このページでは、マネージド Anthos Service Mesh でサポートされている機能と制限事項について説明します。クラスタ内コントロール プレーンの Anthos Service Mesh 用に Anthos Service Mesh でサポートされている機能の一覧については、クラスタ内コントロール プレーン をご覧ください。
制限事項
注意: Anthos Service Mesh を使用するには、1 つのメッシュ内のすべての Anthos Service Mesh クラスタが常に同じフリートに登録されている必要があります。Anthos Service Mesh クラスタのプロジェクト内の他のクラスタは、別のフリートに登録しないでください。
次の制限事項が適用されます。
GKE クラスタは、サポートされているリージョン のいずれかに存在する必要があります。
GKE のバージョンは、サポートされているバージョン である必要があります。
環境 に記載されているプラットフォームのみがサポートされています。
リリース チャンネル の変更はサポートされていません。
asmcli
を含むマネージド Anthos Service Mesh から Fleet API を含む Anthos Service Mesh への移行はサポートされていません。同様に、Fleet API を含むマネージド Anthos Service Mesh の --management manual
から --management automatic
へのプロビジョニングもサポートされていません。
移行とアップグレードは、Mesh CA を使用してインストールされた、クラスタ内 Anthos Service Mesh のバージョン 1.9 以降でのみサポートされています。Istio CA(旧称 Citadel)を使用してインストールする場合は、先に Mesh CA に移行 する必要があります。
スケールはクラスタあたり 1,000 個のサービスと 5,000 個のワークロードに制限されています。
マルチクラスタの場合、マルチプライマリ デプロイ オプションのみがサポートされています。マルチクラスタのプライマリリモート デプロイ オプションはサポートされていません。
istioctl ps
はサポートされていません。代わりに、istioctl x ps --xds-via-agents
を使用すると、すべてのワークロードを一覧表示できます。また、Pod 名と Namespace と一緒に istioctl pc
を使用すると、Pod の詳細情報を取得できます。
サポートされていない Istio API:
Envoy フィルタ
IstioOperator
API
GKE Enterprise に登録しなくてもマネージド コントロール プレーンを使用できますが、Google Cloud コンソールの一部の UI 要素と機能は、GKE Enterprise のサブスクライバーのみが使用できます。サブスクライバーと非サブスクライバーが使用できる機能については、GKE Enterprise と Anthos Service Mesh の UI の違い をご覧ください。
マネージド コントロール プレーンのプロビジョニング プロセス中に、選択したチャネルに対応する Istio CRD が指定のクラスタにインストールされます。クラスタに既存の Istio CRD が存在している場合、それらは上書きされます。
マネージド Anthos Service Mesh は、デフォルトの DNS ドメイン .cluster.local
のみをサポートします。
2023 年 11 月 14 日以降、Rapid リリース チャンネルでマネージド Anthos Service Mesh を新規インストールすると、Envoy のみを使用して JWKS が取得されます。これは、PILOT_JWT_ENABLE_REMOTE_JWKS=envoy
Istio オプションと同等です。Regular および Stable リリース チャンネルでのインストール、または 2023 年 11 月 14 日より前の Rapid リリース チャンネルでのインストールとは異なり、追加の ServiceEntry
および DestinationRule
構成が必要になる場合があります。例については、requestauthn-with-se.yaml.tmpl
をご覧ください。
チャンネルの違い
リリース チャネル によってサポートされる機能に違いがあります。
– 機能が利用可能で、デフォルトで有効になっていることを示します。
* - 機能がプラットフォームでサポートされていることを示します。有効にする手順は、オプション機能の有効化 、または機能の表にリンクされている機能ガイドに記載されています。
– 機能が利用できないか、サポートされていないことを示します。
デフォルト機能とオプション機能は、Google Cloud サポートで完全にサポートされています。表に記載されていない機能はベスト エフォート型のサポートになります。
マネージド コントロール プレーンでサポートされている機能
インストール、アップグレード、ロールバック
機能
Stable
Regular
Rapid
