64.tar.gz.1.sig istio-1.13.9-asm.10.tar.gz <<'EOF'
    -----BEGIN PUBLIC KEY-----
    MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
    wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
    -----END PUBLIC KEY-----
    EOF
  5. Estrai i contenuti del file in qualsiasi posizione nel tuo file system. Ad esempio: per estrarre il contenuto della directory di lavoro corrente:
    tar xzf istio-1.13.9-asm.10-linux-amd64.tar.gz

    Il comando crea una directory di installazione nella directory di lavoro corrente denominata istio-1.13.9-asm.10 che contiene:

    • Applicazioni di esempio nella directory samples.
    • Lo strumento a riga di comando istioctl che utilizzi per installare Anthos Service Il mesh si trova nella directory bin.
    • I profili di configurazione di Anthos Service Mesh si trovano nella directory manifests/profiles.
  6. Assicurati di essere nella directory root dell'installazione di Anthos Service Mesh:
    cd istio-1.13.9-asm.10
  7. Per comodità, aggiungi gli strumenti nella directory /bin a PATH:
    export PATH=$PWD/bin:$PATH
  8. Mac OS

  9. Scarica il file di installazione di Anthos Service Mesh nella directory di lavoro attuale:
    curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-osx.tar.gz
  10. Scarica il file della firma e usa OpenSSL per verificarla:
    curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-osx.tar.gz.1.sig
    openssl dgst -sha256 -verify /dev/stdin -signature istio-1.13.9-asm.10-osx.tar.gz.1.sig istio-1.13.9-asm.10.tar.gz <<'EOF'
    -----BEGIN PUBLIC KEY-----
    MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
    wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
    -----END PUBLIC KEY-----
    EOF
  11. Estrai i contenuti del file in qualsiasi posizione nel tuo file system. Ad esempio: per estrarre il contenuto della directory di lavoro corrente:
    tar xzf istio-1.13.9-asm.10-osx.tar.gz

    Il comando crea una directory di installazione nella directory di lavoro corrente denominata istio-1.13.9-asm.10 che contiene:

    • Applicazioni di esempio nella directory samples.
    • Lo strumento a riga di comando istioctl che utilizzi per installare Anthos Service Il mesh si trova nella directory bin.
    • I profili di configurazione di Anthos Service Mesh si trovano nella directory manifests/profiles.
  12. Assicurati di essere nella directory root dell'installazione di Anthos Service Mesh:
    cd istio-1.13.9-asm.10
  13. Per comodità, aggiungi gli strumenti nella directory /bin a PATH:
    export PATH=$PWD/bin:$PATH
  14. Windows

  15. Scarica il file di installazione di Anthos Service Mesh nella directory di lavoro attuale:
    curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-win.zip
  16. Scarica il file della firma e usa OpenSSL per verificarla:
    curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-win.zip.1.sig
    openssl dgst -verify - -signature istio-1.13.9-asm.10-win.zip.1.sig istio-1.13.9-asm.10.win.zip <<'EOF'
    -----BEGIN PUBLIC KEY-----
    MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
    wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
    -----END PUBLIC KEY-----
    EOF
  17. Estrai i contenuti del file in qualsiasi posizione nel tuo file system. Ad esempio, per estrarre i contenuti nella directory di lavoro corrente:
    tar xzf istio-1.13.9-asm.10-win.zip

    Il comando crea una directory di installazione nella directory di lavoro corrente denominata istio-1.13.9-asm.10 che contiene:

    • Applicazioni di esempio nella directory samples.
    • Lo strumento a riga di comando istioctl che utilizzi per installare Anthos Service Mesh si trova nella directory bin.
    • I profili di configurazione di Anthos Service Mesh si trovano nella directory manifests\profiles.
  18. Assicurati di essere nella directory principale dell'installazione di Anthos Service Mesh:
    cd istio-1.13.9-asm.10
  19. Per comodità, aggiungi gli strumenti nella directory \bin al tuo PATH:
    set PATH=%CD%\bin:%PATH%
  20. Ora che Anthos Service Mesh Istio è installato, controlla la versione di istioctl:
    istioctl version
  21. Crea uno spazio dei nomi denominato istio-system per i componenti del piano di controllo:
    kubectl create namespace istio-system

