Vom verwalteten Anthos Service Mesh unterstützte Features

Auf dieser Seite werden die unterstützten Features und Einschränkungen für verwaltetes Anthos Service Mesh beschrieben. Eine Liste der von Anthos Service Mesh unterstützten Features für Anthos Service Mesh mit clusterinterner Steuerungsebene finden Sie unter Clusterinterne Steuerungsebene.

Es gelten folgende Einschränkungen:

  • GKE-Cluster müssen sich in einer der unterstützten Regionen befinden.
  • Die GKE-Version muss eine unterstützte Version sein.
  • Nur die unter Umgebungen aufgeführten Plattformen werden unterstützt.
  • Migrationen/Upgrades werden nur von Anthos Service Mesh-Versionen ab 1.9 unterstützt, die mit Mesh CA installiert wurden. Installationen mit Istio CA (ehemals Citadel) müssen zuerst zu Mesh CA migriert werden.
  • Die Skalierung ist auf 1.000 Dienste und 5.000 Arbeitslasten pro Cluster beschränkt.
  • Nur die Multi-Primary-Bereitstellungsoption für Multi-Cluster wird unterstützt, die Primary-Remote-Bereitstellungsoption für Multi-Cluster nicht.
  • istioctl ps wird nicht unterstützt. Sie können stattdessen jedoch istioctl pc mit dem Pod-Namen und dem Namespace verwenden.
  • Nicht unterstützte Istio APIs:

    • Envoy-Filter

    • IstioOperator API

  • Sie können die von Google verwaltete Steuerungsebene ohne Anthos-Abo verwenden. Bestimmte UI-Elemente und Features in der Google Cloud Console sind jedoch nur für Anthos-Abonnenten verfügbar. Informationen dazu, welche Features Abonnenten und Nicht-Abonnenten zur Verfügung stehen, finden Sie unter Unterschiede zwischen Anthos und Anthos Service Mesh in der Benutzeroberfläche.

  • Während des Bereitstellungsprozesses für eine von Google verwaltete Steuerungsebene werden Istio-CRDs, die dem ausgewählten Kanal entsprechen, im angegebenen Cluster installiert. Wenn im Cluster bereits Istio-CRDs vorhanden sind, werden diese überschrieben.

Von der von Google verwalteten Steuerungsebene unterstützte Features

Installieren, aktualisieren und Rollback ausführen

Feature Stabile Version Regulär Rapid
Installation auf neuen GKE-Clustern – die resultierende Installation verwendet Stackdriver und Mesh CA
Installation auf GKE-Clustern mit der Fleet Feature API (Vorschau)
Upgrades von ASM 1.9-Versionen mit Mesh CA
Direkte Upgrades von Anthos Service Mesh-Versionen vor 1.9 (siehe Hinweise für indirekte Upgrades)
Direkte Upgrades von Istio OSS (siehe Hinweise für indirekte Upgrades)
Direkte Upgrades von Istio-on-GKE-Add-on (siehe Hinweise für indirekte Upgrades)
Optionale Features aktivieren

Umgebungen

Feature Stabile Version Regulär Rapid
GKE 1.20 und höher in einer der unterstützten Regionen
GKE 1.21-Cluster mit Autopilot
Private GKE-Cluster mit öffentlichem Endpunktzugriff mit oder ohne aktiviertes MAN (Master Authorized Network). In privaten Clustern hat die GKE-Steuerungsebene (Master) einen privaten und einen öffentlichen Endpunkt. Es gibt drei Konfigurationskombinationen, um den Zugriff auf die Clusterendpunkte zu steuern:
  • Zugriff auf öffentliche Endpunkte deaktiviert: Blockiert nicht vertrauenswürdige IP-Adressen von außerhalb der Google Cloud. Weitere Informationen finden Sie unter Endpunkte in privaten Clustern.
  • Zugriff auf öffentliche Endpunkte aktiviert; autorisierte Netzwerke aktiviert: Erstellt einen privaten Cluster mit beschränktem Zugriff auf den öffentlichen Endpunkt.
  • Zugriff auf öffentliche Endpunkte aktiviert; autorisierte Netzwerke deaktiviert: Erstellt einen privaten Cluster mit unbeschränktem Zugriff auf den öffentlichen Endpunkt.
Compute Engine-VMs
Umgebungen außerhalb von Google Cloud (lokale Anthos, Anthos in anderen öffentlichen Clouds, Amazon EKS, Microsoft AKS oder andere Kubernetes-Cluster)

