Installer Cloud Service Mesh pour les charges de travail Kubernetes en dehors de Google Cloud
Cette page explique comment installer Cloud Service Mesh non géré dans le cluster pour Charges de travail Kubernetes en dehors de Google Cloud:
- Exécutez
asmcli
pour installer une nouvelle fois Cloud Service Mesh 1.21.4-asm.5. - Vous pouvez éventuellement déployer une passerelle d'entrée.
- Déployez ou redéployez vos charges de travail pour injecter des proxys side-car.
Si vous devez installer Cloud Service Mesh non géré dans le cluster avec une
plan de contrôle istiod
sur GKE, consultez
Installez Cloud Service Mesh dans le cluster sur Google Cloud. Notez que pour les charges de travail Kubernetes
Google Cloud, nous vous recommandons
Provisionner un plan de contrôle géré
Pour savoir comment préparer une installation hors connexion de Cloud Service Mesh,
voir
Préparer une installation hors connexion de Cloud Service Mesh
Vous devrez spécifier les options --offline
et --output_dir
lors de l'exécution
asmcli install
Limites
Prenez note des restrictions suivantes :
Tous les clusters Cloud Service Mesh d'un même réseau maillé doivent être enregistrés d'utiliser le maillage de services Cloud Service Mesh à tout moment. Les autres groupes d'un cluster Cloud Service Mesh ne doit pas être enregistré dans un d'un parc différent.
L'outil
asmcli
doit avoir accès à Google Kubernetes Engine (GKE) point de terminaison unique. Vous pouvez configurer l'accès via un "saut" d'un serveur, tel qu'un Compute Engine au sein du cloud privé virtuel (VPC), ce qui donne access.
Avant de commencer
Avant de commencer, veillez à suivre les étapes ci-dessous :
- Consultez les conditions préalables.
- Consultez les informations de la section Planifier l'installation.
- Installez les outils nécessaires.
- Téléchargez
asmcli
. - Accordez des autorisations d'administrateur de cluster.
- Validez le projet et le cluster.
Rôles requis pour installer le maillage de services Cloud dans le cluster
Le tableau suivant décrit les rôles requis pour une installation dans le cluster Cloud Service Mesh.
Nom de rôle | ID de rôle | Emplacement d'attribution | Description |
---|---|---|---|
Administrateur de GKE Hub | roles/gkehub.admin | Projet de parc | Accès complet à GKE Hub et aux ressources associées. |
Administrateur de Kubernetes Engine | roles/container.admin | Projet de cluster. Notez que ce rôle doit être attribué dans les projets de parc et de cluster pour les liaisons entre projets. | Permet la gestion complète des clusters de conteneurs et de leurs objets API Kubernetes. |
Administrateur de configuration du maillage | roles/meshconfig.admin | Projet de parc et de cluster | Fournit les autorisations requises pour initialiser les composants gérés de Cloud Service Mesh, comme le plan de contrôle géré et l'autorisation de backend permet aux charges de travail de communiquer avec Stackdriver autorisés individuellement (pour les plans de contrôle gérés et les plans de contrôle de cluster). |
Administrateur de projet IAM | roles/resourcemanager.projectIamAdmin | Projet de cluster | Fournit des autorisations permettant d'administrer les stratégies IAM appliquées aux projets. |
Administrateur de compte de service | roles/iam.serviceAccountAdmin | Projet de parc | Authentifier en tant que compte de service. |
Administrateur de gestion des services | roles/servicemanagement.admin | Projet de parc | Contrôle complet des ressources Google Service Management. |
Administrateur Service Usage | roles/serviceusage.serviceUsageAdmin | Projet de parc | Permet d'activer, de désactiver et d'inspecter les états de service, ainsi que d'inspecter des opérations, ainsi que le quota et la facturation d'un client projet.(Remarque 1) |
Administrateur du service CA Bêta | roles/privateca.admin | Projet de parc | Accès complet à toutes les ressources du service CA. (Remarque 2) |
Remarques :
- Administrateur Service Usage : ce rôle est nécessaire.
comme condition préalable pour activer l'API
mesh.googleapis.com
lorsque en provisionnant initialement le service géré Cloud Service Mesh. - Administrateur du service CA : ce rôle n'est requis que si vous s'intègrent au service CA.
