Voraussetzungen für Cloud Service Mesh im Cluster
Auf dieser Seite werden die Voraussetzungen und Anforderungen für die Installation Cloud Service Mesh im Cluster in GKE, z. B. wie GKE Enterprise-Lizenzierung, Clusteranforderungen, Flottenanforderungen und allgemeine Anforderungen.
Cloud-Projekt
Hinweise:
Wählen Sie ein Google Cloud-Projekt aus oder erstellen Sie eines.
Prüfen Sie, ob für Ihr Projekt die Abrechnung aktiviert ist.
GKE Enterprise-Lizenzierung
Cloud Service Mesh ist mit GKE Enterprise oder als eigenständiger Dienst verfügbar.
Die Abrechnung erfolgt über Google APIs. So verwenden Sie das Cloud Service Mesh als
einen eigenständigen Dienst nutzen, aktivieren Sie nicht die GKE Enterprise API in Ihrem Projekt.
asmcli
aktiviert alle anderen erforderlichen Google APIs für Sie. Für
Informationen zu den Cloud Service Mesh-Preisen finden Sie unter Preise.
GKE Enterprise-Abonnenten müssen die GKE Enterprise API aktivieren.
Auch wenn Sie kein GKE Enterprise-Abonnent sind, können Sie Cloud Service Mesh. Bestimmte UI-Elemente und -Funktionen in der Google Cloud Console sind jedoch nur für GKE Enterprise-Abonnenten verfügbar. Informationen zu was Abonnenten und anderen Nutzern zur Verfügung stehen, Unterschiede zwischen der GKE Enterprise- und Cloud Service Mesh-UI
Wenn Sie die GKE Enterprise API aktiviert haben, aber Cloud Service Mesh als einen eigenständigen Dienst, Deaktivieren Sie die GKE Enterprise API.
Allgemeine Voraussetzungen
Für die Aufnahme in das Service Mesh müssen Dienstports benannt werden und der Name muss das Protokoll des Ports in der folgenden Syntax enthalten:
name: protocol[-suffix]
, wobei die eckigen Klammern ein optionales Suffix angeben, das mit einem Bindestrich beginnen muss. Weitere Informationen finden Sie unter Dienstports benennen.Wenn Sie einen Dienstperimeter erstellt haben in Ihrer Organisation müssen Sie möglicherweise den Cloud Service Mesh-Zertifizierungsstellendienst hinzufügen, bis zum Perimeter. Weitere Informationen finden Sie unter Cloud Service Mesh-Zertifizierungsstelle zu einem Dienstperimeter hinzufügen .
Wenn Sie die standardmäßigen Ressourcenlimits für den Sidecar-Container
istio-proxy
ändern möchten, müssen die neuen Werte größer als die Standardwerte sein, um Ereignisse aufgrund von Speicherplatzmangel zu vermeiden.Mit einem Google Cloud-Projekt kann nur ein Mesh verknüpft sein.
Clusteranforderungen
Prüfen Sie, ob Ihre Clusterversion unter Unterstützte Plattformen aufgeführt ist.
Ihr GKE-Cluster muss die folgenden Anforderungen erfüllen:
Der GKE-Cluster muss Standard sein. Autopilot-Cluster sind wird nur für verwaltetes Cloud Service Mesh unterstützt.
Ein Maschinentyp mit mindestens vier vCPUs, z. B.
e2-standard-4
. Wenn der Maschinentyp für Ihren Cluster nicht mindestens vier vCPUs hat, ändern Sie den Maschinentyp, wie unter Arbeitslasten zu anderen Maschinentypen migrieren beschrieben.Die Mindestanzahl an Knoten hängt vom Maschinentyp ab. Cloud-Service-Mesh erfordert mindestens 8 vCPUs. Wenn der Maschinentyp vier vCPUs hat, muss der Cluster mindestens zwei Knoten haben. Hat der Maschinentyp acht vCPUs, benötigt der Cluster nur einen Knoten. Informationen zum Hinzufügen von Knoten finden Sie unter Größe eines Clusters anpassen.
GKE Workload Identity ist erforderlich. Wir empfehlen Ihnen, Workload Identity aktivieren bevor Sie Cloud Service Mesh installieren. Wenn Sie Workload Identity aktivieren, ändert sich die Art und Weise, wie Aufrufe Ihrer Arbeitslasten an Google APIs gesichert werden. Weitere Informationen hierzu finden Sie unter Einschränkungen bei Workload Identity. Der GKE-Metadatenserver muss nicht auf vorhandenen Knotenpools aktiviert werden.
Es wird empfohlen, den Cluster in einer Release-Version zu registrieren. Dies ist jedoch optional. Wir empfehlen Ihnen, sich für die Release-Version „Regular“ anzumelden, da andere Kanäle basieren möglicherweise auf einer nicht unterstützten GKE-Version mit Cloud Service Mesh 1.22.3. Weitere Informationen finden Sie unter Unterstützte Plattformen. Folgen Sie der Anleitung unter Vorhandenen Cluster in einer Release-Version registrieren, wenn Sie eine statische GKE-Version haben.
Wenn Sie Cloud Service Mesh in einem privaten Cluster installieren, müssen Sie den Port öffnen 15017 in der Firewall, um die Webhooks für automatische Sidecar-Einfügung und Konfiguration Validierung funktioniert. Weitere Informationen finden Sie unter Port auf einem privaten Cluster öffnen.
Achten Sie darauf, dass der Clientcomputer, von dem Sie Cloud Service Mesh installieren, Netzwerkverbindung zum API-Server.
Für Windows Server-Arbeitslasten wird Cloud Service Mesh nicht unterstützt. Wenn Ihr Cluster sowohl Linux- als auch Windows Server-Knotenpools hat, können Sie Cloud Service Mesh und verwenden Sie es auf Ihren Linux-Arbeitslasten.
- Nach der Bereitstellung des Cloud Service Mesh müssen Sie wenden Sie sich bitte an den Support, bevor Sie beginnen. IP-Rotation oder Rotation von Zertifikatanmeldedaten.
Flottenanforderungen
Alle Cluster müssen bei einem
Flotten
Flotten-Workload Identity
muss aktiviert sein. Sie können entweder die Cluster selbst einrichten oder asmcli
die Cluster registrieren lassen, solange sie die folgenden Anforderungen erfüllen:
- GKE (gilt für clusterinternes und verwaltetes Cloud Service Mesh) GKE Workload Identity aktivieren in Ihrem Google Kubernetes Engine-Cluster, falls er nicht bereits aktiviert ist. Darüber hinaus haben Sie muss Registrieren Sie den Cluster mithilfe von Workload Identity für die Flotte.
Wenn Sie asmcli install
ausführen, geben Sie die Projekt-ID des Flottenhostprojekts an.
asmcli
registriert den Cluster, falls er noch nicht registriert wurde.