Cloud Service Mesh auf einem GKE Autopilot-Cluster bereitstellen

Umgebung einrichten

Sie können Ihre Umgebung mit der gcloud CLI oder Terraform einrichten.

gcloud config set project PROJECT_ID
GOOGLE_CLOUD_PROJECT=$(gcloud config get-value project)
export GOOGLE_CLOUD_PROJECT

GKE-Cluster erstellen

Erstellen Sie einen GKE-Cluster im Autopilot-Modus.

resource "google_container_cluster" "cluster" {
  name                = "asm-cluster"
  location            = var.region
  deletion_protection = false # Warning: Do not set deletion_protection to false for production clusters

  enable_autopilot = true
  fleet {
    project = data.google_project.project.name
  }
}

data "google_project" "project" {}

Verwaltetes Cloud Service Mesh bereitstellen

Sie stellen verwaltetes Anthos Service Mesh mithilfe des Features servicemesh für die Flottenmitgliedschaft für Ihren Cluster bereit.

resource "google_project_service" "mesh_api" {
  service = "mesh.googleapis.com"

  disable_dependent_services = true
}

resource "google_gke_hub_feature" "feature" {
  name     = "servicemesh"
  location = "global"

  depends_on = [
    google_project_service.mesh_api
  ]
}

resource "google_gke_hub_feature_membership" "feature_member" {
  location   = "global"
  feature    = google_gke_hub_feature.feature.name
  membership = google_container_cluster.cluster.fleet.0.membership
  membership_location = google_container_cluster.cluster.location
  mesh {
    management = "MANAGEMENT_AUTOMATIC"
  }
}

Prüfen, ob die Steuerungsebene aktiv ist

Warten Sie, bis controlPlaneManagement.state den Wert ACTIVE hat. Dies kann bis zu 15 Minuten dauern.

watch -n 30 gcloud container fleet mesh describe

Die Ausgabe sieht etwa so aus:

membershipSpecs:
  projects/746296320118/locations/us-central1/memberships/asm-cluster:
    mesh:
      management: MANAGEMENT_AUTOMATIC
membershipStates:
  projects/746296320118/locations/us-central1/memberships/asm-cluster:
    servicemesh:
      controlPlaneManagement:
        details:
        - code: REVISION_READY
          details: 'Ready: asm-managed'
        state: ACTIVE
      dataPlaneManagement:
        details:
        - code: PROVISIONING
          details: Service is provisioning.
        state: PROVISIONING
    state:
      code: OK
      description: 'Revision(s) ready for use: asm-managed.'

Der Abschnitt dataPlaneManagement bleibt im Status PROVISIONING, bis Sie das Ingress-Gateway bereitstellen, da Autopilot-Cluster erst dann Knoten bereitstellen, wenn Sie eine Arbeitslast bereitstellen.

Mesh-Ingress-Gateway bereitstellen

In diesem Abschnitt stellen Sie ein Mesh-Ingress-Gateway bereit, um eingehenden Traffic für die Beispielanwendung zu verarbeiten. Ein Ingress-Gateway ist ein Load-Balancer, der am Rand des Mesh-Netzwerks ausgeführt wird und eingehende oder ausgehende HTTP/TCP-Verbindungen empfängt.

Sie stellen das Gateway in einem dedizierten Namespace bereit und kennzeichnen die Bereitstellung mit einem Label, damit Ihr Gateway von der Cloud Service Mesh-Steuerungsebene sicher verwaltet und automatisch aktualisiert werden kann.

1. Laden Sie die Anmeldedaten herunter, damit Sie auf den Cluster zugreifen können:

   gcloud container clusters get-credentials asm-cluster --location=us-central1
   

2. Erstellen Sie einen Namespace für das Gateway-Deployment:

   kubectl create namespace bank-gateways
   

3. Fügen Sie dem Namespace ein Label hinzu, damit die Cloud Service Mesh-Steuerungsebene die Gateway-Konfiguration automatisch in das Deployment einfügt.

   kubectl label namespace bank-gateways istio-injection=enabled
   

4. Stellen Sie das Ingress-Gateway im Namespace bereit:

   Helm

   helm repo add istio https://istio-release.storage.googleapis.com/charts
   helm repo update
   helm install --wait --namespace bank-gateways \
       --set resources.requests.cpu=250m \
       --set resources.requests.memory=512Mi \
       --set resources.requests.ephemeral-storage=1Gi \
       --set resources.limits.cpu=250m \
       --set resources.limits.memory=512Mi \
       --set resources.limits.ephemeral-storage=1Gi \
       istio-ingressgateway istio/gateway
   

   kubectl

   kubectl apply -n bank-gateways \
       -k https://github.com/GoogleCloudPlatform/anthos-service-mesh-packages/tree/main/samples/gateways/istio-ingressgateway
   kubectl -n bank-gateway wait "deployment/istio-ingressgateway"  \
       --for=condition=available --timeout=240s
   

   Achten Sie darauf, dass Sie angemessene Ressourcenanfragen stellen, wenn Sie die Bereitstellung in einer Produktionsumgebung vornehmen. GKE Autopilot berücksichtigt nur Ressourcenwerte, die in requests und nicht in limits festgelegt sind. Das Istio-Projekt veröffentlicht Informationen zu Leistung und Skalierbarkeit.

