「asmcli」 を使用してマネージド Anthos Service Mesh を構成する

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

概要

asmcli を使用したマネージド Anthos Service Mesh は、マネージド コントロール プレーンであり、簡単に構成できるオプションのマネージド データプレーンになります。信頼性、アップグレード、スケーリング、セキュリティについては Google が下位互換性のある方法で対応します。このガイドでは、単一クラスタまたはマルチクラスタの構成で、asmcli を使用してマネージド Anthos Service Mesh にアプリケーションを設定または移行する方法について説明します。

マネージド Anthos Service Mesh でサポートされる機能と制限事項については、マネージド Anthos Service Mesh でサポートされる機能をご覧ください。

前提条件

このガイドは、次のものが用意されていることを前提としています。

要件

  • サポートされているいずれかのリージョンで、サポート対象バージョンの GKE を使用している 1 つ以上のクラスタ。
  • マネージド Anthos Service Mesh をインストールするクライアント マシンと API サーバーとのネットワーク接続を確認します。
  • クラスタは、フリートに登録されている必要があります。この手順は、インストール前に個別に行うことも、--enable-registration フラグと --fleet-id フラグを渡してインストールの一環として行うこともできます。
  • プロジェクトでサービス メッシュのフリート機能が有効になっている必要があります。インストールの一部として有効にするには、--enable-gcp-components を渡すか、次のコマンドを実行します。

    gcloud container fleet mesh enable --project=FLEET_PROJECT_ID
    

    ここで、FLEET_PROJECT_ID はフリート ホスト プロジェクトのプロジェクト ID です。

  • GKE Autopilot は GKE バージョン 1.21.3 以降でのみサポートされています。CNI は Google によってインストール、管理されます。

  • マネージド Anthos Service Mesh では、単一プロジェクトの単一ネットワーク環境またはマルチプロジェクトの単一ネットワーク環境で複数の GKE クラスタを使用できます。

  • フリートホスト プロジェクトの外部で作成されたクラスタの指標を表示するには、クラスタのプロジェクトをフリートホスト プロジェクトのモニタリング対象プロジェクトに追加する必要があります。

    • 異なるプロジェクトのクラスタを追加する場合は、同じフリート ホスト プロジェクトに登録する必要があります。また、共有 VPC 構成でクラスタを同じネットワークに接続する必要があります。
    • また、1 つのプロジェクトに共有 VPC をホストし、別々のサービス プロジェクトでクラスタを作成することをおすすめします。詳細については、共有 VPC を使用したクラスタの設定をご覧ください。
    • 組織で VPC Service Controls を使用している場合は、マネージド・コントロール プレーンの適用時に追加の --use-vpcsc フラグを使用する必要があります。そうしないと、セキュリティ コントロールが失敗します。

制限事項

マネージド Anthos Service Mesh でサポートされている機能と制限事項のリストを確認することをおすすめします。特に、次の点に注意してください。

  • IstioOperator API は、クラスタ内のコンポーネントを制御することが主な目的であるため、サポートされていません。

  • マネージド コントロール プレーンをすでにデプロイしており、マネージド データプレーンをデプロイする場合は、マネージド コントロール プレーンを適用するで説明するように、インストール ツールを再度実行する必要があります。

  • asmcli を含むマネージド Anthos Service Mesh から フリート API を含む Anthos Service Mesh への移行はサポートされていません。同様に、フリート API を含むマネージド Anthos Service Mesh の --management manual から --management automatic への構成はサポートされていません。

  • GKE Autopilot クラスタの場合、プロジェクト間の設定は GKE 1.23 以降でのみサポートされます。GKE Autopilot リソースの上限に適応するために、デフォルトのプロキシ リソース リクエストと上限は 500m CPU と 512 Mb のメモリに設定されています。

  • マネージド Anthos Service Mesh で利用できる実際の機能は、リリース チャンネルによって異なります。詳細については、Anthos Service Mesh でサポートされている機能と制限事項のリストをご覧ください。

  • マネージド コントロール プレーンのプロビジョニング プロセス中に、選択したチャネルに対応する Istio CRD が指定のクラスタにインストールされます。クラスタに既存の Istio CRD が存在している場合、それらは上書きされます。

