Anthos Service Mesh 1.6

설치 소개

이 가이드에서는 Google Cloud 프로젝트를 준비하고, 기존 Google Cloud 기반 GKE 클러스터를 설정하고, Anthos Service Mesh 1.6.8 버전을 설치하는 방법을 설명합니다. 이전 버전의 Anthos Service Mesh가 설치되어 있는 경우 GKE에서 Anthos Service Mesh 업그레이드를 참조하세요.

시작하기 전에

이 가이드에서는 다음 작업을 이미 완료했다고 가정합니다.

요구사항

  • GKE 클러스터는 다음 요구사항을 충족해야 합니다.

  • 서비스 메시에 포함하려면 서비스 포트의 이름이 지정되어야 하며 이름은 name: protocol[-suffix] 구문에서 포트 프로토콜을 포함해야 합니다. 여기서 대괄호는 대시로 시작해야 하는 선택적 서픽스를 나타냅니다. 자세한 내용은 서비스 포트 이름 지정을 참조하세요.

  • 비공개 클러스터에 Anthos Service Mesh를 설치하는 경우 자동 사이드카 삽입과 함께 사용되는 웹훅을 가져오려면 방화벽에서 포트 15017을 열어야 제대로 작동합니다. 다음과 같이 방화벽 규칙을 추가하거나 비공개 클러스터를 만들 때 자동으로 생성된 방화벽 규칙을 업데이트할 수 있습니다.

    1. 클러스터의 소스 범위(master-ipv4-cidr)를 찾습니다. 다음 명령어에서 CLUSTER_NAME을 클러스터 이름으로 바꿉니다.

      gcloud compute firewall-rules list --filter="name~gke-CLUSTER_NAME-[0-9a-z]*-master"
    2. 포트 15017을 사용하여 방화벽 규칙을 업데이트합니다. 다음 명령어에서 FIREWALL_RULE_NAME을 방화벽 이름으로 바꿉니다.

      gcloud compute firewall-rules update FIREWALL_RULE_NAME --allow tcp:10250,tcp:443,tcp:15017

      update 명령어는 실제로 교체 명령어이므로 기본 포트 443(HTTPS) 및 10250(kubelet)과 15017을 포함해야 합니다.

  • 조직에서 서비스 경계를 만든 경우 경계에 Mesh CA 서비스를 추가해야 할 수도 있습니다. 자세한 내용은 서비스 경계에 Mesh CA 추가를 참조하세요.

제한사항

Google Cloud 프로젝트당 Anthos Service Mesh 설치는 한 개만 지원됩니다. 단일 프로젝트에서 여러 메시 배포는 지원되지 않습니다.

인증서 데이터

Mesh CA의 인증서에는 애플리케이션 서비스에 대한 다음 데이터가 포함됩니다.

  • Google Cloud 프로젝트 ID
  • GKE 네임스페이스
  • GKE 서비스 계정 이름

구성 프로필 선택

Anthos Service Mesh를 설치할 때는 다음 구성 프로필 중 하나를 선택해야 합니다.

  • asm-gcp: Google Cloud 기반 GKE 클러스터가 모두 동일한 프로젝트에 있는 경우 이 프로필을 사용합니다. 이 프로필로 Anthos Service Mesh를 설치하면 다음 기능이 사용 설정됩니다.

  • asm-gcp-multiproject: 클러스터가 공유 Virtual Private Cloud에 있고 서로 다른 프로젝트의 클러스터를 Anthos Service Mesh에 추가하려면 이 프로필을 사용합니다. asm-gcp-multiproject 프로필을 사용하여 Anthos Service Mesh를 설치하는 경우:

    • 현재 Cloud Console에서 Anthos Service Mesh 대시보드를 사용할 수 없습니다. 그러나 각 프로젝트에 대해 Cloud Logging의 로그와 Cloud Monitoring의 측정항목은 계속 볼 수 있습니다.

    • asm-gcp-multiproject 구성 프로필의 지원되는 기능 페이지에 나열된 다른 지원되는 기본 기능

멀티 클러스터 지원

현재는 필요하지 않지만 프로젝트의 Environ(허브라고도 함)에 클러스터를 등록하는 것이 좋습니다. Environ을 사용하면 멀티 클러스터 관리가 더 쉽도록 클러스터를 구성할 수 있습니다. Environ에 클러스터를 등록하면 서비스 및 기타 인프라를 필요에 따라 그룹화하여 일관된 정책을 적용할 수 있습니다. 클러스터가 서로 다른 프로젝트에 있는 경우 클러스터가 생성된 프로젝트가 아닌 Environ 호스트 프로젝트에 클러스터를 등록해야 합니다. 자세한 내용은 Environ에 클러스터 등록을 참조하세요.

Environ 호스트 프로젝트의 개념은 클러스터를 설정하여 Anthos Service Mesh에 필요한 옵션을 사용 설정할 때 중요합니다. 클러스터의 서비스 메시는 프로젝트 번호를 기반으로 하는 값으로 식별됩니다. 다른 프로젝트에 있는 클러스터를 설정할 때는 Environ 호스트 프로젝트에 프로젝트 번호를 사용해야 합니다.