マネージド Anthos Service Mesh でサポートされている機能

このページでは、マネージド Anthos Service Mesh でサポートされている機能と制限事項について説明します。クラスタ内コントロールプレーンの Anthos Service Mesh 用に Anthos Service Mesh でサポートされている機能の一覧については、クラスタ内コントロールプレーンをご覧ください。

制限事項

次の制限事項が適用されます。

GKE クラスタは、サポートされているリージョンのいずれかに存在する必要があります。
GKE のバージョンは、サポートされているバージョンである必要があります。
環境に記載されているプラットフォームのみがサポートされています。
リリースチャンネルの変更はサポートされていません。
asmcli を含むマネージド Anthos Service Mesh から Fleet API を含む Anthos Service Mesh への移行はサポートされていません。同様に、Fleet API を含むマネージド Anthos Service Mesh の --management manual から --management automatic へのプロビジョニングもサポートされていません。
移行とアップグレードは、Mesh CA を使用してインストールされた、クラスタ内 Anthos Service Mesh のバージョン 1.9 以降でのみサポートされています。Istio CA（旧称 Citadel）を使用してインストールする場合は、先に Mesh CA に移行する必要があります。
スケールはクラスタあたり 1,000 個のサービスと 5,000 個のワークロードに制限されています。
マルチクラスタの場合、マルチプライマリデプロイオプションのみがサポートされています。マルチクラスタのプライマリリモートデプロイオプションはサポートされていません。
istioctl ps はサポートされていません。代わりに、istioctl x ps --xds-via-agents を使用すると、すべてのワークロードを一覧表示できます。また、Pod 名と Namespace と一緒に istioctl pc を使用すると、Pod の詳細情報を取得できます。
サポートされていない Istio API:
- Envoy フィルタ
- IstioOperator API
注: IstioOperator API を使用せずにオプション機能を有効にすることもできます。詳しくは、マネージド Anthos Service Mesh でオプション機能を有効にするをご覧ください。asmcli に含まれる移行ツールを使用して、他の IstioOperator オプション機能を自動的に変換し、マネージドコントロールプレーンとの互換性を持たせることもできます。詳しくは、IstioOperator から移行するをご覧ください。
GKE Enterprise に登録しなくてもマネージドコントロールプレーンを使用できますが、Google Cloud コンソールの一部の UI 要素と機能は、GKE Enterprise のサブスクライバーのみが使用できます。サブスクライバーと非サブスクライバーが使用できる機能については、GKE Enterprise と Anthos Service Mesh の UI の違いをご覧ください。
マネージドコントロールプレーンのプロビジョニングプロセス中に、選択したチャネルに対応する Istio CRD が指定のクラスタにインストールされます。クラスタに既存の Istio CRD が存在している場合、それらは上書きされます。
マネージド Anthos Service Mesh は、デフォルトの DNS ドメイン .cluster.local のみをサポートします。
2023 年 11 月 14 日以降、Rapid リリースチャンネルでマネージド Anthos Service Mesh を新規インストールすると、Envoy のみを使用して JWKS が取得されます。これは、PILOT_JWT_ENABLE_REMOTE_JWKS=envoy Istio オプションと同等です。Regular および Stable リリースチャンネルでのインストール、または 2023 年 11 月 14 日より前の Rapid リリースチャンネルでのインストールとは異なり、追加の ServiceEntry および DestinationRule 構成が必要になる場合があります。例については、requestauthn-with-se.yaml.tmpl をご覧ください。

Anthos Service Mesh をプロビジョニングしたら、IP ローテーションまたは証明書の認証情報のローテーションを開始する前に、サポートにご連絡ください。

チャンネルの違い

リリースチャネルによってサポートされる機能に違いがあります。

– 機能が利用可能で、デフォルトで有効になっていることを示します。
* - 機能がプラットフォームでサポートされていることを示します。有効にする手順は、オプション機能の有効化、または機能の表にリンクされている機能ガイドに記載されています。
– 機能が利用できないか、サポートされていないことを示します。

デフォルト機能とオプション機能は、Google Cloud サポートで完全にサポートされています。表に記載されていない機能はベストエフォート型のサポートになります。