始める前に

gcloud を構成する

Cloud Shell を使用している場合でも、次の手順を実施します。

  1. Google Cloud CLI で認証します。

    gcloud auth login --project PROJECT_ID
    
  2. コンポーネントを更新します。

    gcloud components update
    
  3. クラスタを参照するように kubectl を構成します。

    gcloud container clusters get-credentials CLUSTER_NAME \
         --zone CLUSTER_LOCATION \
         --project PROJECT_ID
    

インストール ツールをダウンロードする

  1. 最新バージョンのツールを現在の作業ディレクトリにダウンロードします。

    curl https://storage.googleapis.com/csm-artifacts/asm/asmcli > asmcli
    
  2. ツールを実行可能にします。

    chmod +x asmcli
    

各クラスタを構成する

メッシュ内の各クラスタに対してマネージド Anthos Service Mesh を構成するには、次の手順を行います。

マネージド コントロール プレーンを適用する

マネージド コントロール プレーンを適用する前に、リリース チャンネルを選択する必要があります。

マネージド Anthos Service Mesh を使用するクラスタごとにインストール ツールを実行します。次の両方のオプションを含めることをおすすめします。

  • --enable-registration --fleet_id FLEET_PROJECT_ID この 2 つのフラグでクラスタをフリートに登録します。ここで、FLEET_ID はフリート ホスト プロジェクトのプロジェクト ID です。単一プロジェクトを使用する場合、FLEET_PROJECT_IDPROJECT_ID と同じであり、フリート ホスト プロジェクトとクラスタ プロジェクトは同じです。マルチプロジェクトのようなより複雑な構成では、個別のフリート ホスト プロジェクトを使用することをおすすめします。

  • --enable-all。このフラグにより、必要なコンポーネントと登録の両方が有効になります。

組織でプロジェクトに VPC Service Controls が適用されている場合は、追加のフラグ --use-vpcsc を構成する必要があります。そうしないと、セキュリティ コントロールが失敗します。VPC Service Controls 機能は、Regular チャンネルと Rapid チャンネルで利用できます。

asmcli ツールは、CLI ツール内のツールとロジックを使用して、マネージド コントロール プレーンを直接構成します。推奨 CA に応じて、以下の一連の手順を使用します。

認証局

メッシュに使用する認証局を選択します。

Mesh CA

次のコマンドを実行して、デフォルトの機能と Mesh CA を備えたコントロール プレーンをインストールします。プレースホルダに値を入力します。RELEASE_CHANNEL は、適切なチャネル(regularstablerapid)に置き換えます。

  ./asmcli install \
      -p PROJECT_ID \
      -l LOCATION \
      -n CLUSTER_NAME \
      --fleet_id FLEET_PROJECT_ID \
      --managed \
      --verbose \
      --output_dir CLUSTER_NAME \
      --enable-all \
      --channel RELEASE_CHANNEL

CA Service

  1. Certificate Authority Service を構成するの手順を行います。
  2. 次のコマンドを実行して、デフォルト機能と Certificate Authority Service を備えたコントロール プレーンをインストールします。プレースホルダに値を入力します。RELEASE_CHANNEL は、適切なチャネル(regularstablerapid)に置き換えます。
  ./asmcli install \
      -p PROJECT_ID \
      -l LOCATION \
      -n CLUSTER_NAME \
      --fleet_id FLEET_PROJECT_ID \
      --managed \
      --verbose \
      --output_dir CLUSTER_NAME \
      --enable-all \
      --channel RELEASE_CHANNEL \
      --ca gcp_cas \
      --ca_pool pool_name

このツールは、指定された --output_dir にマネージド コントロール プレーンを構成するためのすべてのファイルをダウンロードし、istioctl ツールとサンプル アプリケーションをインストールします。このガイドの手順では、asmcli install の実行時に指定した --output_dir の場所から istioctl が実行され、istioctl<Istio release dir>/bin サブディレクトリにあることを前提としています。

同じクラスタで asmcli を再実行すると、既存のコントロール プレーンの構成が上書きされます。同じ構成が必要な場合は、同じオプションとフラグを指定してください。