Installazione di Anthos Service Mesh

  1. Modifica il tuo file overlay.yaml o creane uno nuovo con il seguente contenuto:
    apiVersion: install.istio.io/v1alpha1
    kind: IstioOperator
    spec:
      meshConfig:
        accessLogFile: /dev/stdout
        enableTracing: true
        accessLogFormat:
          '{"start_time":"%START_TIME%","remote_address":"%DOWNSTREAM_DIRECT_REMOTE_ADDRESS%","user_agent":"%REQ(USER-AGENT)%","host":"%REQ(:AUTHORITY)%","request":"%REQ(:METHOD)% %REQ(X-ENVOY-ORIGINAL-PATH?:PATH)% %PROTOCOL%","request_time":"%DURATION%","status":"%RESPONSE_CODE%","status_details":"%RESPONSE_CODE_DETAILS%","bytes_received":"%BYTES_RECEIVED%","bytes_sent":"%BYTES_SENT%","upstream_address":"%UPSTREAM_HOST%","upstream_response_flags":"%RESPONSE_FLAGS%","upstream_response_time":"%RESPONSE_DURATION%","upstream_service_time":"%RESP(X-ENVOY-UPSTREAM-SERVICE-TIME)%","upstream_cluster":"%UPSTREAM_CLUSTER%","x_forwarded_for":"%REQ(X-FORWARDED-FOR)%","request_method":"%REQ(:METHOD)%","request_path":"%REQ(X-ENVOY-ORIGINAL-PATH?:PATH)%","request_protocol":"%PROTOCOL%","tls_protocol":"%DOWNSTREAM_TLS_VERSION%","request_id":"%REQ(X-REQUEST-ID)%","sni_host":"%REQUESTED_SERVER_NAME%","apigee_dynamic_data":"%DYNAMIC_METADATA(envoy.lua)%"}'
      components:
        ingressGateways:
        - name: istio-ingressgateway
          enabled: true
          k8s:
            service:
              type: LoadBalancer
              ports:
              - name: status-port
                port: 15021
                targetPort: 15021
              - name: http2
                port: 80
                targetPort: 8080
              - name: https
                port: 443
                targetPort: 8443
    
  2. Installa Anthos Service Mesh con istioctl utilizzando il profilo asm-multicloud:
    istioctl install \
        --set profile=asm-multicloud \
        --set revision="asm-1139-10" \
        --filename overlay.yaml

    L'output dovrebbe avere il seguente aspetto:

    kubectl get pods -n istio-system
    NAME                                   READY   STATUS    RESTARTS   AGE
    istio-ingressgateway-88b6fd976-flgp2   1/1     Running   0          3m13s
    istio-ingressgateway-88b6fd976-p5dl9   1/1     Running   0          2m57s
    istiod-asm-1139-10-798ffb964-2ls88       1/1     Running   0          3m21s
    istiod-asm-1139-10-798ffb964-fnj8c       1/1     Running   1          3m21s

    L'argomento --set revision aggiunge un'etichetta di revisione nel formato istio.io/rev=asm-1139-10 a istiod. L'etichetta di revisione viene utilizzata dal webhook dell'iniettore di sidecar automatico per associare i sidecar iniettati a una determinata istiod revisione. Per attivare l'iniezione automatica di sidecar per uno spazio dei nomi, devi etichettarlo con una revisione corrispondente all'etichetta in istiod.

  3. Verifica che l'installazione sia stata completata:
    kubectl get svc -n istio-system

    L'output dovrebbe essere simile al seguente:

    NAME                   TYPE           CLUSTER-IP       EXTERNAL-IP     PORT(S)                                                                      AGE
    istio-ingressgateway   LoadBalancer   172.200.48.52    34.74.177.168   15021:30479/TCP,80:30030/TCP,443:32200/TCP,15012:32297/TCP,15443:30244/TCP   3m35s
    istiod                 ClusterIP      172.200.18.133   <none>          15010/TCP,15012/TCP,443/TCP,15014/TCP                                        4m46s
    istiod-asm-1139-10       ClusterIP      172.200.63.220   <none>          15010/TCP,15012/TCP,443/TCP,15014/TCP                                        3m43s
  4. Passa al nuovo piano di controllo:
    1. Scarica l'etichetta di revisione in istiod:
      kubectl get pod -n istio-system -L istio.io/rev

      L'output del comando è simile al seguente.