Installer Cloud Service Mesh
La section suivante explique comment installer Cloud Service Mesh:
Exécutez
asmcli install
pour installer le plan de contrôle intégré sur un cluster unique. Consultez les sections suivantes pour obtenir des exemples de ligne de commande. Les exemples contiennent à la fois des arguments obligatoires et des arguments facultatifs qui peuvent vous être utiles. Nous vous recommandons de toujours spécifier l'argumentoutput_dir
pour que où vous pouvez trouver des exemples de passerelles et d'outils tels queistioctl
. Consultez le de navigation sur la droite pour accéder à la liste des exemples.Vous pouvez également installer une passerelle d'entrée. Par défaut,
asmcli
n'installe pas la passerelleistio-ingressgateway
. Nous vous recommandons de déployer et de gérer le plan de contrôle et les passerelles séparément. Si vous avez besoin d'installer l'optionistio-ingressgateway
par défaut avec le plan de contrôle au sein du cluster, incluez l'argument--option legacy-default-ingressgateway
.Pour terminer la configuration de Cloud Service Mesh, vous devez activer l'automatisation l'injection side-car déployer ou redéployer des charges de travail.
Si vous installez Cloud Service Mesh sur plusieurs clusters, exécutez
asmcli install
sur chaque cluster. Lorsque vous exécutezasmcli install
, veillez à utiliser le mêmeFLEET_PROJECT_ID
pour chaque cluster. Une fois Cloud Service Mesh installé, consultez les instructions pour configurer un réseau maillé multicluster de Google Cloud.Si vos clusters se trouvent sur des réseaux différents (comme dans mode île vous devez transmettre un nom de réseau unique à
asmcli
à l'aide de la méthode--network_id
.
Installer les fonctionnalités par défaut et Mesh CA
Cette section explique comment exécuter asmcli
pour installer Cloud Service Mesh avec le
les fonctionnalités compatibles par défaut pour votre plate-forme
l'autorité de certification Cloud Service Mesh en tant qu'autorité de certification.
Sur site
Exécutez les commandes suivantes sur Google Distributed Cloud ou Google Distributed Cloud pour installer le plan de contrôle et l'autorité de certification Cloud Service Mesh. Saisissez vos valeurs dans les espaces réservés fournis.
Définissez le contexte actuel sur votre cluster d'utilisateur :
kubectl config use-context CLUSTER_NAME
Exécutez
asmcli install
:./asmcli install \ --fleet_id FLEET_PROJECT_ID \ --kubeconfig KUBECONFIG_FILE \ --output_dir DIR_PATH \ --platform multicloud \ --enable_all \ --ca mesh_ca
--fleet_id
: ID du projet du projet hôte du parc.--kubeconfig
: chemin d'accès complet au fichierkubeconfig
. La variable d'environnement$PWD
ne fonctionne pas ici. De plus, les emplacements de fichierskubeconfig
relatifs qui utilisent une valeur `~` ne fonctionneront pas.--output_dir
: incluez cette option pour spécifier un répertoire dans lequelasmcli
télécharge le packageanthos-service-mesh
et extrait le fichier d'installation, qui contientistioctl
, des exemples et des fichiers manifestes. Sinon,asmcli
télécharge les fichiers dans un répertoiretmp
. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement$PWD
ne fonctionne pas ici.--platform multicloud
spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.--enable_all
: permet au script d'effectuer les opérations suivantes :- Accorder les autorisations IAM requises.
- Activer les API Google requises.
- Définir un libellé sur le cluster qui identifie le réseau maillé.
- Enregistrer le cluster dans le parc si ce n'est déjà fait.
--ca mesh_ca
Utiliser l'autorité de certification Cloud Service Mesh en tant que autorité de certification.asmcli
configure l'autorité de certification Cloud Service Mesh à utiliser parc Workload Identity
Pour afficher les SLO et les métriques d'infrastructure dans l'interface utilisateur de Cloud Service Mesh, vous devez effectuer également les trois premières étapes Activez la journalisation et la surveillance des applications. Si la journalisation et la surveillance ne sont pas activées et ne reçoivent pas de journaux personnalisés le tableau de bord Cloud Service Mesh n'affiche pas les SLO, les journaux d'erreurs, et les métriques de mémoire.
AWS
Exécutez les commandes suivantes sur GKE sur AWS pour installer le plan de contrôle avec les fonctionnalités par défaut et l'autorité de certification de Cloud Service Mesh. Saisissez vos valeurs dans les espaces réservés fournis.