フリート 機能 API を使用した GKE クラスタへのインストール
Mesh CA を使用する ASM 1.9 バージョンからアップグレード
1.9 より前のバージョンの Anthos Service Mesh から直接(スキップレベル)アップグレード(間接的なアップグレードに関する注意事項を参照)
Istio OSS からの直接(スキップレベル)アップグレード(間接アップグレードに関する注意事項を参照)
Istio-on-GKE アドオンから直接(スキップレベル)アップグレード(間接アップグレードに関する注意事項を参照)
オプション機能 の有効化
注: 間接移行 / アップグレードがサポートされています。つまり、クラスタ内コントロール プレーンで Anthos Service Mesh 1.23 に到達するまでは、各バージョンで標準の Anthos Service Mesh のアップグレード パス を使用できます。その後、マネージド コントロール プレーンに移行できます。直接移行 / アップグレードは、Mesh CA と一緒にインストールされた Anthos Service Mesh バージョン 1.9 以降でのみサポートされます。Istio CA を使用してインストールする場合は、先に Mesh CA に移行する必要があります。 環境
機能
Stable
Regular
Rapid
サポート対象のいずれかのリージョン の GKE 1.25~1.27
Autopilot の GKE 1.25~1.27 クラスタ
Google Cloud 以外の環境(GKE Enterprise オンプレミス、他のパブリック クラウドの GKE Enterprise、Amazon EKS、Microsoft AKS、その他の Kubernetes クラスタ)
スケーリング
機能
Stable
Regular
迅速性と
クラスタあたり 1,000 個のサービスと 5,000 個のワークロード
注: これは 1 つのクラスタでサポートされるサービスとワークロードの数に関するソフトリミットです。このリミットを超える場合は Cloud サポートにご連絡ください。
機能
Stable
Regular
迅速性と
単一ネットワーク
マルチネットワーク
単一プロジェクト
共有 VPC を使用したマルチプロジェクト
デプロイモデル
機能
Stable
Regular
迅速性と
マルチプライマリ
プライマリリモート
用語に関する注意事項
マルチプライマリ構成とは、すべてのクラスタでその構成を複製する必要があることを意味います。
プライマリリモート構成とは、単一のクラスタにその構成が含まれ、信頼できる送信元と見なされることを意味します。
Anthos Service Mesh では、一般的な接続に基づいて、簡素化されたネットワーク定義を使用しています。ワークロード インスタンスは、ゲートウェイなしで直接通信できる場合は同じネットワーク上に存在します。
セキュリティ
VPC Service Controls
証明書の配布 / ローテーション メカニズム
機能
Stable
Regular
迅速性と
ワークロード証明書の管理
Ingress ゲートウェイと Egress ゲートウェイでの外部証明書の管理。
認証局(CA)のサポート
Anthos Service Mesh のセキュリティ機能
Anthos Service Mesh は、Istio のセキュリティ機能をサポートしているだけでなく、アプリケーションの保護に役立つ機能をさらに提供します。
認可ポリシー
機能
Stable
Regular
迅速性と
認可 v1beta1 ポリシー
認証ポリシー
機能
Stable
Regular
迅速性と
自動 mTLS
mTLS PERMISSIVE モード
mTLS の STRICT モード
*
*
*
認証のリクエスト
機能
Stable
Regular
Rapid
JWT 認証(注 1)
注:
サードパーティの JWT はデフォルトで有効になっています。
ベースイメージ
テレメトリー
指標
機能
Stable
Regular
迅速性と
Cloud Monitoring(HTTP プロキシ内指標)
Cloud Monitoring(TCP プロキシ内指標)
Prometheus 指標の Grafana へのエクスポート(Envoy 指標のみ)
*
*
*
Prometheus の指標を Kiali にエクスポート
Google Cloud Managed Service for Prometheus(Anthos Service Mesh ダッシュボード以外)
*
*
*
Istio Telemetry API
カスタム アダプタ / バックエンド(プロセス内またはプロセス外)
任意のテレメトリーとロギング バックエンド
プロキシ リクエストのロギング
トレース
機能
Stable
Regular
迅速性と
Cloud Trace
*
*
*
Jaeger トレース(顧客管理の Jaeger の使用を許可する)
対応
互換
対応
Zipkin トレース(顧客管理の Zipkin の使用を許可する)
対応
互換
互換
