Anthos Service Mesh 1.6

Présentation de l'installation et de la migration

Ce guide explique comment préparer votre projet Google Cloud, configurer un cluster GKE sur Google Cloud existant et installer Anthos Service Mesh version 1.6.11. Vous pouvez utiliser ce guide pour les cas d'utilisation suivants :

  • Nouvelles installations d'Anthos Service Mesh. Si une version précédente d'Anthos Service Mesh est installée, consultez la page Mettre à niveau Anthos Service Mesh sur GKE.

  • Migration du logiciel Open Source Istio 1.6 vers Anthos Service Mesh.

  • Migration de la version 1.6 du module complémentaire Istio sur GKE vers Anthos Service Mesh. Pour pouvoir migrer vers Anthos Service Mesh, vous devez d'abord passer à Istio 1.6 avec l'opérateur.

Avant de commencer

Ce guide suppose que vous disposez des éléments suivants :

Conditions requises

  • Votre cluster GKE doit répondre aux exigences suivantes :

    • Type de machine comportant au moins quatre processeurs virtuels, par exemple e2-standard-4. Si le type de machine de votre cluster ne comporte pas au moins quatre processeurs virtuels, modifiez le type de machine comme décrit dans la section Migrer des charges de travail vers différents types de machines.

    • Le nombre minimal de nœuds dépend du type de machine. Anthos Service Mesh nécessite au moins huit processeurs virtuels. Si le type de machine comporte quatre processeurs virtuels, votre cluster doit comporter au moins deux nœuds. Si le type de machine comporte huit processeurs virtuels, le cluster n'a besoin que d'un nœud. Si vous devez ajouter des nœuds, consultez la page Redimensionner un cluster.

    • Si vous souhaitez ajouter des clusters de différents projets Cloud à Anthos Service Mesh, ces clusters doivent se trouver dans un cloud privé virtuel (VPC) partagé. Pour en savoir plus sur la configuration des clusters, consultez la page Configurer des clusters avec un VPC partagé.

    • Pour préparer votre cluster avant d'installer Anthos Service Mesh, activez Workload Identity. Workload Identity est la méthode recommandée pour appeler les API Google. L'activation de Workload Identity modifie la manière dont les appels de vos charges de travail vers les API Google sont sécurisés, comme décrit dans la section Limites de Workload Identity.

    • Nous vous recommandons d'inscrire le cluster dans une version disponible, mais cela n'est pas obligatoire. Nous vous recommandons de vous inscrire à la version disponible standard, car d'autres versions peuvent être basées sur une version de GKE non compatible avec Anthos Service Mesh 1.6.11. Pour plus d'informations, consultez la section Environnements compatibles. Suivez les instructions de la page Enregistrer un cluster existant dans une version disponible si vous disposez d'une version GKE statique.

  • Pour être inclus dans le maillage de services, les ports de service doivent être nommés et le nom de protocole du port doit respecter la syntaxe suivante : name: protocol[-suffix], où les crochets indiquent un suffixe facultatif qui doit commencer par un tiret. Pour plus d'informations, consultez la section Nommer les ports de service.

  • Si vous installez Anthos Service Mesh sur un cluster privé, vous devez ouvrir le port 15017 dans le pare-feu pour que le webhook utilisé avec l'injection side-car automatique fonctionne correctement. Pour en savoir plus, consultez la page Ouvrir un port sur un cluster privé.

  • Si vous avez créé un périmètre de service dans votre organisation, vous devrez peut-être ajouter le service Mesh CA au périmètre. Pour en savoir plus, consultez la section Ajouter l'autorité de certification Mesh CA à un périmètre de service.

Restrictions

Une seule installation d'Anthos Service Mesh par projet Google Cloud est acceptée. Les déploiements de plusieurs maillages dans un seul projet ne sont pas acceptés.

Choisir un profil de configuration

Lorsque vous installez Anthos Service Mesh, vous devez choisir l'un des profils de configuration suivants :

  • asm-gcp : utilisez ce profil si tous vos clusters GKE sur Google Cloud se trouvent dans le même projet. Lorsque vous installez Anthos Service Mesh avec ce profil, les fonctionnalités suivantes sont activées :

  • asm-gcp-multiproject (version bêta) : utilisez ce profil si votre cluster se trouve dans un cloud privé virtuel partagé et que vous souhaitez ajouter des clusters de différents projets à Anthos Service Mesh. Lorsque vous installez Anthos Service Mesh à l'aide du profil asm-gcp-multiproject :

    • Les tableaux de bord Anthos Service Mesh de Cloud Console ne sont pas disponibles actuellement. Toutefois, vous pouvez toujours consulter les journaux dans Cloud Logging et les métriques dans Cloud Monitoring pour chaque projet.

    • Les autres fonctionnalités compatibles par défaut répertoriées sur la page Fonctionnalités compatibles du profil de configuration asm-gcp-multiproject sont activées.

Choisir une autorité de certification

Pour les nouvelles installations et les migrations, vous pouvez utiliser l'autorité de certification Anthos Service Mesh (Mesh CA) ou Citadel (désormais intégrée à istiod) en tant qu'autorité de certification (CA) pour émettre des certificats TLS mutuels (mTLS).

Nous vous recommandons généralement d'utiliser Mesh CA pour les raisons suivantes :

  • Mesh CA est un service hautement fiable et évolutif, optimisé pour les charges de travail à scaling dynamique sur Google Cloud.
  • Avec Mesh CA, Google gère la sécurité et la disponibilité du backend CA.
  • Mesh CA vous permet de dépendre d'une seule racine de confiance dans les clusters.

Vous pouvez cependant envisager d'utiliser Citadel dans certains cas :

  • Si vous disposez d'une autorité de certification personnalisée.
  • Si vous effectuez une migration depuis Istio ou le module complémentaire Istio sur GKE.

    Si vous choisissez Citadel, il n'y a pas d'interruption, car le trafic mTLS n'est pas interrompu pendant la migration. Si vous choisissez Mesh CA, vous devez planifier un temps d'arrêt pour la migration, car le trafic mTLS échoue jusqu'à ce que vous redémarriez tous les pods dans tous les espaces de noms.

Les certificats émis par l'autorité de certification d'Anthos Service Mesh (Mesh CA) incluent les données suivantes sur les services de votre application :

  • L'ID de projet Google Cloud
  • L'espace de noms GKE
  • Le nom du compte de service GKE

Compatibilité multicluster

Bien que cela soit facultatif, nous vous recommandons d'enregistrer votre cluster dans l'Environ de votre projet (également appelé Hub). Un Environ vous permet d'organiser les clusters pour faciliter la gestion multicluster. En enregistrant vos clusters dans un Environ, vous pouvez regrouper des services et d'autres infrastructures selon vos besoins pour appliquer des stratégies cohérentes. Si vous disposez de clusters se trouvant dans différents projets, vous devez les enregistrer auprès du projet hôte d'Environ, plutôt que du projet dans lequel ils ont été créés. Pour plus d'informations, consultez la page Enregistrer des clusters dans l'Environ.

Le concept de projet hôte d'Environ est important lorsque vous configurez votre cluster pour activer les options requises par Anthos Service Mesh. Le maillage de services de votre cluster est identifié par une valeur basée sur un numéro de projet. Lorsque vous configurez des clusters de différents projets, vous devez utiliser le numéro du projet hôte d'Environ.