Définissez le contexte actuel sur votre cluster d'utilisateur :
kubectl config use-context CLUSTER_NAME
Exécutez
asmcli install
:./asmcli install \ --fleet_id FLEET_PROJECT_ID \ --kubeconfig KUBECONFIG_FILE \ --output_dir DIR_PATH \ --platform multicloud \ --enable_all \ --ca mesh_ca
--fleet_id
: ID du projet du projet hôte du parc.--kubeconfig
: chemin d'accès complet au fichierkubeconfig
. La variable d'environnement$PWD
ne fonctionne pas ici. De plus, les emplacements de fichierskubeconfig
relatifs qui utilisent une valeur `~` ne fonctionneront pas.--output_dir
: incluez cette option pour spécifier un répertoire dans lequelasmcli
télécharge le packageanthos-service-mesh
et extrait le fichier d'installation, qui contientistioctl
, des exemples et des fichiers manifestes. Sinon,asmcli
télécharge les fichiers dans un répertoiretmp
. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement$PWD
ne fonctionne pas ici.--platform multicloud
spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.--enable_all
: permet au script d'effectuer les opérations suivantes :- Accorder les autorisations IAM requises.
- Activer les API Google requises.
- Définir un libellé sur le cluster qui identifie le réseau maillé.
- Enregistrer le cluster dans le parc si ce n'est déjà fait.
--ca mesh_ca
Utiliser l'autorité de certification Cloud Service Mesh en tant que autorité de certification.asmcli
configure l'autorité de certification Cloud Service Mesh à utiliser parc Workload Identity.
Pour afficher les SLO et les métriques d'infrastructure dans l'interface utilisateur de Cloud Service Mesh, vous devez effectuer également les trois premières étapes Activez la journalisation et la surveillance des applications. Si la journalisation et la surveillance ne sont pas activées et ne reçoivent pas de journaux personnalisés le tableau de bord Cloud Service Mesh n'affiche pas les SLO, les journaux d'erreurs, et les métriques de mémoire.
Azure
Exécutez les commandes suivantes sur GKE sur Azure pour installer le plan de contrôle avec les fonctionnalités par défaut et l'autorité de certification Cloud Service Mesh. Saisissez vos valeurs dans les espaces réservés fournis.
Définissez le contexte actuel sur votre cluster d'utilisateur :
kubectl config use-context CLUSTER_NAME
Exécutez
asmcli install
:./asmcli install \ --fleet_id FLEET_PROJECT_ID \ --kubeconfig KUBECONFIG_FILE \ --output_dir DIR_PATH \ --platform multicloud \ --enable_all \ --ca mesh_ca
--fleet_id
: ID du projet du projet hôte du parc.--kubeconfig
: chemin d'accès complet au fichierkubeconfig
. La variable d'environnement$PWD
ne fonctionne pas ici. De plus, les emplacements de fichierskubeconfig
relatifs qui utilisent une valeur `~` ne fonctionneront pas.--output_dir
: incluez cette option pour spécifier un répertoire dans lequelasmcli
télécharge le packageanthos-service-mesh
et extrait le fichier d'installation, qui contientistioctl
, des exemples et des fichiers manifestes. Sinon,asmcli
télécharge les fichiers dans un répertoiretmp
. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement$PWD
ne fonctionne pas ici.--platform multicloud
spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.--enable_all
: permet au script d'effectuer les opérations suivantes :- Accorder les autorisations IAM requises.
- Activer les API Google requises.
- Définir un libellé sur le cluster qui identifie le réseau maillé.
- Enregistrer le cluster dans le parc si ce n'est déjà fait.
--ca mesh_ca
Utiliser l'autorité de certification Cloud Service Mesh en tant que autorité de certification.asmcli
configure l'autorité de certification Cloud Service Mesh à utiliser parc Workload Identity.
Pour afficher les SLO et les métriques d'infrastructure dans l'interface utilisateur de Cloud Service Mesh, vous devez effectuer également les trois premières étapes Activez la journalisation et la surveillance des applications. Si la journalisation et la surveillance ne sont pas activées et ne reçoivent pas de journaux personnalisés le tableau de bord Cloud Service Mesh n'affiche pas les SLO, les journaux d'erreurs, et les métriques de mémoire.
Amazon EKS
Exécutez les commandes suivantes sur Amazon EKS pour installer le plan de contrôle avec les fonctionnalités par défaut et l'autorité de certification de Cloud Service Mesh. Saisissez vos valeurs dans les espaces réservés fournis.