注: サードパーティのテレメトリー プロダクト(Jaeger や Zipkin など)を構成することは可能ですが、将来の互換性は保証されず、Cloud サポートではそのようなプロダクトの管理に関してサポートできません。
ネットワーキング
トラフィックのインターセプト / リダイレクト メカニズム
機能
Stable
Regular
迅速性と
CAP_NET_ADMIN
と init
コンテナを使用する iptables
の従来の使用
Istio Container Network Interface(CNI)
ホワイトボックス サイドカー
プロトコル サポート
機能
Stable
Regular
迅速性と
IPv4
HTTP/1.1
HTTP/2
TCP バイト ストリーム(注 1)
gRPC
IPv6
メモ:
TCP はネットワーキング用のプロトコルで、TCP 指標は収集されますが、報告されません。指標は、Google Cloud コンソール内の HTTP サービスにのみ表示されます。
レイヤ 7 機能で WebSocket、MongoDB、Redis、Kafka、Cassandra、RabbitMQ、Cloud SQL のプロトコル向けに構成されているサービスはサポートされません。TCP バイト ストリームのサポートを使用して、プロトコルを機能させることができます。TCP バイト ストリームがプロトコルをサポートできない場合(たとえば、Kafka がプロトコル固有の応答でリダイレクト アドレスを送信し、このリダイレクトが Anthos Service Mesh のルーティング ロジックに対応していない場合)、プロトコルはサポートされません。
Envoy のデプロイ
機能
Stable
Regular
迅速性と
サイドカー
Ingress ゲートウェイ
サイドカーから直接の下り(外向き)
Egress ゲートウェイを使用した下り(外向き)
*
*
*
CRD サポート
機能
Stable
Regular
迅速性と
サイドカー リソース
サービス エントリ リソース
割合、フォールト インジェクション、パスマッチング、リダイレクト、再試行、書き換え、タイムアウト、再試行、ミラーリング、ヘッダー操作、CORS ルーティング ルール
カスタム Envoy フィルタ
Istio Operator
Istio Ingress ゲートウェイのロードバランサ
機能
Stable
Regular
Rapid
サードパーティの外部ロードバランサ
Google Cloud 内部ロードバランサ
*
*
*
サービス メッシュ クラウド ゲートウェイ
機能
Stable
Regular
Rapid
サービス メッシュ クラウド ゲートウェイ
ロード バランシング ポリシー
機能
Stable
Regular
迅速性と
ラウンドロビン
最小接続
ランダム
パススルー
コンシステント ハッシュ
地域
リージョン
GKE クラスタは、次のいずれかのリージョンに存在するか、次のリージョン内の任意のゾーンに存在する必要があります。
リージョン
ロケーション
asia-east1
台湾
asia-east2
香港
asia-northeast1
東京(日本)
asia-northeast2
大阪(日本)
asia-northeast3
韓国
asia-south1
ムンバイ(インド)
asia-south2
デリー(インド)
asia-southeast1
シンガポール
asia-southeast2
ジャカルタ
australia-southeast1
シドニー(オーストラリア)
australia-southeast2
メルボルン(オーストラリア)
europe-central2
ポーランド
europe-north1
フィンランド
europe-southwest1
スペイン
europe-west1
ベルギー
europe-west2
イングランド
europe-west3
ドイツ
europe-west4
オランダ
europe-west6
スイス
europe-west8
イタリア
europe-west9
フランス
me-central1
ドーハ
me-central2
ダンマーム(サウジアラビア)
me-west1
テルアビブ
northamerica-northeast1
モントリオール(カナダ)
northamerica-northeast2
トロント(カナダ)
southamerica-east1
ブラジル
southamerica-west1
チリ
us-central1
アイオワ
us-east1
サウスカロライナ
us-east4
北バージニア
us-east5
オハイオ
us-south1
ダラス
us-west1
オレゴン
us-west2
ロサンゼルス
us-west3
ソルトレイクシティ
us-west4
ラスベガス
ユーザー インターフェース
機能
Stable
Regular
Rapid
Google Cloud コンソールでの Anthos Service Mesh ダッシュボード
Cloud Monitoring
Cloud Logging
機能
Stable
Regular
Rapid
Anthos Service Mesh 1.9.x と互換性のある istioctl
istioctl ps
istioctl x ps
(--xds-via-agents
フラグを使用)