Skalieren

Feature Stabile Version Regulär Rapid
1.000 Dienste und 5.000 Arbeitslasten pro Cluster

Plattformumgebung

Feature Stabile Version Regulär Rapid
Einzelnes Netzwerk
Multinetzwerk
Einzelprojekt
Mehrere Projekte mit freigegebener VPC

Bereitstellungsmodell

Feature Stabile Version Regulär Rapid
Multiprimär
Primäre Fernbedienung

Hinweise zur Terminologie

  • Bei einer Multi-Primary-Konfiguration muss die Konfiguration in allen Clustern repliziert werden.

  • Eine Primary-Remote-Konfiguration bedeutet, dass ein einzelner Cluster die Konfiguration enthält und als Source of Truth gilt.

  • Anthos Service Mesh verwendet eine vereinfachte Definition von Netzwerken auf der Grundlage allgemeiner Konnektivität. Arbeitslastinstanzen befinden sich im selben Netzwerk, wenn sie direkt ohne Gateway direkt kommunizieren können.

Sicherheit

VPC Service Controls

Feature Stabile Version Regulär Rapid
VPC Service Control (VPC-SC)-Vorschau

Mechanismen zur Zertifikatsverteilung und Rotation

Feature Stabile Version Regulär Rapid
Verwaltung von Arbeitslastzertifikaten
Externe Zertifikatsverwaltung auf Eingangs- und Ausgangs-Gateways.

Unterstützung von Zertifizierungsstellen (CA)

Feature Stabile Version Regulär Rapid
Anthos Service Mesh-Zertifizierungsstelle (Mesh CA)
Certificate Authority Service
Istio CA
Integration in benutzerdefinierte Zertifizierungsstellen

Autorisierungsrichtlinie

Feature Stabile Version Regulär Rapid
Autorisierungs-v1beta1-Richtlinie

Authentifizierungsrichtlinie

Feature Stabile Version Regulär Rapid
Auto-mTLS
mTLS-PERMISSIVE-Modus
mTLS-STRICT-Modus Unterstützt optional Unterstützt optional Unterstützt optional

Authentifizierung anfordern

Feature Stabile Version Regulär Rapid
JWT-Authentifizierung

Basis-Images

Feature Stabile Version Regulär Rapid
Distroless-Proxy-Image

Telemetrie

Messwerte

Feature Stabile Version Regulär Rapid
Cloud Monitoring (HTTP-In-Proxy-Messwerte)
Cloud Monitoring (TCP-In-Proxy-Messwerte)
Prometheus-Messwerte werden in Grafana und Kiali exportiert (nur Envoy-Messwerte) Unterstützt optional Unterstützt optional Unterstützt optional
Benutzerdefinierte Adapter/Back-Ends, In- oder Out-of-Process
Beliebige Telemetrie- und Logging-Back-Ends

Zugriffs-Logging

Feature Stabile Version Regulär Rapid
Cloud Logging
Envoy an stdout weiterleiten Unterstützt optional Unterstützt optional Unterstützt optional

Tracing

Feature Stabile Version Regulär Rapid
Cloud Trace
Jaeger-Tracing (ermöglicht die Verwendung des vom Kunden verwalteten Jaeger)
Zipkin-Tracing (ermöglicht die Verwendung des vom Kunden verwalteten Zipkin)

Beachten Sie, dass der Cloud-Support keine Unterstützung bei der Verwaltung von Telemetrieprodukten von Drittanbietern bietet.

