Utilizzo di Anthos Service Mesh

A partire dalla versione 1.8 di Apigee hybrid, Apigee utilizza il gateway in entrata di Apigee per fornire un gateway in entrata per la tua installazione ibrida. Se preferisci utilizzare Anthos Service Mesh per il traffico in entrata, segui questi passaggi per installare Anthos Service Mesh nel tuo cluster.

Versioni di Anthos Service Mesh supportate

Vedi Apigee hybrid: piattaforme supportate per le versioni di Anthos Service Mesh supportate nella versione ibrida 1.9.

Se stai eseguendo l'upgrade dell'installazione ibrida, segui le istruzioni per eseguire l'upgrade di Anthos Service Mesh.

Installazione di Anthos Service Mesh

Esegui questi passaggi su una nuova installazione ibrida di Apigee solo se non utilizzi il gateway Ingress Apigee.

Esegui le procedure utilizzando la documentazione di Anthos Service Mesh appropriata per la tua piattaforma:

Le istruzioni per installare e configurare Anthos Service Mesh sono diverse a seconda della piattaforma. Le piattaforme sono suddivise nelle seguenti categorie:

GKE: i cluster Google Kubernetes Engine in esecuzione su Google Cloud.
Fuori da Google Cloud: Cluster Anthos in esecuzione su:
- Cluster Anthos su VMware (GKE On-Prem)
- Anthos su Bare Metal
- Cluster Anthos su AWS
- Amazon EKS
Altre piattaforme Kubernetes: cluster conformi creati e in esecuzione su:
- AKS
- EKS
- Maiusc

GKE

La sequenza per l'installazione di Anthos Service Mesh è la seguente:

Preparati per l'installazione.
Installa la nuova versione di Anthos Service Mesh.

Preparati a installare Anthos Service Mesh

Esamina i requisiti in Eseguire l'upgrade di Anthos Service Mesh, ma non eseguire ancora l'upgrade.

Crea un nuovo file overlay.yaml o verifica che il file overlay.yaml esistente includa i seguenti contenuti:

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  components:
    ingressGateways:
    - name: istio-ingressgateway
      enabled: true
      k8s:
        nodeSelector:
          # default node selector, if different or not using node selectors, change accordingly.
          cloud.google.com/gke-nodepool: apigee-runtime
        resources:
          requests:
            cpu: 1000m
        service:
          type: LoadBalancer
          loadBalancerIP: STATIC_IP # If you do not have a reserved static IP, leave this out.
          ports:
            - name: http-status-port
              port: 15021
            - name: http2
              port: 80
              targetPort: 8080
            - name: https
              port: 443
              targetPort: 8443
  meshConfig:
    accessLogFormat:
      '{"start_time":"%START_TIME%","remote_address":"%DOWNSTREAM_DIRECT_REMOTE_ADDRESS%","user_agent":"%REQ(USER-AGENT)%","host":"%REQ(:AUTHORITY)%","request":"%REQ(:METHOD)% %REQ(X-ENVOY-ORIGINAL-PATH?:PATH)% %PROTOCOL%","request_time":"%DURATION%","status":"%RESPONSE_CODE%","status_details":"%RESPONSE_CODE_DETAILS%","bytes_received":"%BYTES_RECEIVED%","bytes_sent":"%BYTES_SENT%","upstream_address":"%UPSTREAM_HOST%","upstream_response_flags":"%RESPONSE_FLAGS%","upstream_response_time":"%RESPONSE_DURATION%","upstream_service_time":"%RESP(X-ENVOY-UPSTREAM-SERVICE-TIME)%","upstream_cluster":"%UPSTREAM_CLUSTER%","x_forwarded_for":"%REQ(X-FORWARDED-FOR)%","request_method":"%REQ(:METHOD)%","request_path":"%REQ(X-ENVOY-ORIGINAL-PATH?:PATH)%","request_protocol":"%PROTOCOL%","tls_protocol":"%DOWNSTREAM_TLS_VERSION%","request_id":"%REQ(X-REQUEST-ID)%","sni_host":"%REQUESTED_SERVER_NAME%","apigee_dynamic_data":"%DYNAMIC_METADATA(envoy.lua)%"}'

Segui le istruzioni nelle sezioni seguenti della documentazione di Anthos Service Mesh:
Importante: assicurati di seguire le istruzioni per eseguire l'upgrade di Anthos Service Mesh con funzionalità facoltative e di includere il tuo overlay.yaml.
1. Scarica asmcli
2. Concedi le autorizzazioni di amministratore del cluster
3. Convalidare progetto e cluster
4. Esegui l'upgrade con funzionalità facoltative. Fermati prima di iniziare la sezione "Esegui l'upgrade dei gateway".