          NAME                                  READY  STATUS  RESTARTS   AGE  REV
          istiod-asm-1139-10-67998f4b55-lrzpz    1/1    Running  0         68m  asm-1129-0
          istiod-asm-1139-10-67998f4b55-r76kr    1/1    Running  0         68m  asm-1129-0
          istiod-1129-0-1-5cd96f88f6-n7tj9      1/1    Running  0         27s  asm-1139-10
          istiod-1129-0-1-5cd96f88f6-wm68b      1/1    Running  0         27s  asm-1139-10
    2. Assegna l'etichetta della revisione più recente a una variabile di ambiente.

      Nell'output, sotto la colonna REV, annota il valore della revisione l'etichetta per la nuova versione. In questo esempio, il valore è asm-1139-10

      export UPGRADE_REV="REVISION_LABEL"
    3. Aggiungi l'etichetta di revisione allo spazio dei nomi istio-system e rimuovi lo Etichetta istio-injection (se esistente) con il seguente comando.
      kubectl label namespace istio-system istio.io/rev=$UPGRADE_REV istio-injection- --overwrite

      Se nell'output viene visualizzato "istio-injection not found", puoi ignorarlo. Ciò significa che in precedenza lo spazio dei nomi non aveva Etichetta istio-injection. Poiché l'iniezione automatica non riesce se un spazio dei nomi contiene sia l'etichetta istio-injection sia l'etichetta di revisione, tutti i comandi kubectl label nella documentazione di Anthos Service Mesh includono la rimozione dell'etichetta istio-injection.

    4. Riavvia i pod per attivare la reiniezione.
      kubectl rollout restart deployment -n istio-system
    5. Testa l'applicazione per verificare che i carichi di lavoro funzionino correttamente.
    6. Se hai carichi di lavoro in altri spazi dei nomi, ripeti i passaggi per etichettare lo spazio dei nomi e riavviare i pod.
  5. Elimina le versioni precedenti:
    1. Vai alla directory in cui hai installato asmcli.
    2. Crea uno script shell contenente i seguenti comandi:
      #!/bin/bash
      
      set -ex
      
      if [[ "${DELETE_REV}" != "${UPGRADE_REV}" ]]; then
        kubectl delete deploy -l app=istio-ingressgateway,istio.io/rev=${DELETE_REV} -n istio-system --ignore-not-found=true
        kubectl delete deploy -l app=istio-ingressgateway-connectors,istio.io/rev=${DELETE_REV} -n istio-system --ignore-not-found=true
        kubectl delete ValidatingWebhookConfiguration -l app=istiod,istio.io/rev=${DELETE_REV} -n istio-system --ignore-not-found=true
        kubectl delete MutatingWebhookConfiguration -l app=sidecar-injector,istio.io/rev=${DELETE_REV} -n istio-system --ignore-not-found=true
        kubectl delete Service,Deployment,HorizontalPodAutoscaler,PodDisruptionBudget istiod-${DELETE_REV} -n istio-system --ignore-not-found=true
        kubectl delete IstioOperator installed-state-${DELETE_REV} -n istio-system --ignore-not-found=true
      fi
      
    3. Esegui lo script per eliminare le versioni precedenti.

OpenShift

In queste istruzioni, la procedura di upgrade della versione istio-1.13.9-asm.10 di Anthos Service Mesh (Anthos Service Mesh) sui cluster Anthos collegati è la stessa di un'installazione da zero.