コントロール プレーンがプロビジョニングされていることを確認する

asmcli ツールは、クラスタに ControlPlaneRevision カスタム リソースを作成します。このリソースのステータスは、マネージド コントロール プレーンがプロビジョニングされるか、プロビジョニングに失敗すると更新されます。

リソースのステータスを調べます。NAME は、各チャネルに対応する値(asm-managedasm-managed-stable、または asm-managed-rapid)に置き換えます。

kubectl describe controlplanerevision NAME -n istio-system

出力は次のようになります。

    Name:         asm-managed

    …

    Status:
      Conditions:
        Last Transition Time:  2021-08-05T18:56:32Z
        Message:               The provisioning process has completed successfully
        Reason:                Provisioned
        Status:                True
        Type:                  Reconciled
        Last Transition Time:  2021-08-05T18:56:32Z
        Message:               Provisioning has finished
        Reason:                ProvisioningFinished
        Status:                True
        Type:                  ProvisioningFinished
        Last Transition Time:  2021-08-05T18:56:32Z
        Message:               Provisioning has not stalled
        Reason:                NotStalled
        Status:                False
        Type:                  Stalled

調整条件により、マネージド コントロール プレーンが正常に動作しているかどうかを判断します。true の場合、コントロール プレーンは正常に実行されています。Stalled の場合は、マネージド コントロール プレーンのプロビジョニング プロセスでエラーが検出されたかどうか確認します。Stalled の場合、Message フィールドに特定のエラーに関する詳細情報が含まれています。発生する可能性があるエラーについて詳しくは、Stalled コードをご覧ください。

ゼロタッチのアップグレード

マネージド コントロール プレーンは、インストール後、新しいリリースやパッチが利用可能になると自動的にアップグレードされます。

コントロール プレーンがアップグレードされるたびに、データプレーンをアップグレードする必要はありません。コントロール プレーンはサポート ウィンドウ内ですべてのプロキシを引き続き使用しますが、最新のデータプレーン機能や修正、パフォーマンスの向上を利用する場合は、この方法をおすすめします。チャネル内の最新の公開プロキシ イメージにアップグレードするには、ローリング再起動を実行するか、必要に応じて自動的に再起動を行うマネージド データプレーンを適用します。

マネージド データプレーンを適用する(省略可)

プロキシのアップグレードをすべて Google 側で管理するには、マネージド データプレーンを有効にします。

有効にした場合、サイドカー プロキシと挿入されたゲートウェイは、ワークロードを再起動してプロキシの新しいバージョンを再挿入することで、マネージド コントロール プレーンと一緒に自動的に更新されます。無効になっている場合、プロキシ管理はクラスタ内の Pod の通常のライフサイクルに基づいて行われます。更新頻度を制御するには、ユーザーが手動でトリガーする必要があります。

マネージド データプレーンは、古いバージョンのプロキシを実行している Pod のエビクションを行うことで、プロキシをアップグレードします。エビクションは、Pod 停止予算を維持しながら変更率を制御することによって、段階的に行われます。

ここで注意することは、マネージド データプレーンには Istio Container Network Interface(CNI)プラグインが必要であり、これはマネージド コントロール プレーンをデプロイするときにデフォルトで有効であることです。

マネージド データプレーンでは、次のものは管理されません。

  • 挿入されなかった Pod
  • 手動で挿入された Pod
  • Job
  • StatefulSet
  • DaemonSet

マネージド データプレーンを有効にするには:

  1. クラスタ全体のデータプレーン管理を有効にします。

    kubectl annotate --overwrite controlplanerevision -n istio-system \
    REVISION_LABEL \
    mesh.cloud.google.com/proxy='{"managed":"true"}'
    

    または、同じアノテーションでアノテーションを付けて、特定のコントロール プレーン リビジョン、名前空間、または Pod のマネージド データプレーンを選択的に有効にすることもできます。個々のコンポーネントを個別に制御する場合は、コントロール プレーンのリビジョン、名前空間、Pod の順に並べます。