Définissez le contexte actuel sur votre cluster d'utilisateur :
kubectl config use-context CLUSTER_NAME
Exécutez
asmcli install
:./asmcli install \ --fleet_id FLEET_PROJECT_ID \ --kubeconfig KUBECONFIG_FILE \ --output_dir DIR_PATH \ --platform multicloud \ --enable_all \ --option attached-cluster \ --network_id default \ --ca mesh_ca
--fleet_id
: ID du projet du projet hôte du parc.--kubeconfig
: chemin d'accès complet au fichierkubeconfig
. La variable d'environnement$PWD
ne fonctionne pas ici. De plus, les emplacements de fichierskubeconfig
relatifs qui utilisent une valeur `~` ne fonctionneront pas.--output_dir
: incluez cette option pour spécifier un répertoire dans lequelasmcli
télécharge le packageanthos-service-mesh
et extrait le fichier d'installation, qui contientistioctl
, des exemples et des fichiers manifestes. Sinon,asmcli
télécharge les fichiers dans un répertoiretmp
. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement$PWD
ne fonctionne pas ici.--platform multicloud
spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.--enable_all
: permet au script d'effectuer les opérations suivantes :- Accorder les autorisations IAM requises.
- Activer les API Google requises.
- Définir un libellé sur le cluster qui identifie le réseau maillé.
- Enregistrer le cluster dans le parc si ce n'est déjà fait.
--option attached-cluster
Modifie la signature par défaut d'être istiod.--network_id
Si vous configurez un réseau maillé multiréseau, Ensuite, définissez--network_id
sur une valeur unique pour chaque cluster. dans le maillage.--ca mesh_ca
Utiliser l'autorité de certification Cloud Service Mesh en tant que autorité de certification.asmcli
configure l'autorité de certification Cloud Service Mesh à utiliser parc Workload Identity.
Pour afficher les SLO et les métriques d'infrastructure dans l'interface utilisateur de Cloud Service Mesh, vous devez effectuer également les trois premières étapes Activez la journalisation et la surveillance des applications. Si la journalisation et la surveillance ne sont pas activées et ne reçoivent pas de journaux personnalisés le tableau de bord Cloud Service Mesh n'affiche pas les SLO, les journaux d'erreurs, et les métriques de mémoire.
Microsoft AKS
Exécutez les commandes suivantes sur Microsoft AKS pour installer le plan de contrôle avec les fonctionnalités par défaut et l'autorité de certification de Cloud Service Mesh. Saisissez vos valeurs dans les espaces réservés fournis.
Définissez le contexte actuel sur votre cluster d'utilisateur :
kubectl config use-context CLUSTER_NAME
Exécutez
asmcli install
:HUB_REGISTRATION_EXTRA_FLAGS=--has-private-issuer ./asmcli install \ --fleet_id FLEET_PROJECT_ID \ --kubeconfig KUBECONFIG_FILE \ --output_dir DIR_PATH \ --platform multicloud \ --enable_all \ --option attached-cluster \ --network_id default \ --ca mesh_ca
HUB_REGISTRATION_EXTRA_FLAGS=--has-private-issuer
autorise l'enregistrement avec GKE Hub.--fleet_id
: ID du projet du projet hôte du parc.--kubeconfig
: chemin d'accès complet au fichierkubeconfig
. La variable d'environnement$PWD
ne fonctionne pas ici. De plus, les emplacements de fichierskubeconfig
relatifs qui utilisent une valeur `~` ne fonctionneront pas.--output_dir
: incluez cette option pour spécifier un répertoire dans lequelasmcli
télécharge le packageanthos-service-mesh
et extrait le fichier d'installation, qui contientistioctl
, des exemples et des fichiers manifestes. Sinon,asmcli
télécharge les fichiers dans un répertoiretmp
. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement$PWD
ne fonctionne pas ici.--platform multicloud
spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.--enable_all
: permet au script d'effectuer les opérations suivantes :- Accorder les autorisations IAM requises.
- Activer les API Google requises.
- Définir un libellé sur le cluster qui identifie le réseau maillé.
- Enregistrer le cluster dans le parc si ce n'est déjà fait.