Preparazione all'installazione di Anthos Service Mesh

  1. Prima di installare la nuova versione, determina la revisione corrente. Ti serviranno queste informazioni per eliminare il webhook di convalida e il webhook mutante. dalla tua attuale installazione di Anthos Service Mesh. Utilizza il seguente comando per archiviare la revisione corrente istiod in una variabile di ambiente:
    export DELETE_REV=$(kubectl get deploy -n istio-system -l app=istiod -o jsonpath={.items[*].metadata.labels.'istio\.io\/rev'}'{"\n"}')
    echo $DELETE_REV

    L'output dovrebbe essere simile a 1.12.9-asm.2

  2. Linux

  3. Concedi la limitazione del contesto di sicurezza anyuid (SCC) a istio-system con il seguente comando OpenShift CLI (oc):
    oc adm policy add-scc-to-group anyuid system:serviceaccounts:istio-system
  4. Scarica il file di installazione di Anthos Service Mesh nella directory di lavoro attuale:
    curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-linux-amd64.tar.gz
  5. Scarica il file della firma e usa OpenSSL per verificarla:
    curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-linux-amd64.tar.gz.1.sig
    openssl dgst -verify /dev/stdin -signature istio-1.13.9-asm.10-linux-amd64.tar.gz.1.sig istio-1.13.9-asm.10.tar.gz <<'EOF'
    -----BEGIN PUBLIC KEY-----
    MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
    wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
    -----END PUBLIC KEY-----
    EOF
  6. Estrai i contenuti del file in qualsiasi posizione nel tuo file system. Ad esempio: per estrarre il contenuto della directory di lavoro corrente:
    tar xzf istio-1.13.9-asm.10-linux-amd64.tar.gz

    Il comando crea una directory di installazione nella directory di lavoro corrente denominata istio-1.13.9-asm.10 che contiene:

    • Applicazioni di esempio nella directory samples.
    • Lo strumento a riga di comando istioctl che utilizzi per installare Anthos Service Il mesh si trova nella directory bin.
    • I profili di configurazione di Anthos Service Mesh si trovano nella directory manifests/profiles.
  7. Assicurati di essere nella directory root dell'installazione di Anthos Service Mesh:
    cd istio-1.13.9-asm.10
  8. Per comodità, aggiungi gli strumenti nella directory /bin a PATH:
    export PATH=$PWD/bin:$PATH
  9. Mac OS

  10. Concedi il vincolo di contesto di sicurezza (SCC) anyuid al sistema istio con il seguente comando OpenShift CLI (oc):
    oc adm policy add-scc-to-group anyuid system:serviceaccounts:istio-system
  11. Scarica il file di installazione di Anthos Service Mesh nella directory di lavoro attuale:
    curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-osx.tar.gz
  12. Scarica il file della firma e usa OpenSSL per verificarla:
    curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-osx.tar.gz.1.sig
    openssl dgst -sha256 -verify /dev/stdin -signature istio-1.13.9-asm.10-osx.tar.gz.1.sig istio-1.13.9-asm.10.tar.gz <<'EOF'
    -----BEGIN PUBLIC KEY-----
    MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
    wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
    -----END PUBLIC KEY-----
    EOF
  13. Estrai i contenuti del file in qualsiasi posizione nel tuo file system. Ad esempio: per estrarre il contenuto della directory di lavoro corrente:
    tar xzf istio-1.13.9-asm.10-osx.tar.gz

    Il comando crea una directory di installazione nella directory di lavoro corrente denominata istio-1.13.9-asm.10 che contiene:

    • Applicazioni di esempio nella directory samples.
    • Lo strumento a riga di comando istioctl che utilizzi per installare Anthos Service Il mesh si trova nella directory bin.
    • I profili di configurazione di Anthos Service Mesh si trovano nella directory manifests/profiles.
  14. Assicurati di essere nella directory root dell'installazione di Anthos Service Mesh:
    cd istio-1.13.9-asm.10
  15. Per comodità, aggiungi gli strumenti nella directory /bin a PATH:
    export PATH=$PWD/bin:$PATH
  16. Windows

