托管式 Anthos Service Mesh 支持的功能
使用集合让一切井井有条
根据您的偏好保存内容并对其进行分类。
本页面介绍了代管式 Anthos Service Mesh 支持的功能和限制。如需查看带有集群内控制层面的 Anthos Service Mesh 支持的 Anthos Service Mesh 功能列表,请参阅集群内控制层面。
限制
存在以下限制:
- GKE 集群必须位于受支持的区域之一中。
- GKE 版本必须是受支持的版本。
- 仅支持在环境中列出的平台。
- 不支持更改发布渠道。
- 不支持从具有
asmcli
的代管式 Anthos Service Mesh 迁移到具有 Fleet API 的 Anthos Service Mesh。同样,不支持将具有 Fleet API 的代管式 Anthos Service Mesh 从 --management manual
预配为 --management automatic
。
- 只有使用 Mesh CA 安装的集群内 Anthos Service Mesh 1.9+ 版才支持迁移和升级。使用 Istio CA(以前称为 Citadel)进行的安装必须先迁移到 Mesh CA。
- 缩放仅限于每个集群 1000 项服务和 5000 个工作负载。
- 仅支持多集群的多主要部署选项:多集群的主要远程部署选项不受支持。
- 不支持
istioctl ps
。您可以改用 istioctl x ps --xds-via-agents
列出所有工作负载。此外,您还可以将 istioctl pc
与 pod 名称和命名空间一起使用,以获取 pod 的详细信息。
不支持的 Istio API:
Envoy 过滤条件
IstioOperator
API
您可以在不订阅 GKE Enterprise 的情况下使用代管式控制平面,但 Google Cloud 控制台中的某些界面元素和功能仅限 GKE Enterprise 订阅者使用。如需了解订阅者和非订阅者可以使用的内容,请参阅 GKE Enterprise 和 Anthos Service Mesh 界面差异。
在代管式控制平面的预配过程中,与所选渠道对应的 Istio CRD 将安装在指定集群中。如果集群中已有 Istio CRD,它们将被覆盖
代管式 Anthos Service Mesh 仅支持默认 DNS 网域 .cluster.local
。
自 2023 年 11 月 14 日起,在快速发布渠道上新安装的代管式 Anthos Service Mesh 仅使用 Envoys 提取 JWKS。此选项等同于 PILOT_JWT_ENABLE_REMOTE_JWKS=envoy
Istio 选项。与在 2023 年 11 月 14 日之前在常规和稳定发布渠道上安装,或在快速发布渠道上安装,与在 2023 年 11 月 14 日之前安装,您可能需要额外的 ServiceEntry
和 DestinationRule
配置。如需查看示例,请参阅 requestauthn-with-se.yaml.tmpl
。
渠道差异
受支持的功能在发布版本之间存在差异。
- - 表示该功能可用且默认处于启用状态。
- – 表示平台支持该功能且可启用,如启用可选功能或功能表中链接的功能指南中所述。
- - 表示该功能不可用或不受支持。
Google Cloud 支持完全支持默认功能和可选功能。该表中未明确列出的功能会得到全力支持。
代管式控制平面支持的功能
安装、升级和回滚
特征 |
稳定版 |
普通 |
快速 |
使用舰队功能 API 在 GKE 集群上安装 |
|
|
|
从使用 Mesh CA 的 ASM 1.9 版升级 |
|
|
|
来自 1.9 之前 Anthos Service Mesh 版本的直接(跳过层级)升级(请参阅间接升级的说明) |
|
|
|
从 Istio OSS 直接升级(跳过层级)(请参阅间接升级的说明) |
|
|
|
从 Istio-on-GKE 插件直接升级(跳过层级)(请参阅间接升级的说明) |
|
|
|
启用可选功能 |
|
|
|
环境
特征 |
稳定版 |
普通 |
快速 |
GKE 1.25-1.27 位于其中一个受支持的区域中 |
|
|
|
具有 Autopilot 的 GKE 1.25-1.27 集群 |
|
|
|
Google Cloud 以外的环境(本地 GKE Enterprise、其他公有云上的 GKE Enterprise、Amazon EKS、Microsoft AKS 或其他 Kubernetes 集群) |
|
|
|
扩容
特征 |
稳定版 |
普通 |
快速 |
每个集群 1000 项服务和 5000 个工作负载 |
|
|
|
特征 |
稳定版 |
普通 |
快速 |
单网络 |
|
|
|
多网络 |
|
|
|
单项目 |
|
|
|
使用共享 VPC 的多项目 |
|
|
|
部署模型
有关术语的注意事项
安全性
VPC Service Controls