    サービスがクラスタ内のプロキシを管理する準備ができるまでに、10 分ほどかかることがあります。次のコマンドを実行してステータスを確認します。

    gcloud container fleet mesh describe --project FLEET_PROJECT_ID
    

    予想される出力

     membershipStates:
       projects/PROJECT_NUMBER/locations/global/memberships/CLUSTER_NAME:
         servicemesh:
           dataPlaneManagement:
             details:
             - code: OK
               details: Service is running.
             state: ACTIVE
         state:
           code: OK
           description: 'Revision(s) ready for use: asm-managed-rapid.'
     ```
    

サービスの準備が 10 分以内に完了しない場合は、マネージド データプレーンのステータスで次の手順を確認してください。

マネージド データプレーンを無効にして、サイドカー プロキシの管理に戻す場合は、アノテーションを変更します。

kubectl annotate --overwrite controlplanerevision -n istio-system \
REVISION_LABEL \
  mesh.cloud.google.com/proxy='{"managed":"false"}'

名前空間のマネージド データプレーンを無効にするには:

kubectl annotate --overwrite namespace NAMESPACE \
  mesh.cloud.google.com/proxy='{"managed":"false"}'

また、同じアノテーションを設定して、特定の Pod でマネージド データプレーンを無効にすることもできます。

メンテナンス通知を有効にする

マネージド データプレーンのメンテナンスが予定されている遅くとも 1 週間前に、メンテナンスの予定の通知を送信するようにリクエストできます。メンテナンス通知は、デフォルトでは送信されません。また、通知を受信するには、GKE メンテナンスの時間枠を構成する必要があります。

マネージド データプレーンのメンテナンス通知を有効にするには:

  1. [通信] ページに移動します。

    [通信] ページに移動

  2. [Anthos Service Mesh Upgrade] 行の [メール] 列で、メンテナンス通知をオンにするラジオボタンを選択します。

通知を受け取る必要があるユーザーごとに個別にオプトインできます。通知のメールフィルタを設定する場合、件名は次のようになります。

Upcoming upgrade for your Anthos Service Mesh cluster "CLUSTER_LOCATION/CLUSTER_NAME"

次の例に、一般的なマネージド データプレーンのメンテナンス通知を示します。

件名: ASM クラスタ「<location/cluster-name>」のアップグレードの予定

Anthos Service Mesh をご利用のお客様

クラスタ ${instance_id}(https://console.cloud.google.com/kubernetes/clusters/details/${instance_id}/details?project=${project_id})の Anthos Service Mesh コンポーネントのアップグレードが、${scheduled_date_human_readable} の ${scheduled_time_human_readable} に予定されています。

新しい更新内容については、リリースノート(https://cloud.google.com/service-mesh/docs/release-notes)をご覧ください。

このメンテナンスがキャンセルされた場合は、別途メールが届きます。

何卒よろしくお願い申し上げます。

Anthos Service Mesh チーム

(c) 2022 Google LLC 1600 Amphitheater Parkway, Mountain View, CA 94043 このサービスに関するお知らせは、Google Cloud Platform やアカウントの重要な変更についてお知らせするものです。メンテナンスの時間枠の通知をオプトアウトするには、ユーザー設定(https://console.cloud.google.com/user-preferences/communication?project=${project_id})を編集してください。

エンドポイント ディスカバリを構成する(マルチクラスタ インストールのみ)

続行する前に、前の手順で説明したように各クラスタでマネージド Anthos Service Mesh を構成しておく必要があります。クラスタがプライマリ クラスタであることを示す必要はありません。これがデフォルトの動作です。

また、asmcli をダウンロードし(サンプル アプリケーションで構成を確認する場合のみ)、プロジェクト変数とクラスタ変数を設定します。

一般公開クラスタ

一般公開クラスタ間のエンドポイント検出を構成する

一般公開クラスタ(限定公開以外のクラスタ)で操作している場合は、一般公開クラスタ間のエンドポイント ディスカバリを構成することも、よりシンプルに一般公開クラスタ間のエンドポイント ディスカバリを有効にすることもできます。

限定公開クラスタ

限定公開クラスタ間のエンドポイント検出の構成

GKE の限定公開クラスタを使用する場合は、クラスタ コントロール プレーン エンドポイントを限定公開エンドポイントではなく、一般公開エンドポイントとして構成する必要があります。限定公開クラスタ間のエンドポイント検出の構成をご覧ください。