  17. Concedi il vincolo di contesto di sicurezza (SCC) anyuid al sistema istio con il seguente comando OpenShift CLI (oc):
    oc adm policy add-scc-to-group anyuid system:serviceaccounts:istio-system
  18. Scarica il file di installazione di Anthos Service Mesh nella directory di lavoro attuale:
    curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-win.zip
  19. Scarica il file della firma e usa OpenSSL per verificarla:
    curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-win.zip.1.sig
    openssl dgst -verify - -signature istio-1.13.9-asm.10-win.zip.1.sig istio-1.13.9-asm.10.win.zip <<'EOF'
    -----BEGIN PUBLIC KEY-----
    MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
    wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
    -----END PUBLIC KEY-----
    EOF
  20. Estrai i contenuti del file in qualsiasi posizione del file system. Ad esempio: per estrarre il contenuto della directory di lavoro corrente:
    tar xzf istio-1.13.9-asm.10-win.zip

    Il comando crea una directory di installazione nella directory di lavoro corrente denominata istio-1.13.9-asm.10 che contiene:

    • Applicazioni di esempio nella directory samples.
    • Lo strumento a riga di comando istioctl che utilizzi per installare Anthos Service Mesh si trova nella directory bin.
    • I profili di configurazione di Anthos Service Mesh si trovano nella directory manifests\profiles.
  21. Assicurati di essere nella directory principale dell'installazione di Anthos Service Mesh:
    cd istio-1.13.9-asm.10
  22. Per comodità, aggiungi gli strumenti nella directory \bin al tuo PATH:
    set PATH=%CD%\bin:%PATH%
  23. Ora che Anthos Service Mesh Istio è installato, controlla la versione di istioctl:
    istioctl version
  24. Crea uno spazio dei nomi denominato istio-system per i componenti del piano di controllo:
    kubectl create namespace istio-system

Configura il webhook di convalida

Quando installi Anthos Service Mesh, imposti un'etichetta di revisione su istiod. Devi impostare lo stesso sul webhook di convalida.

  1. Crea un file denominato istiod-service.yaml con i seguenti contenuti:
    apiVersion: v1
    kind: Service
    metadata:
      name: istiod
      namespace: istio-system
      labels:
        istio.io/rev: asm-1139-10
        app: istiod
        istio: pilot
        release: istio
    spec:
      ports:
        - port: 15010
          name: grpc-xds # plaintext
          protocol: TCP
        - port: 15012
          name: https-dns # mTLS with k8s-signed cert
          protocol: TCP
        - port: 443
          name: https-webhook # validation and injection
          targetPort: 15017
          protocol: TCP
        - port: 15014
          name: http-monitoring # prometheus stats
          protocol: TCP
      selector:
        app: istiod
        istio.io/rev: asm-1139-10
      meshConfig:
        accessLogFormat:
          '{"start_time":"%START_TIME%","remote_address":"%DOWNSTREAM_DIRECT_REMOTE_ADDRESS%","user_agent":"%REQ(USER-AGENT)%","host":"%REQ(:AUTHORITY)%","request":"%REQ(:METHOD)% %REQ(X-ENVOY-ORIGINAL-PATH?:PATH)% %PROTOCOL%","request_time":"%DURATION%","status":"%RESPONSE_CODE%","status_details":"%RESPONSE_CODE_DETAILS%","bytes_received":"%BYTES_RECEIVED%","bytes_sent":"%BYTES_SENT%","upstream_address":"%UPSTREAM_HOST%","upstream_response_flags":"%RESPONSE_FLAGS%","upstream_response_time":"%RESPONSE_DURATION%","upstream_service_time":"%RESP(X-ENVOY-UPSTREAM-SERVICE-TIME)%","upstream_cluster":"%UPSTREAM_CLUSTER%","x_forwarded_for":"%REQ(X-FORWARDED-FOR)%","request_method":"%REQ(:METHOD)%","request_path":"%REQ(X-ENVOY-ORIGINAL-PATH?:PATH)%","request_protocol":"%PROTOCOL%","tls_protocol":"%DOWNSTREAM_TLS_VERSION%","request_id":"%REQ(X-REQUEST-ID)%","sni_host":"%REQUESTED_SERVER_NAME%","apigee_dynamic_data":"%DYNAMIC_METADATA(envoy.lua)%"}'
  2. Utilizza kubectl per applicare la configurazione dell'webhook di convalida:
    kubectl apply -f istiod-service.yaml
  3. Verifica che la configurazione sia stata applicata:
    kubectl get svc -n istio-system