证书分发/轮替机制
特征 |
稳定版 |
普通 |
快速 |
工作负载证书管理 |
|
|
|
入站流量和出站流量网关的外部证书管理。 |
|
|
|
证书授权机构 (CA) 支持
Anthos Service Mesh 安全功能
除了支持 Istio 安全功能之外,Anthos Service Mesh 还提供了更多功能来帮助您保护应用。
授权政策
特征 |
稳定版 |
普通 |
快速 |
授权 v1beta1 政策 |
|
|
|
身份验证政策
特征 |
稳定版 |
普通 |
快速 |
自动 mTLS |
|
|
|
mTLS PERMISSIVE 模式 |
|
|
|
mTLS STRICT 模式 |
* |
* |
* |
请求身份验证
注意:
- 第三方 JWT 默认处于启用状态。
基础映像
遥测
指标
特征 |
稳定版 |
普通 |
快速 |
Cloud Monitoring(HTTP 代理中指标) |
|
|
|
Cloud Monitoring(TCP 代理中指标) |
|
|
|
Prometheus 指标会导出到 Grafana(仅限 Envoy 指标) |
* |
* |
* |
将 Prometheus 指标导出到 Kiali |
|
|
|
Google Cloud Managed Service for Prometheus,不包括 Anthos Service Mesh 信息中心 |
* |
* |
* |
Istio Telemetry API |
|
|
|
自定义适配器/后端,出入进程 |
|
|
|
任意遥测和日志记录后端 |
|
|
|
代理请求日志记录
跟踪
特征 |
稳定版 |
普通 |
快速 |
Cloud Trace |
* |
* |
* |
Jaeger 跟踪(允许使用客户管理的 Jaeger) |
兼容 |
兼容 |
兼容 |
Zipkin 跟踪(允许使用客户管理的 Zipkin) |
兼容 |
兼容 |
兼容 |
网络
流量拦截/重定向机制
特征 |
稳定版 |
普通 |
快速 |
iptables 的传统用法:将 init 容器与 CAP_NET_ADMIN 结合使用 |
|
|
|
Istio 容器网络接口 (CNI) |
|
|
|
白盒 Sidecar |
|
|
|
协议支持
特征 |
稳定版 |
普通 |
快速 |
IPv4 |
|
|
|
HTTP/1.1 |
|
|
|
HTTP/2 |
|
|
|
TCP 字节流(备注 1) |
|
|
|
gRPC |
|
|
|
IPv6 |
|
|
|
注意:
- 虽然 TCP 是网络支持的协议,并且系统会收集 TCP 指标,但不会报告它们。在 Google Cloud 控制台中,系统仅显示 HTTP 服务的指标。
- 不支持将配置有第 7 层功能的服务用于以下协议:WebSocket、MongoDB、Redis、Kafka、Cassandra、RabbitMQ、Cloud SQL。您可以通过 TCP 字节流支持来使协议正常工作。如果 TCP 字节流无法支持协议(例如,Kafka 在特定于协议的回复中发送重定向地址,并且此重定向与 Anthos Service Mesh 的路由逻辑不兼容),则协议不受支持。
Envoy 部署
特征 |
稳定版 |
普通 |
快速 |
Sidecar |
|
|
|
入站流量网关 |
|
|
|
直接从 Sidecar 出站 |
|
|
|
使用出站流量网关出站 |
* |
* |
* |
CRD 支持
特征 |
稳定版 |
普通 |
快速 |
Sidecar 资源 |
|
|
|
服务条目资源 |
|
|
|
百分比、故障注入、路径匹配、重定向、重试、重写、超时、重试、镜像、标头操纵和 CORS 路由规则 |
|
|
|
自定义 Envoy 过滤器 |
|
|
|
Istio Operator |
|
|
|
Istio 入站流量网关的负载均衡器
特征 |
稳定版 |
普通 |
快速 |
第三方外部负载均衡器 |
|
|
|
Google Cloud 内部负载均衡器 |
* |
* |
* |
服务网格云网关
负载均衡政策
特征 |
稳定版 |
普通 |
快速 |
轮循 |
|
|
|
最少连接 |
|
|
|
随机 |
|
|
|
直通 |
|
|
|
一致的哈希 |
|
|
|
局部 |
|
|
|
区域
GKE 集群必须位于以下区域之一中或以下区域内的任何可用区中。
区域 |
位置 |
asia-east1 |
中国台湾 |
asia-east2 |
香港 |
asia-northeast1 |
日本东京 |
asia-northeast2 |
日本大阪 |
asia-northeast3 |
韩国 |
asia-south1 |
印度孟买 |
asia-south2 |
德里(印度) |
asia-southeast1 |
新加坡 |
asia-southeast2 |
雅加达 |
australia-southeast1 |
澳大利亚悉尼 |
