Voraussetzungen für Cloud Service Mesh im Cluster
Auf dieser Seite werden die Voraussetzungen und Anforderungen für die Installation clusterinternes Cloud Service Mesh für Kubernetes-Arbeitslasten außerhalb von Google Cloud, z. B. wie GKE Enterprise-Lizenzierung, Clusteranforderungen, Flottenanforderungen und allgemeine Anforderungen.
Cloud-Projekt
Hinweise:
Wählen Sie ein Google Cloud-Projekt aus oder erstellen Sie eines.
Prüfen Sie, ob für Ihr Projekt die Abrechnung aktiviert ist.
GKE Enterprise-Lizenzierung
Zum Installieren von Cloud Service Mesh lokal in GKE on AWS auf Amazon EKS, auf GKE on Azure oder auf Microsoft AKS, GKE Enterprise-Kunde ist. GKE Enterprise-Kunden werden nicht separat abgerechnet für Cloud Service Mesh, da es bereits in GKE Enterprise enthalten ist pricing. Weitere Informationen finden Sie in der GKE Enterprise-Preisübersicht.
Allgemeine Voraussetzungen
Für die Aufnahme in das Service Mesh müssen Dienstports benannt werden und der Name muss das Protokoll des Ports in der folgenden Syntax enthalten:
name: protocol[-suffix]
, wobei die eckigen Klammern ein optionales Suffix angeben, das mit einem Bindestrich beginnen muss. Weitere Informationen finden Sie unter Dienstports benennen.Wenn Sie einen Dienstperimeter erstellt haben in Ihrer Organisation müssen Sie möglicherweise den Cloud Service Mesh-Zertifizierungsstellendienst hinzufügen, bis zum Perimeter. Weitere Informationen finden Sie unter Cloud Service Mesh-Zertifizierungsstelle zu einem Dienstperimeter hinzufügen .
Wenn Sie die standardmäßigen Ressourcenlimits für den Sidecar-Container
istio-proxy
ändern möchten, müssen die neuen Werte größer als die Standardwerte sein, um Ereignisse aufgrund von Speicherplatzmangel zu vermeiden.Mit einem Google Cloud-Projekt kann nur ein Mesh verknüpft sein.
Clusteranforderungen
Achten Sie darauf, dass der Nutzercluster, auf dem Sie Cloud Service Mesh installieren, mindestens 4 vCPUs, 15 GB Arbeitsspeicher und 4 Knoten
Prüfen Sie, ob Ihre Clusterversion unter Unterstützte Plattformen aufgeführt ist.
Achten Sie darauf, dass der Clientcomputer, von dem Sie Cloud Service Mesh installieren, Netzwerkverbindung zum API-Server.
Wenn Sie Sidecars in Anwendungs-Pods bereitstellen, in denen keine direkte Verbindung zu CA-Diensten (z. B.
meshca.googleapis.com
undprivateca.googleapis.com
) verfügbar ist, müssen Sie einen explizitenCONNECT
-basierten HTTPS-Proxy konfigurieren.Für öffentliche Cluster mit festgelegten Firewallregeln für ausgehenden Traffic, die den Traffic blockieren impliziten Regeln erstellt werden, HTTP/HTTPS- und DNS-Regeln konfiguriert, um öffentliche Google APIs zu erreichen.
Flottenanforderungen
Alle Cluster müssen bei einem
Flotten
Flotten-Workload Identity
muss aktiviert sein. Sie können entweder die Cluster selbst einrichten oder asmcli
die Cluster registrieren lassen, solange sie die folgenden Anforderungen erfüllen:
- GKE-Cluster außerhalb von Google Cloud: (gilt für das Cloud Service Mesh im Cluster) Google Distributed Cloud Google Distributed Cloud GKE on AWS und GKE on Azure sind die bei der Clustererstellung automatisch bei Ihrer Projektflotte registriert sind. Ab GKE Enterprise 1.8, alle diese Clustertypen aktivieren die Flotte automatisch Workload Identity bei Registrierung. Vorhandene registrierte Cluster werden aktualisiert , um Workload Identity für die Flotte zu verwenden, wenn ein Upgrade auf GKE Enterprise 1.8 durchgeführt wird.
- Amazon EKS-Cluster: (gilt für Cloud Service Mesh im Cluster) Der Cluster muss einen öffentlichen IAM-OIDC-Identitätsanbieter haben. Folgen Sie dazu der Anleitung unter IAM-OIDC-Anbieter für Ihren Cluster erstellen um zu prüfen, ob ein Anbieter vorhanden ist, und bei Bedarf einen zu erstellen.
Wenn Sie asmcli install
ausführen, geben Sie die Projekt-ID des Flottenhostprojekts an.
asmcli
registriert den Cluster, falls er noch nicht registriert wurde.