Beispielanwendung bereitstellen

1. Erstellen Sie einen Kubernetes-Namespace für die Bereitstellung:

   kubectl create namespace bank-sample
   

2. Fügen Sie dem Namespace ein Label hinzu, damit Cloud Service Mesh Sidecar-Proxys automatisch in die Beispiel-Pods einfügt:

   kubectl label namespace bank-sample istio-injection=enabled
   

3. Beispielanwendung bereitstellen:

   git clone https://github.com/GoogleCloudPlatform/bank-of-anthos.git
   kubectl apply -n bank-sample -f bank-of-anthos/extras/jwt/jwt-secret.yaml
   kubectl apply -n bank-sample -f bank-of-anthos/kubernetes-manifests/
   

4. Warten Sie, bis die Anwendung bereit ist. Dieser Vorgang dauert einige Minuten.

   watch kubectl -n bank-sample get pods
   

   Wenn die Anwendung bereit ist, sieht die Ausgabe in etwa so aus:

   NAME                                 READY   STATUS    RESTARTS   AGE
   accounts-db-0                        2/2     Running   0          2m16s
   balancereader-5c695f78f5-x4wlz       2/2     Running   0          3m8s
   contacts-557fc79c5-5d7fg             2/2     Running   0          3m7s
   frontend-7dd589c5d7-b4cgq            2/2     Running   0          3m7s
   ledger-db-0                          2/2     Running   0          3m6s
   ledgerwriter-6497f5cf9b-25c6x        2/2     Running   0          3m5s
   loadgenerator-57f6896fd6-lx5df       2/2     Running   0          3m5s
   transactionhistory-6c498965f-tl2sk   2/2     Running   0          3m4s
   userservice-95f44b65b-mlk2p          2/2     Running   0          3m4s
   

5. Erstellen Sie die Istio-Ressourcen Gateway und VirtualService, um die Anwendung hinter dem Ingress-Gateway verfügbar zu machen:

   kubectl apply -n bank-sample -f bank-of-anthos/extras/istio/frontend-ingress.yaml
   

6. Rufen Sie einen Link zur Beispielanwendung ab:

   INGRESS_HOST=$(kubectl -n bank-gateways get service istio-ingressgateway \
       -o jsonpath='{.status.loadBalancer.ingress[0].ip}')
   echo "http://$INGRESS_HOST"
   

7. Klicken Sie in einem Browser auf den Link, um die Beispielanwendung zu öffnen. Melden Sie sich mit dem Standardnutzernamen und -passwort an, um die Anwendung anzuzeigen.

Gegenseitiges TLS erzwingen

Prüfen Sie, ob der strikte Modus für gegenseitiges TLS (mTLS) aktiviert ist. Wenden Sie eine PeerAuthentication-Standardrichtlinie auf das Mesh im Namespace "istio-system" an.

1. Speichern Sie das folgende Manifest als mesh-peer-authn.yaml:

   apiVersion: "security.istio.io/v1beta1"
   kind: "PeerAuthentication"
   metadata:
     name: "default"
     namespace: "istio-system"
   spec:
     mtls:
       mode: STRICT
   

2. Wenden Sie das Manifest auf den Cluster an:

   kubectl apply -f mesh-peer-authn.yaml
   

Sie können diese Konfiguration durch Erstellen von PeerAuthentication-Ressourcen in bestimmten Namespaces überschreiben.

Cloud Service Mesh-Dashboards ansehen

1. Rufen Sie in der Google Cloud Console Cloud Service Mesh auf, um die Dashboards für Ihr Mesh aufzurufen:

   Cloud Service Mesh aufrufen

2. Wählen Sie das Projekt aus der Drop-down-Liste in der Menüleiste aus.

   Sie sehen eine Übersichtstabelle mit allen Mikrodiensten in Ihrem Mesh-Netzwerk und eine grafische Visualisierung der Verbindungen zwischen den Mikrodiensten. Für jeden Mikrodienst zeigt die Tabelle drei der goldenen Signale des SRE:

   • Traffic – Anfragen pro Sekunde
   • Fehlerrate – ein Prozentsatz
   • Latenz – Millisekunden

   Diese Messwerte basieren auf dem tatsächlichen Traffic, der von den Mikrodiensten verarbeitet wird. Konstanter Test-Traffic wird automatisch von einem loadgenerator-Client an den frontend-Dienst gesendet, der als Teil der Beispielanwendung bereitgestellt wird. Cloud Service Mesh sendet Messwerte, Logs und (optional) Traces automatisch an Google Cloud Observability.

3. Klicken Sie in der Tabelle auf den frontend-Dienst, um ein Dashboard für den Dienst aufzurufen. Sie sehen zusätzliche Messwerte für den Dienst und eine Visualisierung der eingehenden und ausgehenden Verbindungen. Sie können auch ein Service Level Object (SLO) erstellen, um den Dienst zu überwachen und Benachrichtigungen zu senden.

Prüfen, ob mTLS aktiviert ist

Klicken Sie auf den Sicherheitslink im Bereich, um eine Sicherheitsübersicht für den Dienst frontend aufzurufen. Die Tabelle und die Visualisierung zeigen ein grünes Schloss-Symbol für jede eingehende und ausgehende Verbindung zwischen Mikrodiensten. Dieses Symbol zeigt an, dass die Verbindung zur Authentifizierung und Verschlüsselung mTLS verwendet.