マネージドコントロールプレーンでサポートされている機能

インストール、アップグレード、ロールバック

機能	Stable	Regular	Rapid
フリート機能 API を使用した GKE クラスタへのインストール
Mesh CA を使用する ASM 1.9 バージョンからアップグレード
1.9 より前のバージョンの Anthos Service Mesh から直接（スキップレベル）アップグレード（間接的なアップグレードに関する注意事項を参照）
Istio OSS からの直接（スキップレベル）アップグレード（間接アップグレードに関する注意事項を参照）
Istio-on-GKE アドオンから直接（スキップレベル）アップグレード（間接アップグレードに関する注意事項を参照）
オプション機能の有効化

環境

機能	Stable	Regular	Rapid
サポート対象のいずれかのリージョンの GKE 1.25～1.27
Autopilot の GKE 1.25～1.27 クラスタ
Google Cloud 以外の環境（GKE Enterprise オンプレミス、他のパブリッククラウドの GKE Enterprise、Amazon EKS、Microsoft AKS、その他の Kubernetes クラスタ）

スケーリング

機能	Stable	Regular	迅速性と
クラスタあたり 1,000 個のサービスと 5,000 個のワークロード

プラットフォーム環境

機能	Stable	Regular	迅速性と
単一ネットワーク
マルチネットワーク
単一プロジェクト
共有 VPC を使用したマルチプロジェクト

デプロイモデル

機能	Stable	Regular	迅速性と
マルチプライマリ
プライマリリモート

用語に関する注意事項

マルチプライマリ構成とは、すべてのクラスタでその構成を複製する必要があることを意味います。
プライマリリモート構成とは、単一のクラスタにその構成が含まれ、信頼できる送信元と見なされることを意味します。
Anthos Service Mesh では、一般的な接続に基づいて、簡素化されたネットワーク定義を使用しています。ワークロードインスタンスは、ゲートウェイなしで直接通信できる場合は同じネットワーク上に存在します。

セキュリティ

VPC Service Controls

機能	Stable	Regular	迅速性と
VPC Service Control（VPC-SC）プレビュー
VPC Service Control（VPC-SC）一般提供

証明書の配布 / ローテーションメカニズム

機能	Stable	Regular	迅速性と
ワークロード証明書の管理
Ingress ゲートウェイと Egress ゲートウェイでの外部証明書の管理。

認証局（CA）のサポート

機能	Stable	Regular	迅速性と
Anthos Service Mesh 認証局（Mesh CA）
Certificate Authority Service
Istio CA
カスタム CA との統合

Anthos Service Mesh のセキュリティ機能

Anthos Service Mesh は、Istio のセキュリティ機能をサポートしているだけでなく、アプリケーションの保護に役立つ機能をさらに提供します。

機能	Stable	Regular	Rapid
IAP の統合
エンドユーザー認証
ドライランモード
拒否ロギング
監査ポリシー

認可ポリシー

機能	Stable	Regular	迅速性と
認可 v1beta1 ポリシー

認証ポリシー

機能	Stable	Regular	迅速性と
自動 mTLS
mTLS PERMISSIVE モード
mTLS の STRICT モード	*	*	*

認証のリクエスト

機能	Stable	Regular	Rapid
JWT 認証^{（注 1）}

注:

サードパーティの JWT はデフォルトで有効になっています。

ベースイメージ

機能	Stable	Regular	迅速性と
Distroless プロキシイメージ

テレメトリー

指標

機能	Stable	Regular	迅速性と
Cloud Monitoring（HTTP プロキシ内指標）
Cloud Monitoring（TCP プロキシ内指標）
Prometheus 指標の Grafana へのエクスポート（Envoy 指標のみ）	*	*	*
Prometheus の指標を Kiali にエクスポート
Google Cloud Managed Service for Prometheus（Anthos Service Mesh ダッシュボード以外）	*	*	*
Istio Telemetry API
カスタムアダプタ / バックエンド（プロセス内またはプロセス外）
任意のテレメトリーとロギングバックエンド

プロキシリクエストのロギング

機能	Stable	Regular	Rapid
トラフィックログ
アクセスログ	*	*	*

トレース

機能	Stable	Regular	迅速性と
Cloud Trace	*	*	*
Jaeger トレース（顧客管理の Jaeger の使用を許可する）	対応	互換	対応
Zipkin トレース（顧客管理の Zipkin の使用を許可する）	対応	互換	互換

