Requisitos previos de Cloud Service Mesh en el clúster
En esta página, se describen los requisitos y requisitos previos para instalar Cloud Service Mesh en el clúster para cargas de trabajo de Kubernetes fuera de Google Cloud, como las licencias de GKE Enterprise, los requisitos del clúster, los requisitos de la flota y los requisitos generales.
Proyecto de Cloud
Antes de comenzar:
Verifica que la facturación esté habilitada para tu proyecto.
Licencias de GKE Enterprise
Para instalar Cloud Service Mesh de forma local, en GKE en AWS, en Amazon EKS, en GKE en Azure o en Microsoft AKS, debes ser cliente de GKE Enterprise. A los clientes de GKE Enterprise no se les factura por separado por Cloud Service Mesh porque ya está incluido en los precios de GKE Enterprise. Para obtener más información, consulta la Guía de precios de GKE Enterprise.
Requisitos generales
Para que se los incluya en la malla de servicios, los puertos de servicio deben tener un nombre, y ese nombre debe incluir el protocolo del puerto en la siguiente sintaxis:
name: protocol[-suffix], en la que los corchetes indican un sufijo opcional que debe comenzar con un guion. Para obtener más información, consulta Asigna nombres a puertos de servicio.Si creaste un perímetro de servicio en tu organización, es posible que debas agregar el servicio de la autoridad certificadora de Cloud Service Mesh al perímetro. Para obtener más información, consulta Cómo agregar la AC de Cloud Service Mesh a un perímetro de servicio.
Si deseas cambiar los límites de recursos predeterminados para el contenedor del archivo adicional
istio-proxy, los valores nuevos deben ser mayores que los valores predeterminados a fin de evitar eventos de memoria (OOM).Un proyecto de Google Cloud solo puede tener una malla asociada.
Requisitos del clúster
Asegúrate de que el clúster de usuario en el que instales Cloud Service Mesh tenga al menos 4 CPU virtuales, 15 GB de memoria y 4 nodos.
Verifica que la versión del clúster se enumere en las plataformas compatibles.
Asegúrate de que la máquina cliente desde la que instales Cloud Service Mesh tenga conectividad de red al servidor de API.
Si implementas sidecars en pods de aplicaciones en los que la conectividad directa a los servicios de CA (como
meshca.googleapis.comyprivateca.googleapis.com) no está disponible; debes configurar un proxy HTTPS basado enCONNECTexplicito.En el caso de los clústeres públicos con reglas de firewall de salida establecidas que bloquean las reglas implícitas, asegúrate de haber configurado reglas de HTTP/HTTPS y DNS para acceder a las APIs públicas de Google.
Requisitos de la flota
Todos los clústeres deben estar registrados en una flota y se debe habilitar la identidad de carga de trabajo de la flota. Puedes configurar los clústeres o puedes permitir que asmcli registre los clústeres siempre que cumplan con los siguientes requisitos:
- Clústeres de GKE fuera de Google Cloud: (se aplica a Cloud Service Mesh en clúster) Google Distributed Cloud, Google Distributed Cloud, GKE en AWS y GKE en Azure se registran automáticamente en la flota de tu proyecto en el momento de la creación del clúster. A partir de GKE Enterprise 1.8, todos estos tipos de clústeres habilitan automáticamente Workload Identity de la flota cuando se registran. Los clústeres registrados existentes se actualizan para usar Workload Identity de la flota cuando se les actualiza a GKE Enterprise 1.8.
- Clústeres de Amazon EKS: (se aplica a Cloud Service Mesh en clúster) El clúster debe tener un proveedor de identidad de OIDC de IAM público. Sigue las instrucciones en Crea un proveedor de OIDC de IAM para tu clúster para verificar si existe un proveedor, y crea un proveedor si es necesario.
Cuando ejecutas asmcli install, especificas el ID del proyecto del proyecto host de la flota.
asmcli registra el clúster si aún no lo está.