Netzwerk

Mechanismus zum Abfangen/Umleiten von Traffic

Feature Stabile Version Regulär Rapid
Traditionelle Verwendung von iptables mit init-Containern über CAP_NET_ADMIN
Istio Container Network Interface (CNI)
Whitebox-Sidecar

Protokollunterstützung

Feature Stabile Version Regulär Rapid
IPv4
HTTP/1.1
HTTP/2
TCP-Byte-Streams (Hinweis 1)
gRPC
IPv6

Hinweise:

  1. Obwohl TCP ein unterstütztes Protokoll für das Netzwerk ist, werden TCP-Messwerte weder erfasst noch gemeldet. Messwerte werden nur für HTTP-Dienste in der Cloud Console angezeigt.
  2. Dienste, die mit Layer-7-Funktionen für die folgenden Protokolle konfiguriert wurden, werden nicht unterstützt: WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ, Cloud SQL. Unter Umständen können Sie das Protokoll mithilfe der TCP-Bytestream-Unterstützung nutzen. Wenn der TCP-Bytestream das Protokoll nicht unterstützt (z. B. wenn Kafka eine Weiterleitungsadresse in einer protokollspezifischen Antwort sendet und diese Weiterleitung nicht mit der Routinglogik von Anthos Service Mesh kompatibel ist), wird das Protokoll nicht unterstützt.

Envoy-Bereitstellungen

Feature Stabile Version Regulär Rapid
Sidecar-Dateien
Ingress-Gateway
Ausgehender Traffic direkt von Sidecars
Ausgehender Traffic über Egress-Gateways Unterstützt optional Unterstützt optional Unterstützt optional

CRD-Support

Feature Stabile Version Regulär Rapid
Sidecar-Ressource
Diensteintragsressource
Prozentwert, Fehlerinjektion, Pfadabgleich, Weiterleitungen, Wiederholungsversuche, Umschreibungen, Zeitüberschreitung, Wiederholungsversuch, Header-Bearbeitung und CORS-Routingregeln
Benutzerdefinierte Envoy-Filter
Istio-Operator

Load-Balancer für das Istio-Ingress-Gateway

Feature Stabile Version Regulär Rapid
Öffentlicher Load-Balancer
Interner Google Cloud-Load-Balancer Unterstützt optional Unterstützt optional Unterstützt optional

Load-Balancing-Richtlinien

Feature Stabile Version Regulär Rapid
Round-Robin
Mindestverbindungen
Zufällig
Passthrough
Konsistenter Hash
Ort

Regionen

GKE-Cluster müssen sich in einer der folgenden Regionen oder in einer beliebigen Zone innerhalb der folgenden Regionen befinden.

Region Ort
asia-east1 Taiwan
asia-east2 Hongkong
asia-northeast1 Tokio
asia-northeast2 Osaka
asia-northeast3 Seoul, Südkorea
asia-southeast1 Singapur
asia-southeast2 Jakarta
asia-south1 Mumbai, Indien
asia-south2 Delhi, Indien
australia-southeast1 Sydney
australia-southeast2 Melbourne
europe-central2 Warschau, Polen
europe-north1 Finnland
europe-west1 Belgien
europe-west2 London, Vereinigtes Königreich
europe-west3 Frankfurt, Deutschland
europe-west4 Niederlande
europe-west6 Zürich, Schweiz
northamerica-northeast1 Montreal
northamerica-northeast2 Toronto
southamerica-east1 São Paulo, Brasilien
southamerica-west1 Santiago
us-central1 Iowa
us-east1 South Carolina
us-east4 Northern Virginia
us-west1 Oregon
us-west2 Los Angeles
us-west3 Salt Lake City
us-west4 Las Vegas

Benutzeroberfläche

Feature Stabile Version Regulär Rapid
Anthos Service Mesh-Dashboards in der Cloud Console
Cloud Monitoring
Cloud Logging

Tools

Feature Stabile Version Regulär Rapid
istioctl (mit Anthos Service Mesh 1.9.x kompatibel)
istioctl ps