ネットワーキング

トラフィックのインターセプト / リダイレクトメカニズム

機能	Stable	Regular	迅速性と
`CAP_NET_ADMIN` と `init` コンテナを使用する `iptables` の従来の使用
Istio Container Network Interface（CNI）
ホワイトボックスサイドカー

プロトコルサポート

機能	Stable	Regular	迅速性と
IPv4
HTTP/1.1
HTTP/2
TCP バイトストリーム（注 1）
gRPC
IPv6

メモ:

TCP はネットワーキング用のプロトコルで、TCP 指標は収集されますが、報告されません。指標は、Google Cloud コンソール内の HTTP サービスにのみ表示されます。
レイヤ 7 機能で WebSocket、MongoDB、Redis、Kafka、Cassandra、RabbitMQ、Cloud SQL のプロトコル向けに構成されているサービスはサポートされません。TCP バイトストリームのサポートを使用して、プロトコルを機能させることができます。TCP バイトストリームがプロトコルをサポートできない場合（たとえば、Kafka がプロトコル固有の応答でリダイレクトアドレスを送信し、このリダイレクトが Anthos Service Mesh のルーティングロジックに対応していない場合）、プロトコルはサポートされません。

Envoy のデプロイ

機能	Stable	Regular	迅速性と
サイドカー
Ingress ゲートウェイ
サイドカーから直接の下り（外向き）
Egress ゲートウェイを使用した下り（外向き）	*	*	*

CRD サポート

機能	Stable	Regular	迅速性と
サイドカーリソース
サービスエントリリソース
割合、フォールトインジェクション、パスマッチング、リダイレクト、再試行、書き換え、タイムアウト、再試行、ミラーリング、ヘッダー操作、CORS ルーティングルール
カスタム Envoy フィルタ
Istio Operator

Istio Ingress ゲートウェイのロードバランサ

機能	Stable	Regular	Rapid
サードパーティの外部ロードバランサ
Google Cloud 内部ロードバランサ	*	*	*

サービスメッシュクラウドゲートウェイ

機能	Stable	Regular	Rapid
サービスメッシュクラウドゲートウェイ

ロードバランシングポリシー

機能	Stable	Regular	迅速性と
ラウンドロビン
最小接続
ランダム
パススルー
コンシステントハッシュ
地域

リージョン

GKE クラスタは、次のいずれかのリージョンに存在するか、次のリージョン内の任意のゾーンに存在する必要があります。

リージョン	ロケーション
`asia-east1`	台湾
`asia-east2`	香港
`asia-northeast1`	東京（日本）
`asia-northeast2`	大阪（日本）
`asia-northeast3`	韓国
`asia-south1`	ムンバイ（インド）
`asia-south2`	デリー（インド）
`asia-southeast1`	シンガポール
`asia-southeast2`	ジャカルタ
`australia-southeast1`	シドニー（オーストラリア）
`australia-southeast2`	メルボルン（オーストラリア）
`europe-central2`	ポーランド
`europe-north1`	フィンランド
`europe-southwest1`	スペイン
`europe-west1`	ベルギー
`europe-west2`	イングランド
`europe-west3`	ドイツ
`europe-west4`	オランダ
`europe-west6`	スイス
`europe-west8`	イタリア
`europe-west9`	フランス
`me-central1`	ドーハ
`me-central2`	ダンマーム（サウジアラビア）
`me-west1`	テルアビブ
`northamerica-northeast1`	モントリオール（カナダ）
`northamerica-northeast2`	トロント（カナダ）
`southamerica-east1`	ブラジル
`southamerica-west1`	チリ
`us-central1`	アイオワ
`us-east1`	サウスカロライナ
`us-east4`	北バージニア
`us-east5`	オハイオ
`us-south1`	ダラス
`us-west1`	オレゴン
`us-west2`	ロサンゼルス
`us-west3`	ソルトレイクシティ
`us-west4`	ラスベガス

ユーザーインターフェース

機能	Stable	Regular	Rapid
Google Cloud コンソールでの Anthos Service Mesh ダッシュボード
Cloud Monitoring
Cloud Logging

ツール

機能	Stable	Regular	Rapid
Anthos Service Mesh 1.9.x と互換性のある `istioctl`
`istioctl ps`
`istioctl x ps`（`--xds-via-agents` フラグを使用）