    La risposta dovrebbe essere simile alla seguente:

    NAME     TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)                                 AGE
    istiod   ClusterIP   172.200.18.133   <none>        15010/TCP,15012/TCP,443/TCP,15014/TCP   22s

Installazione di Anthos Service Mesh

  1. Modifica il tuo file overlay.yaml o creane uno nuovo con il seguente contenuto:
    apiVersion: install.istio.io/v1alpha1
    kind: IstioOperator
    spec:
      meshConfig:
        accessLogFile: /dev/stdout
        enableTracing: true
        accessLogFormat:
          '{"start_time":"%START_TIME%","remote_address":"%DOWNSTREAM_DIRECT_REMOTE_ADDRESS%","user_agent":"%REQ(USER-AGENT)%","host":"%REQ(:AUTHORITY)%","request":"%REQ(:METHOD)% %REQ(X-ENVOY-ORIGINAL-PATH?:PATH)% %PROTOCOL%","request_time":"%DURATION%","status":"%RESPONSE_CODE%","status_details":"%RESPONSE_CODE_DETAILS%","bytes_received":"%BYTES_RECEIVED%","bytes_sent":"%BYTES_SENT%","upstream_address":"%UPSTREAM_HOST%","upstream_response_flags":"%RESPONSE_FLAGS%","upstream_response_time":"%RESPONSE_DURATION%","upstream_service_time":"%RESP(X-ENVOY-UPSTREAM-SERVICE-TIME)%","upstream_cluster":"%UPSTREAM_CLUSTER%","x_forwarded_for":"%REQ(X-FORWARDED-FOR)%","request_method":"%REQ(:METHOD)%","request_path":"%REQ(X-ENVOY-ORIGINAL-PATH?:PATH)%","request_protocol":"%PROTOCOL%","tls_protocol":"%DOWNSTREAM_TLS_VERSION%","request_id":"%REQ(X-REQUEST-ID)%","sni_host":"%REQUESTED_SERVER_NAME%","apigee_dynamic_data":"%DYNAMIC_METADATA(envoy.lua)%"}'
      components:
        ingressGateways:
          - name: istio-ingressgateway
            enabled: true
            k8s:
              service:
                type: LoadBalancer
                ports:
                - name: status-port
                  port: 15021
                  targetPort: 15021
                - name: http2
                  port: 80
                  targetPort: 8080
                - name: https
                  port: 443
                  targetPort: 8443
    
  2. Installa Anthos Service Mesh con istioctl utilizzando il profilo asm-multicloud:
    istioctl install \
        --set profile=asm-multicloud \
        --set revision="asm-1139-10" \
        --filename overlayfile.yaml

    L'output dovrebbe avere il seguente aspetto:

    kubectl get pods -n istio-system
    NAME                                   READY   STATUS    RESTARTS   AGE
    istio-ingressgateway-88b6fd976-flgp2   1/1     Running   0          3m13s
    istio-ingressgateway-88b6fd976-p5dl9   1/1     Running   0          2m57s
    istiod-asm-1139-10-798ffb964-2ls88       1/1     Running   0          3m21s
    istiod-asm-1139-10-798ffb964-fnj8c       1/1     Running   1          3m21s

    L'argomento --set revision aggiunge un'etichetta di revisione nel formato istio.io/rev=1.6.11-asm.1 a istiod. L'etichetta di revisione viene utilizzata webhook di inserimento del file collaterale automatico per associare i file collaterali inseriti a un determinato istiod revisione. Per attivare l'iniezione automatica di sidecar per uno spazio dei nomi, devi etichettarlo con una revisione corrispondente all'etichetta in istiod.