2 つのクラスタがあるサンプル アプリケーションについては、HelloWorld サービスの例をご覧ください。

アプリケーションのデプロイ

アプリケーションをデプロイするには、インストール時に構成したチャネルに対応するラベルを使用するか、istio-injection=enabled を使用します(デフォルトのインジェクション ラベルを使用している場合)。

デフォルトのインジェクション ラベル

kubectl label namespace NAMESPACE istio-injection=enabled istio.io/rev- --overwrite

リビジョン ラベル

アプリケーションをデプロイする前に、名前空間から以前の istio-injection ラベルを削除し、代わりに istio.io/rev=REVISION_LABEL ラベルを設定します。

特定のリビジョン ラベルに変更するには、REVISION_LABEL をクリックし、該当するラベル(Rapid の場合は asm-managed-rapid、Regular の場合は asm-managed、Stable の場合は asm-managed-stable)に置き換えます。

リビジョン ラベルはリリース チャンネルに対応しています。

リビジョン ラベル チャネル
asm-managed 標準
asm-managed-rapid 迅速
asm-managed-stable Stable
kubectl label namespace NAMESPACE istio-injection- istio.io/rev=REVISION_LABEL --overwrite

この時点では、Anthos Service Mesh のマネージド コントロール プレーンが正常に構成されています。ラベル付きの名前空間に既存のワークロードがある場合は、それらを再起動してプロキシが挿入されるようにします。

これで、アプリケーションをデプロイする準備が整い、Bookinfo サンプル アプリケーションをデプロイできます。

マルチクラスタ設定にアプリケーションをデプロイする場合、その特定の構成ファイルをクラスタの一部に制限する予定がなければ、すべてのクラスタに Kubernetes とコントロール プレーンの構成を複製します。特定のクラスタに適用される構成は、そのクラスタに対する信頼できる情報源です。

コントロール プレーンの指標の確認

コントロール プレーンとデータプレーンのバージョンは、Metrics Explorer で確認できます。

構成が正しく機能することを確認するには:

  1. Google Cloud コンソールで、コントロール プレーンの指標を確認します。

    Metrics Explorer に移動

  2. ワークスペースを選択し、次のパラメータを使用してカスタムクエリを追加します。

    • Resource type: Kubernetes Container
    • Metric: Proxy Clients
    • Filter: container_name="cr-REVISION_LABEL"
    • Group By: revision ラベルと proxy_version ラベル
    • Aggregator sum
    • Period: 1 minute

    Google マネージドのコントロール プレーンとクラスタ内コントロール プレーンの両方で Anthos Service Mesh を実行する場合は、そのコンテナ名を使用してそれぞれの指標を区別できます。たとえば、マネージド指標には container_name="cr-asm-managed" が含まれ、非マネージド指標には container_name="discovery" が含まれます。両方の指標を表示するには、container_name="cr-asm-managed" の Filter を削除します。

  3. Metrics Explorer で次のフィールドを調べて、コントロール プレーンとプロキシのバージョンを確認します。

    • [revision] は、コントロール プレーンのバージョンを示します。
    • [proxy_version] は proxy_version を示します。
    • [value] は、接続されたプロキシの数を示します。

    現在のチャンネルと Anthos Service Mesh バージョンのマッピングについては、チャンネルごとの Anthos Service Mesh のバージョンをご覧ください。

アプリケーションをマネージド Anthos Service Mesh に移行する

移行の準備を行う

クラスタ内の Anthos Service Mesh からマネージド Anthos Service Mesh へのアプリケーションの移行を準備する手順は次のとおりです。

  1. Google 管理のコントロール プレーンを適用するの手順に沿ってツールを実行します。

  2. (省略可)Google が管理するデータプレーンを使用する場合は、データプレーンの管理を有効にします。

      kubectl annotate --overwrite controlplanerevision REVISION_TAG \
      mesh.cloud.google.com/proxy='{"managed":"true"}'
    

アプリケーションの移行

クラスタ内の Anthos Service Mesh からマネージド Anthos Service Mesh にアプリケーションを移行するには、次の手順を実行します。

  1. 現在の名前空間のラベルを置き換えます。必要な手順は、デフォルトのインジェクション ラベルistio-injection enabled など)またはリビジョン ラベルをご覧ください。