Al di fuori di Google Cloud

Queste istruzioni riguardano l'upgrade di Anthos Service Mesh su:

Cluster Anthos su VMware (GKE On-Prem)
Anthos su Bare Metal
Cluster Anthos su AWS
Amazon EKS

La sequenza per l'installazione di Anthos Service Mesh è la seguente:

Preparati per l'installazione.
Installa la nuova versione di Anthos Service Mesh.

Preparati a installare Anthos Service Mesh

Esamina i requisiti in Eseguire l'upgrade di Anthos Service Mesh, ma non eseguire ancora l'upgrade.

Crea un nuovo file overlay.yaml o verifica che il file overlay.yaml esistente includa i seguenti contenuti:

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  components:
    ingressGateways:
    - name: istio-ingressgateway
      enabled: true
      k8s:
        nodeSelector:
          # default node selector, if different or not using node selectors, change accordingly.
          cloud.google.com/gke-nodepool: apigee-runtime
        resources:
          requests:
            cpu: 1000m
        service:
          type: LoadBalancer
          loadBalancerIP: STATIC_IP # If you do not have a reserved static IP, leave this out.
          ports:
            - name: http-status-port
              port: 15021
            - name: http2
              port: 80
              targetPort: 8080
            - name: https
              port: 443
              targetPort: 8443
  values:
    gateways:
      istio-ingressgateway:
        runAsRoot: true

  meshConfig:
    accessLogFormat:
      '{"start_time":"%START_TIME%","remote_address":"%DOWNSTREAM_DIRECT_REMOTE_ADDRESS%","user_agent":"%REQ(USER-AGENT)%","host":"%REQ(:AUTHORITY)%","request":"%REQ(:METHOD)% %REQ(X-ENVOY-ORIGINAL-PATH?:PATH)% %PROTOCOL%","request_time":"%DURATION%","status":"%RESPONSE_CODE%","status_details":"%RESPONSE_CODE_DETAILS%","bytes_received":"%BYTES_RECEIVED%","bytes_sent":"%BYTES_SENT%","upstream_address":"%UPSTREAM_HOST%","upstream_response_flags":"%RESPONSE_FLAGS%","upstream_response_time":"%RESPONSE_DURATION%","upstream_service_time":"%RESP(X-ENVOY-UPSTREAM-SERVICE-TIME)%","upstream_cluster":"%UPSTREAM_CLUSTER%","x_forwarded_for":"%REQ(X-FORWARDED-FOR)%","request_method":"%REQ(:METHOD)%","request_path":"%REQ(X-ENVOY-ORIGINAL-PATH?:PATH)%","request_protocol":"%PROTOCOL%","tls_protocol":"%DOWNSTREAM_TLS_VERSION%","request_id":"%REQ(X-REQUEST-ID)%","sni_host":"%REQUESTED_SERVER_NAME%","apigee_dynamic_data":"%DYNAMIC_METADATA(envoy.lua)%"}'

Segui le istruzioni nelle sezioni seguenti della documentazione di Anthos Service Mesh:
Importante: assicurati di seguire le istruzioni per eseguire l'upgrade di Anthos Service Mesh con funzionalità facoltative e di includere il tuo overlay.yaml.
1. Scarica asmcli
2. Concedi le autorizzazioni di amministratore del cluster
3. Convalidare progetto e cluster
4. Esegui l'upgrade con funzionalità facoltative. Fermati prima di iniziare la sezione "Esegui l'upgrade dei gateway".