australia-southeast2 |
澳大利亚墨尔本 |
europe-central2 |
波兰 |
europe-north1 |
芬兰 |
europe-southwest1 |
西班牙 |
europe-west1 |
比利时 |
europe-west2 |
英格兰 |
europe-west3 |
德国 |
europe-west4 |
荷兰 |
europe-west6 |
瑞士 |
europe-west8 |
意大利 |
europe-west9 |
法国 |
me-central1 |
多哈 |
me-central2 |
沙特阿拉伯达曼 |
me-west1 |
特拉维夫 |
northamerica-northeast1 |
加拿大蒙特利尔 |
northamerica-northeast2 |
加拿大多伦多 |
southamerica-east1 |
巴西 |
southamerica-west1 |
智利 |
us-central1 |
爱荷华 |
us-east1 |
南卡罗来纳 |
us-east4 |
北弗吉尼亚 |
us-east5 |
俄亥俄 |
us-south1 |
达拉斯 |
us-west1 |
俄勒冈 |
us-west2 |
洛杉矶 |
us-west3 |
盐湖城 |
us-west4 |
拉斯维加斯 |
界面
特征 |
稳定版 |
普通 |
快速 |
Google Cloud 控制台中的 Anthos Service Mesh 信息中心 |
|
|
|
Cloud Monitoring |
|
|
|
Cloud Logging |
|
|
|
特征 |
稳定版 |
普通 |
快速 |
istioctl 与 Anthos Service Mesh 1.9.x 兼容 |
|
|
|
istioctl ps |
|
|
|
istioctl x ps (带有 --xds-via-agents 标志) |
|
|
|
如未另行说明,那么本页面中的内容已根据知识共享署名 4.0 许可获得了许可,并且代码示例已根据 Apache 2.0 许可获得了许可。有关详情,请参阅 Google 开发者网站政策。Java 是 Oracle 和/或其关联公司的注册商标。
最后更新时间 (UTC):2024-09-17。
[{
"type": "thumb-down",
"id": "hardToUnderstand",
"label":"Hard to understand"
},{
"type": "thumb-down",
"id": "incorrectInformationOrSampleCode",
"label":"Incorrect information or sample code"
},{
"type": "thumb-down",
"id": "missingTheInformationSamplesINeed",
"label":"Missing the information/samples I need"
},{
"type": "thumb-down",
"id": "translationIssue",
"label":"翻译问题"
},{
"type": "thumb-down",
"id": "otherDown",
"label":"其他"
}]
[{
"type": "thumb-up",
"id": "easyToUnderstand",
"label":"易于理解"
},{
"type": "thumb-up",
"id": "solvedMyProblem",
"label":"解决了我的问题"
},{
"type": "thumb-up",
"id": "otherUp",
"label":"其他"
}]
{"lastModified": "\u6700\u540e\u66f4\u65b0\u65f6\u95f4 (UTC)\uff1a2024-09-17\u3002"}
[[["易于理解","easyToUnderstand","thumb-up"],["解决了我的问题","solvedMyProblem","thumb-up"],["其他","otherUp","thumb-up"]],[["Hard to understand","hardToUnderstand","thumb-down"],["Incorrect information or sample code","incorrectInformationOrSampleCode","thumb-down"],["Missing the information/samples I need","missingTheInformationSamplesINeed","thumb-down"],["翻译问题","translationIssue","thumb-down"],["其他","otherDown","thumb-down"]],["最后更新时间 (UTC):2024-09-17。"]]