    デフォルトのインジェクション ラベル

    1. 次のコマンドを実行して、デフォルトタグをマネージド リビジョンに移動します。

      istioctl tag set default --revision REVISION_LABEL
      
    2. まだ実行していない場合は、次のコマンドを実行し、istio-injection=enabled を使用して名前空間にラベルを付けます。

      kubectl label namespace NAMESPACE istio-injection=enabled istio.io/rev- \
      --overwrite
      

    リビジョン ラベル

    istio.io/rev=REVISION_LABEL ラベルを使用した場合は、次のコマンドを実行します。

    kubectl label namespace NAMESPACE istio-injection- istio.io/rev=REVISION_LABEL \
        --overwrite
    
  2. 名前空間で Deployment のローリング アップグレードを実行します。

    kubectl rollout restart deployment -n NAMESPACE
    
  3. アプリケーションをテストして、ワークロードが正しく機能することを確認します。

  4. 他の名前空間にワークロードがある場合は、各名前空間に対して前の手順を繰り返します。

  5. マルチクラスタ設定にアプリケーションをデプロイした場合は、すべてのクラスタに Kubernetes と Istio の構成を複製します。ただし、その構成をクラスタの一部に制限する場合を除きます。特定のクラスタに適用される構成は、そのクラスタに対する信頼できる情報源です。

  6. コントロール プレーンの指標の確認の手順に沿って、指標が想定どおりに表示されることを確認します。

アプリケーションが期待どおりに動作していることを確認したら、すべての名前空間をマネージド コントロール プレーンに切り替えた後にクラスタ内の istiod を削除できます。また、これらをバックアップとして残すこともできます。この場合、istiod が自動的にスケールダウンし、リソースの使用量が少なくなります。削除するには、古いコントロール プレーンの削除に進みます。

問題が発生した場合は、マネージド コントロール プレーンの問題を解決するを参照して問題を特定し、解決します。また、必要であれば以前のバージョンにロールバックできます。

古いコントロール プレーンを削除する

すべての名前空間で Google 管理のコントロール プレーンが使用されていることを確認したら、古いコントロール プレーンを削除できます。

kubectl delete Service,Deployment,HorizontalPodAutoscaler,PodDisruptionBudget istiod -n istio-system --ignore-not-found=true

自動インジェクションではなく istioctl kube-inject を使用した場合や、追加のゲートウェイをインストールした場合は、コントロール プレーンの指標をチェックし、接続されているエンドポイントの数がゼロであることを確認します。

ロールバック

前のコントロール プレーン バージョンにロールバックする必要がある場合は、次の手順を行います。

  1. コントロール プレーンの以前のバージョンで挿入されるワークロードを更新します。次のコマンドのリビジョン値 asm-191-1 はサンプルとして使用されています。このサンプル値は、前のコントロール プレーンのリビジョン ラベルに置き換えてください。

    kubectl label namespace NAMESPACE istio-injection- istio.io/rev=asm-191-1 --overwrite
    
  2. プロキシが Istio のバージョンになるように、Pod を再起動してインジェクションを再度トリガーします。

    kubectl rollout restart deployment -n NAMESPACE
    

未使用時は、マネージド コントロール プレーンは自動的にゼロへスケーリングされ、リソースを使用しません。Webhook の変更とプロビジョニングはそのまま残り、クラスタの動作には影響しません。

これでゲートウェイが asm-managed リビジョンに設定されました。ロールバックするには、Anthos Service Mesh のインストール コマンドを再実行します。これにより、クラスタ内コントロール プレーンを参照するゲートウェイが再デプロイされます。

kubectl -n istio-system rollout undo deploy istio-ingressgateway

正常に実行されると、次の出力が表示されます。

deployment.apps/istio-ingressgateway rolled back

アンインストール

名前空間が使用されていない場合、マネージド コントロール プレーンは自動的にゼロにスケールされます。詳細な手順については、Anthos Service Mesh をアンインストールするをご覧ください。

トラブルシューティング

マネージド コントロール プレーンを使用する際の問題を特定して解決するには、マネージド コントロール プレーンの問題を解決するをご覧ください。

次のステップ