AKS / EKS

Preparazione dell'installazione di Anthos Service Mesh

Linux

Scarica il file di installazione di Anthos Service Mesh nella directory di lavoro attuale:

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-linux-amd64.tar.gz

Scarica il file della firma e utilizza OpenSSL per verificare la firma:

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-linux-amd64.tar.gz.1.sig

openssl dgst -verify /dev/stdin -signature istio-1.13.9-asm.10-linux-amd64.tar.gz.1.sig istio-1.13.9-asm.10.tar.gz <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

Estrai i contenuti del file in qualsiasi posizione nel file system. Ad esempio, per estrarre i contenuti nella directory di lavoro attuale:

tar xzf istio-1.13.9-asm.10-linux-amd64.tar.gz

Il comando crea una directory di installazione nella directory di lavoro attuale denominata istio-1.13.9-asm.10 che contiene:

Applicazioni di esempio nella directory samples.
Lo strumento a riga di comando istioctl che utilizzi per installare Anthos Service Mesh si trova nella directory bin.
I profili di configurazione di Anthos Service Mesh si trovano nella directory manifests/profiles.

Assicurati di essere nella directory principale dell'installazione di Anthos Service Mesh:

cd istio-1.13.9-asm.10

Per comodità, aggiungi gli strumenti nella directory /bin a PATH:

export PATH=$PWD/bin:$PATH

Mac OS

Scarica il file di installazione di Anthos Service Mesh nella directory di lavoro attuale:

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-osx.tar.gz

Scarica il file della firma e utilizza OpenSSL per verificare la firma:

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-osx.tar.gz.1.sig

openssl dgst -sha256 -verify /dev/stdin -signature istio-1.13.9-asm.10-osx.tar.gz.1.sig istio-1.13.9-asm.10.tar.gz <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

Estrai i contenuti del file in qualsiasi posizione nel file system. Ad esempio, per estrarre i contenuti nella directory di lavoro attuale:

tar xzf istio-1.13.9-asm.10-osx.tar.gz

Il comando crea una directory di installazione nella directory di lavoro attuale denominata istio-1.13.9-asm.10 che contiene:

Applicazioni di esempio nella directory samples.
Lo strumento a riga di comando istioctl che utilizzi per installare Anthos Service Mesh si trova nella directory bin.
I profili di configurazione di Anthos Service Mesh si trovano nella directory manifests/profiles.

Assicurati di essere nella directory principale dell'installazione di Anthos Service Mesh:

cd istio-1.13.9-asm.10

Per comodità, aggiungi gli strumenti nella directory /bin a PATH:

export PATH=$PWD/bin:$PATH

Windows

Scarica il file di installazione di Anthos Service Mesh nella directory di lavoro attuale:

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-win.zip

Scarica il file della firma e utilizza OpenSSL per verificare la firma:

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-win.zip.1.sig

openssl dgst -verify - -signature istio-1.13.9-asm.10-win.zip.1.sig istio-1.13.9-asm.10.win.zip <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

Estrai i contenuti del file in qualsiasi posizione nel file system. Ad esempio, per estrarre i contenuti nella directory di lavoro attuale:

tar xzf istio-1.13.9-asm.10-win.zip

Il comando crea una directory di installazione nella directory di lavoro attuale denominata istio-1.13.9-asm.10 che contiene:

Applicazioni di esempio nella directory samples.
Lo strumento a riga di comando istioctl che utilizzi per installare Anthos Service Mesh si trova nella directory bin.
I profili di configurazione di Anthos Service Mesh si trovano nella directory manifests\profiles.

Assicurati di essere nella directory principale dell'installazione di Anthos Service Mesh:

cd istio-1.13.9-asm.10

Per comodità, aggiungi gli strumenti nella directory \bin al tuo PATH:

set PATH=%CD%\bin:%PATH%

Ora che Anthos Service Mesh Istio è installato, controlla la versione di istioctl:
```
istioctl version
```
Crea uno spazio dei nomi chiamato istio-system per i componenti del piano di controllo:
```
kubectl create namespace istio-system
```

Installazione di Anthos Service Mesh

Modifica il file overlay.yaml o creane uno nuovo con i seguenti contenuti:

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  meshConfig:
    accessLogFile: /dev/stdout
    enableTracing: true
    accessLogFormat:
      '{"start_time":"%START_TIME%","remote_address":"%DOWNSTREAM_DIRECT_REMOTE_ADDRESS%","user_agent":"%REQ(USER-AGENT)%","host":"%REQ(:AUTHORITY)%","request":"%REQ(:METHOD)% %REQ(X-ENVOY-ORIGINAL-PATH?:PATH)% %PROTOCOL%","request_time":"%DURATION%","status":"%RESPONSE_CODE%","status_details":"%RESPONSE_CODE_DETAILS%","bytes_received":"%BYTES_RECEIVED%","bytes_sent":"%BYTES_SENT%","upstream_address":"%UPSTREAM_HOST%","upstream_response_flags":"%RESPONSE_FLAGS%","upstream_response_time":"%RESPONSE_DURATION%","upstream_service_time":"%RESP(X-ENVOY-UPSTREAM-SERVICE-TIME)%","upstream_cluster":"%UPSTREAM_CLUSTER%","x_forwarded_for":"%REQ(X-FORWARDED-FOR)%","request_method":"%REQ(:METHOD)%","request_path":"%REQ(X-ENVOY-ORIGINAL-PATH?:PATH)%","request_protocol":"%PROTOCOL%","tls_protocol":"%DOWNSTREAM_TLS_VERSION%","request_id":"%REQ(X-REQUEST-ID)%","sni_host":"%REQUESTED_SERVER_NAME%","apigee_dynamic_data":"%DYNAMIC_METADATA(envoy.lua)%"}'
  components:
    ingressGateways:
    - name: istio-ingressgateway
      enabled: true
      k8s:
        service:
          type: LoadBalancer
          ports:
          - name: status-port
            port: 15021
            targetPort: 15021
          - name: http2
            port: 80
            targetPort: 8080
          - name: https
            port: 443
            targetPort: 8443

Installa Anthos Service Mesh con istioctl utilizzando il profilo asm-multicloud:
```
istioctl install \
    --set profile=asm-multicloud \
    --set revision="asm-1139-10" \
    --filename overlay.yaml
```
L'output dovrebbe avere l'aspetto seguente:
```
kubectl get pods -n istio-system
NAME                                   READY   STATUS    RESTARTS   AGE
istio-ingressgateway-88b6fd976-flgp2   1/1     Running   0          3m13s
istio-ingressgateway-88b6fd976-p5dl9   1/1     Running   0          2m57s
istiod-asm-1139-10-798ffb964-2ls88       1/1     Running   0          3m21s
istiod-asm-1139-10-798ffb964-fnj8c       1/1     Running   1          3m21s
```
L'argomento --set revision aggiunge un'etichetta di revisione nel formato istio.io/rev=asm-1139-10 a istiod. L'etichetta di revisione viene utilizzata dal webhook iniettore sidecar automatico per associare le sidecar inserite a una determinata revisione istiod. Per abilitare l'inserimento automatico sidecar per uno spazio dei nomi, devi etichettarlo con una revisione che corrisponda all'etichetta su istiod.

Verifica che l'installazione sia stata completata:

kubectl get svc -n istio-system

L'output dovrebbe avere l'aspetto seguente:

NAME                   TYPE           CLUSTER-IP       EXTERNAL-IP     PORT(S)                                                                      AGE
istio-ingressgateway   LoadBalancer   172.200.48.52    34.74.177.168   15021:30479/TCP,80:30030/TCP,443:32200/TCP,15012:32297/TCP,15443:30244/TCP   3m35s
istiod                 ClusterIP      172.200.18.133   <none>          15010/TCP,15012/TCP,443/TCP,15014/TCP                                        4m46s
istiod-asm-1139-10       ClusterIP      172.200.63.220   <none>          15010/TCP,15012/TCP,443/TCP,15014/TCP                                        3m43s