  3. Verifica che l'installazione sia stata completata:
    kubectl get svc -n istio-system

    L'output dovrebbe essere simile al seguente:

    NAME                   TYPE           CLUSTER-IP       EXTERNAL-IP     PORT(S)                                                                      AGE
    istio-ingressgateway   LoadBalancer   172.200.48.52    34.74.177.168   15021:30479/TCP,80:30030/TCP,443:32200/TCP,15012:32297/TCP,15443:30244/TCP   3m35s
    istiod                 ClusterIP      172.200.18.133   <none>          15010/TCP,15012/TCP,443/TCP,15014/TCP                                        4m46s
    istiod-asm-1139-10       ClusterIP      172.200.63.220   <none>          15010/TCP,15012/TCP,443/TCP,15014/TCP                                        3m43s
  4. Passa al nuovo piano di controllo:
    1. Scarica l'etichetta di revisione in istiod:
      kubectl get pod -n istio-system -L istio.io/rev

      L'output del comando è simile al seguente.

          NAME                                  READY  STATUS  RESTARTS   AGE  REV
          istiod-asm-1139-10-67998f4b55-lrzpz    1/1    Running  0         68m  asm-1129-0
          istiod-asm-1139-10-67998f4b55-r76kr    1/1    Running  0         68m  asm-1129-0
          istiod-1129-0-1-5cd96f88f6-n7tj9      1/1    Running  0         27s  asm-1139-10
          istiod-1129-0-1-5cd96f88f6-wm68b      1/1    Running  0         27s  asm-1139-10
    2. Assegna l'etichetta della revisione più recente a una variabile di ambiente.

      Nell'output, nella colonna REV, prendi nota del valore dell'etichetta della revisione per la nuova versione. In questo esempio, il valore è asm-1139-10

      export UPGRADE_REV="REVISION_LABEL"
    3. Aggiungi l'etichetta di revisione allo spazio dei nomi istio-system e rimuovi lo Etichetta istio-injection (se esistente) con il seguente comando.
      kubectl label namespace istio-system istio.io/rev=$UPGRADE_REV istio-injection- --overwrite

      Se nell'output viene visualizzato "istio-injection not found", puoi ignorarlo. Ciò significa che in precedenza lo spazio dei nomi non aveva Etichetta istio-injection. Poiché l'iniezione automatica non riesce se un spazio dei nomi contiene sia l'etichetta istio-injection sia l'etichetta di revisione, tutti i comandi kubectl label nella documentazione di Anthos Service Mesh includono la rimozione dell'etichetta istio-injection.

    4. Riavvia i pod per attivare la reiniezione.
      kubectl rollout restart deployment -n istio-system
    5. Testa l'applicazione per verificare che i carichi di lavoro funzionino correttamente.
    6. Se hai carichi di lavoro in altri spazi dei nomi, ripeti i passaggi per etichettare lo spazio dei nomi e riavviare i pod.
  5. Elimina le versioni precedenti:
    1. Vai alla directory in cui hai installato asmcli.
    2. Crea uno script shell contenente i seguenti comandi:
      #!/bin/bash
      
      set -ex
      
      if [[ "${DELETE_REV}" != "${UPGRADE_REV}" ]]; then
        kubectl delete deploy -l app=istio-ingressgateway,istio.io/rev=${DELETE_REV} -n istio-system --ignore-not-found=true
        kubectl delete deploy -l app=istio-ingressgateway-connectors,istio.io/rev=${DELETE_REV} -n istio-system --ignore-not-found=true
        kubectl delete ValidatingWebhookConfiguration -l app=istiod,istio.io/rev=${DELETE_REV} -n istio-system --ignore-not-found=true
        kubectl delete MutatingWebhookConfiguration -l app=sidecar-injector,istio.io/rev=${DELETE_REV} -n istio-system --ignore-not-found=true
        kubectl delete Service,Deployment,HorizontalPodAutoscaler,PodDisruptionBudget istiod-${DELETE_REV} -n istio-system --ignore-not-found=true
        kubectl delete IstioOperator installed-state-${DELETE_REV} -n istio-system --ignore-not-found=true
      fi
      
    3. Esegui lo script per eliminare le versioni precedenti.

Rollback di un upgrade

Per eseguire il rollback di un upgrade precedente:

  1. Ripulisci i job completati per lo spazio dei nomi dell'ambiente di runtime ibrido, dove NAMESPACE è lo spazio dei nomi specificato nel file delle sostituzioni, se ne hai specificato uno. In caso contrario, lo spazio dei nomi predefinito è apigee:
    kubectl delete job -n NAMESPACE \
      $(kubectl get job -n NAMESPACE \
      -o=jsonpath='{.items[?(@.status.succeeded==1)].metadata.name}')
  2. Ripulisci i job completati per lo spazio dei nomi apigee-system:
    kubectl delete job -n apigee-system \
      $(kubectl get job -n apigee-system \
      -o=jsonpath='{.items[?(@.status.succeeded==1)].metadata.name}')
  3. Modifica la variabile APIGEECTL_HOME in modo che punti alla directory che contiene la precedente di apigeectl. Ad esempio:
    export APIGEECTL_HOME=PATH_TO_PREVIOUS_APIGEECTL_DIRECTORY
  4. Annulla le modifiche apportate al file overrides:
    1. Rimuovi o commenta ingressGateways e tutte le sue proprietà.
    2. Imposta il valore di virtualhosts.selector.app sul valore precedente, ad esempio:
      virtualhosts:
        - name: my-env-group
          selector:
            app: istio-ingressgateway
    3. Rimuovi o commenta ao.args.disableIstioConfigInAPIServer.
  5. Nella directory root dell'installazione di cui vuoi eseguire il rollback, apigeectl apply, controlla lo stato dei pod ed esegui apigeectl init. Assicurati di utilizzare il file delle sostituzioni originale per la versione di destinazione del rollback:
    1. Nella directory hybrid-files, esegui apigeectl apply:
      $APIGEECTL_HOME/apigeectl apply -f ORIGINAL_OVERRIDES_FILE

      Dove ORIGINAL_OVERRIDES_FILE è il percorso relativo e il nome file degli override per l'installazione ibrida precedente, ad esempio: ./overrides/overrides1.7.yaml.

    2. Controlla lo stato dei tuoi pod:
      kubectl -n NAMESPACE get pods

      Dove NAMESPACE è il tuo spazio dei nomi ibrido Apigee.

    3. Controlla lo stato di apigeeds:
      kubectl describe apigeeds -n apigee

      L'output dovrebbe avere il seguente aspetto:

      Status:
        Cassandra Data Replication:
        Cassandra Pod Ips:
          10.8.2.204
        Cassandra Ready Replicas:  1
        Components:
          Cassandra:
            Last Successfully Released Version:
              Revision:  v1-f8aa9a82b9f69613
              Version:   v1
            Replicas:
              Available:  1
              Ready:      1
              Total:      1
              Updated:    1
            State:        running
        Scaling:
          In Progress:         false
          Operation:
          Requested Replicas:  0
        State:                 running

      Procedi al passaggio successivo solo quando il pod apigeeds è in esecuzione.

    4. Esegui questo comando per prendere nota dei nuovi valori del conteggio delle repliche processore di messaggi dopo l'upgrade.Se questi valori non corrispondono a quanto in precedenza, modifica i valori nel file delle sostituzioni affinché corrispondano ai valori configurazione.
      apigeectl apply -f ORIGINAL_OVERRIDES_FILE --dry-run=client --print-yaml --env ENV_NAME 2>/dev/null |grep "runtime:" -A 25 -B 1| grep "autoScaler" -A 2

      L'output dovrebbe essere simile al seguente:

            autoScaler:
              minReplicas: 2
              maxReplicas: 10
    5. Se esegui il rollback alla versione 1.8.4 o precedente di Hybrid, elimina il deployment del controller utilizzato dalla versione 1.8.5 e successive di Hybrid:
      kubectl -n apigee-system delete deploy apigee-controller-manager
    6. Corsa di apigeectl init:
      $APIGEECTL_HOME/apigeectl init -f ORIGINAL_OVERRIDES_FILE
  6. Elimina il deployment del gestore gateway in entrata di Apigee. Questo componente è pertinente solo per le versioni di Apigee hybrid 1.8 e successive.
    kubectl delete deployment -n NAMESPACE apigee-ingress-gateway-manager

    Dove NAMESPACE è il tuo spazio dei nomi ibrido Apigee.