Maiusc

Preparazione dell'installazione di Anthos Service Mesh

Prima di installare la nuova versione, determina la revisione corrente. Queste informazioni sono necessarie per eliminare il webhook di convalida e la disattivazione del webhook dalla tua attuale installazione di Anthos Service Mesh. Utilizza il comando seguente per archiviare l'attuale revisione di istiod in una variabile di ambiente:
```
export DELETE_REV=$(kubectl get deploy -n istio-system -l app=istiod -o jsonpath={.items[*].metadata.labels.'istio\.io\/rev'}'{"\n"}')
echo $DELETE_REV
```
L'output dovrebbe essere simile al seguente: 1.12.9-asm.2

Nota: se il comando restituisce più valori, imposta il valore DELETE_REV sulla versione meno recente e segui la procedura per eliminare la versione meno recente, quindi ripeti il processo finché non avrai eliminato tutte le versioni.

Linux

Concedi il vincolo di contesto di sicurezza (SCC) anyuid all'intero sistema con il seguente comando dell'interfaccia a riga di comando OpenMaiusc (oc):

oc adm policy add-scc-to-group anyuid system:serviceaccounts:istio-system

Scarica il file di installazione di Anthos Service Mesh nella directory di lavoro attuale:

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-linux-amd64.tar.gz

Scarica il file della firma e utilizza OpenSSL per verificare la firma:

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-linux-amd64.tar.gz.1.sig

openssl dgst -verify /dev/stdin -signature istio-1.13.9-asm.10-linux-amd64.tar.gz.1.sig istio-1.13.9-asm.10.tar.gz <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

Estrai i contenuti del file in qualsiasi posizione nel file system. Ad esempio, per estrarre i contenuti nella directory di lavoro attuale:

tar xzf istio-1.13.9-asm.10-linux-amd64.tar.gz

Il comando crea una directory di installazione nella directory di lavoro attuale denominata istio-1.13.9-asm.10 che contiene:

Applicazioni di esempio nella directory samples.
Lo strumento a riga di comando istioctl che utilizzi per installare Anthos Service Mesh si trova nella directory bin.
I profili di configurazione di Anthos Service Mesh si trovano nella directory manifests/profiles.

Assicurati di essere nella directory principale dell'installazione di Anthos Service Mesh:

cd istio-1.13.9-asm.10

Per comodità, aggiungi gli strumenti nella directory /bin a PATH:

export PATH=$PWD/bin:$PATH

Mac OS

Concedi il vincolo di contesto di sicurezza (SCC) anyuid all'intero sistema con il seguente comando dell'interfaccia a riga di comando OpenMaiusc (oc):

oc adm policy add-scc-to-group anyuid system:serviceaccounts:istio-system

Scarica il file di installazione di Anthos Service Mesh nella directory di lavoro attuale:

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-osx.tar.gz

Scarica il file della firma e utilizza OpenSSL per verificare la firma:

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-osx.tar.gz.1.sig

openssl dgst -sha256 -verify /dev/stdin -signature istio-1.13.9-asm.10-osx.tar.gz.1.sig istio-1.13.9-asm.10.tar.gz <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

Estrai i contenuti del file in qualsiasi posizione nel file system. Ad esempio, per estrarre i contenuti nella directory di lavoro attuale:

tar xzf istio-1.13.9-asm.10-osx.tar.gz

Il comando crea una directory di installazione nella directory di lavoro attuale denominata istio-1.13.9-asm.10 che contiene:

Applicazioni di esempio nella directory samples.
Lo strumento a riga di comando istioctl che utilizzi per installare Anthos Service Mesh si trova nella directory bin.
I profili di configurazione di Anthos Service Mesh si trovano nella directory manifests/profiles.

Assicurati di essere nella directory principale dell'installazione di Anthos Service Mesh:

cd istio-1.13.9-asm.10

Per comodità, aggiungi gli strumenti nella directory /bin a PATH:

export PATH=$PWD/bin:$PATH

Windows

Concedi il vincolo di contesto di sicurezza (SCC) anyuid all'intero sistema con il seguente comando dell'interfaccia a riga di comando OpenMaiusc (oc):

oc adm policy add-scc-to-group anyuid system:serviceaccounts:istio-system

Scarica il file di installazione di Anthos Service Mesh nella directory di lavoro attuale:

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-win.zip

Scarica il file della firma e utilizza OpenSSL per verificare la firma:

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.13.9-asm.10-win.zip.1.sig

openssl dgst -verify - -signature istio-1.13.9-asm.10-win.zip.1.sig istio-1.13.9-asm.10.win.zip <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

Estrai i contenuti del file in qualsiasi posizione nel file system. Ad esempio, per estrarre i contenuti nella directory di lavoro attuale:

tar xzf istio-1.13.9-asm.10-win.zip

Il comando crea una directory di installazione nella directory di lavoro attuale denominata istio-1.13.9-asm.10 che contiene:

Applicazioni di esempio nella directory samples.
Lo strumento a riga di comando istioctl che utilizzi per installare Anthos Service Mesh si trova nella directory bin.
I profili di configurazione di Anthos Service Mesh si trovano nella directory manifests\profiles.

Assicurati di essere nella directory principale dell'installazione di Anthos Service Mesh:

cd istio-1.13.9-asm.10

Per comodità, aggiungi gli strumenti nella directory \bin al tuo PATH:

set PATH=%CD%\bin:%PATH%

Ora che Anthos Service Mesh Istio è installato, controlla la versione di istioctl:
```
istioctl version
```
Crea uno spazio dei nomi chiamato istio-system per i componenti del piano di controllo:
```
kubectl create namespace istio-system
```

Configura il webhook di convalida

Quando installi Anthos Service Mesh, imposti un'etichetta di revisione su istiod. Devi impostare la stessa revisione sul webhook di convalida.

Crea un file denominato istiod-service.yaml con il seguente contenuto:

apiVersion: v1
kind: Service
metadata:
  name: istiod
  namespace: istio-system
  labels:
    istio.io/rev: asm-1139-10
    app: istiod
    istio: pilot
    release: istio
spec:
  ports:
    - port: 15010
      name: grpc-xds # plaintext
      protocol: TCP
    - port: 15012
      name: https-dns # mTLS with k8s-signed cert
      protocol: TCP
    - port: 443
      name: https-webhook # validation and injection
      targetPort: 15017
      protocol: TCP
    - port: 15014
      name: http-monitoring # prometheus stats
      protocol: TCP
  selector:
    app: istiod
    istio.io/rev: asm-1139-10
  meshConfig:
    accessLogFormat:
      '{"start_time":"%START_TIME%","remote_address":"%DOWNSTREAM_DIRECT_REMOTE_ADDRESS%","user_agent":"%REQ(USER-AGENT)%","host":"%REQ(:AUTHORITY)%","request":"%REQ(:METHOD)% %REQ(X-ENVOY-ORIGINAL-PATH?:PATH)% %PROTOCOL%","request_time":"%DURATION%","status":"%RESPONSE_CODE%","status_details":"%RESPONSE_CODE_DETAILS%","bytes_received":"%BYTES_RECEIVED%","bytes_sent":"%BYTES_SENT%","upstream_address":"%UPSTREAM_HOST%","upstream_response_flags":"%RESPONSE_FLAGS%","upstream_response_time":"%RESPONSE_DURATION%","upstream_service_time":"%RESP(X-ENVOY-UPSTREAM-SERVICE-TIME)%","upstream_cluster":"%UPSTREAM_CLUSTER%","x_forwarded_for":"%REQ(X-FORWARDED-FOR)%","request_method":"%REQ(:METHOD)%","request_path":"%REQ(X-ENVOY-ORIGINAL-PATH?:PATH)%","request_protocol":"%PROTOCOL%","tls_protocol":"%DOWNSTREAM_TLS_VERSION%","request_id":"%REQ(X-REQUEST-ID)%","sni_host":"%REQUESTED_SERVER_NAME%","apigee_dynamic_data":"%DYNAMIC_METADATA(envoy.lua)%"}'

Utilizza kubectl per applicare la configurazione di convalida dei webhook:
```
kubectl apply -f istiod-service.yaml
```

Verifica che la configurazione sia stata applicata:

kubectl get svc -n istio-system

La risposta dovrebbe essere simile a:

NAME     TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)                                 AGE
istiod   ClusterIP   172.200.18.133   <none>        15010/TCP,15012/TCP,443/TCP,15014/TCP   22s

Installazione di Anthos Service Mesh

Modifica il file overlay.yaml o creane uno nuovo con i seguenti contenuti:

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  meshConfig:
    accessLogFile: /dev/stdout
    enableTracing: true
    accessLogFormat:
      '{"start_time":"%START_TIME%","remote_address":"%DOWNSTREAM_DIRECT_REMOTE_ADDRESS%","user_agent":"%REQ(USER-AGENT)%","host":"%REQ(:AUTHORITY)%","request":"%REQ(:METHOD)% %REQ(X-ENVOY-ORIGINAL-PATH?:PATH)% %PROTOCOL%","request_time":"%DURATION%","status":"%RESPONSE_CODE%","status_details":"%RESPONSE_CODE_DETAILS%","bytes_received":"%BYTES_RECEIVED%","bytes_sent":"%BYTES_SENT%","upstream_address":"%UPSTREAM_HOST%","upstream_response_flags":"%RESPONSE_FLAGS%","upstream_response_time":"%RESPONSE_DURATION%","upstream_service_time":"%RESP(X-ENVOY-UPSTREAM-SERVICE-TIME)%","upstream_cluster":"%UPSTREAM_CLUSTER%","x_forwarded_for":"%REQ(X-FORWARDED-FOR)%","request_method":"%REQ(:METHOD)%","request_path":"%REQ(X-ENVOY-ORIGINAL-PATH?:PATH)%","request_protocol":"%PROTOCOL%","tls_protocol":"%DOWNSTREAM_TLS_VERSION%","request_id":"%REQ(X-REQUEST-ID)%","sni_host":"%REQUESTED_SERVER_NAME%","apigee_dynamic_data":"%DYNAMIC_METADATA(envoy.lua)%"}'
  components:
    ingressGateways:
      - name: istio-ingressgateway
        enabled: true
        k8s:
          service:
            type: LoadBalancer
            ports:
            - name: status-port
              port: 15021
              targetPort: 15021
            - name: http2
              port: 80
              targetPort: 8080
            - name: https
              port: 443
              targetPort: 8443

Installa Anthos Service Mesh con istioctl utilizzando il profilo asm-multicloud:

istioctl install \
    --set profile=asm-multicloud \
    --set revision="asm-1139-10" \
    --filename overlayfile.yaml

L'output dovrebbe avere l'aspetto seguente:

kubectl get pods -n istio-system
NAME                                   READY   STATUS    RESTARTS   AGE
istio-ingressgateway-88b6fd976-flgp2   1/1     Running   0          3m13s
istio-ingressgateway-88b6fd976-p5dl9   1/1     Running   0          2m57s
istiod-asm-1139-10-798ffb964-2ls88       1/1     Running   0          3m21s
istiod-asm-1139-10-798ffb964-fnj8c       1/1     Running   1          3m21s

L'argomento --set revision aggiunge un'etichetta di revisione nel formato istio.io/rev=1.6.11-asm.1 a istiod. L'etichetta di revisione viene utilizzata dal webhook iniettore sidecar automatico per associare le sidecar inserite a una determinata revisione istiod. Per abilitare l'inserimento automatico sidecar per uno spazio dei nomi, devi etichettarlo con una revisione che corrisponda all'etichetta su istiod.

Verifica che l'installazione sia stata completata:

kubectl get svc -n istio-system

L'output dovrebbe avere l'aspetto seguente:

NAME                   TYPE           CLUSTER-IP       EXTERNAL-IP     PORT(S)                                                                      AGE
istio-ingressgateway   LoadBalancer   172.200.48.52    34.74.177.168   15021:30479/TCP,80:30030/TCP,443:32200/TCP,15012:32297/TCP,15443:30244/TCP   3m35s
istiod                 ClusterIP      172.200.18.133   <none>          15010/TCP,15012/TCP,443/TCP,15014/TCP                                        4m46s
istiod-asm-1139-10       ClusterIP      172.200.63.220   <none>          15010/TCP,15012/TCP,443/TCP,15014/TCP                                        3m43s