--option attached-cluster
Modifie la signature par défaut d'être istiod.--network_id
Si vous configurez un réseau maillé multiréseau, Ensuite, définissez--network_id
sur une valeur unique pour chaque cluster. dans le maillage.--ca mesh_ca
Utiliser l'autorité de certification Cloud Service Mesh en tant que autorité de certification.asmcli
configure l'autorité de certification Cloud Service Mesh à utiliser parc Workload Identity.
Pour afficher les SLO et les métriques d'infrastructure dans l'interface utilisateur de Cloud Service Mesh, vous devez effectuer également les trois premières étapes Activez la journalisation et la surveillance des applications. Si la journalisation et la surveillance ne sont pas activées et ne reçoivent pas de journaux personnalisés le tableau de bord Cloud Service Mesh n'affiche pas les SLO, les journaux d'erreurs, et les métriques de mémoire.
Installer les fonctionnalités par défaut et le service Certificate Authority (CA)
Cette section explique comment exécuter asmcli
pour installer Cloud Service Mesh avec le maillage
fonctionnalités compatibles avec votre plate-forme et
et d'activer CA Service en tant qu'autorité de certification.
<ph type="x-smartling-placeholder">
En plus de l'autorité de certification Cloud Service Mesh, vous pouvez configurer Cloud Service Mesh Certificate Authority Service. Ce guide vous offre l'occasion d'intégrer le service CA, qui est recommandé pour les cas d'utilisation suivants :
- Vous avez besoin de plusieurs autorités de certification différentes pour signer des certificats de charge de travail sur différents clusters.
- Vous devez sauvegarder vos clés de signature dans un HSM géré.
- Vous travaillez dans un secteur hautement réglementé et vous êtes soumis à des exigences de conformité.
- Si vous souhaitez associer votre CA Cloud Service Mesh à une autorité de certification racine personnalisée pour signer les certificats de charge de travail.
Le coût de l'autorité de certification Cloud Service Mesh est inclus dans le Tarifs de Cloud Service Mesh La CA Service n'est pas inclus dans le tarif de base de Cloud Service Mesh et facturés séparément. En outre, CA Service est fourni avec contrat de niveau de service explicite, ce qui n'est pas le cas de l'autorité de certification Cloud Service Mesh.
Configurer le service d'autorité de certification
- Créez le pool d'autorités de certification au niveau
DevOps
et dans la même région que le cluster qu'il dessert, afin d'éviter des problèmes de latence excessive ou des pannes interrégionales potentielles. Pour en savoir plus, consultez la page Niveaux optimisés pour les charges de travail. - Créez l'autorité de certification afin de disposer d'au moins une autorité de certification active dans le pool d'autorités de certification du même projet que le cluster GKE. Utiliser des autorités de certification subordonnées pour signer Certificats de charge de travail Cloud Service Mesh. Notez le pool d'autorités de certification correspondant à l'autorité de certification subordonnée.
S'il est destiné à ne desservir que les certificats des charges de travail Cloud Service Mesh, définissez la stratégie d'émission suivante pour le pool d'autorités de certification:
policy.yaml
baselineValues: keyUsage: baseKeyUsage: digitalSignature: true keyEncipherment: true extendedKeyUsage: serverAuth: true clientAuth: true caOptions: isCa: false identityConstraints: allowSubjectPassthrough: false allowSubjectAltNamesPassthrough: true celExpression: expression: subject_alt_names.all(san, san.type == URI && san.value.startsWith("spiffe://PROJECT_ID.svc.id.goog/ns/") )
Pour mettre à jour la stratégie d'émission du pool d'autorités de certification, exécutez la commande suivante :
gcloud privateca pools update CA_POOL --location ca_region --issuance-policy policy.yaml
Pour en savoir plus sur la définition d'une stratégie sur un pool, consultez la section Utiliser une stratégie d'émission de certificat.
Si vous utilisez un modèle de certificat, configurez-le maintenant. Pour plus d'informations, suivez le guide du service CA pour les certificats d'identité de charge de travail. Vérifiez que le modèle de certificat est créé dans la même région que le pool d'autorités de certification. S'il existe plusieurs régions pour les pools d'autorités de certification, créez un modèle de certificat par région.
Configurer Cloud Service Mesh pour utiliser CA Service
Exécutez les commandes suivantes sur Google Distributed Cloud ou Google Distributed Cloud pour installer le plan de contrôle avec les fonctionnalités par défaut et Certificate Authority Service. Saisissez vos valeurs dans les espaces réservés fournis.
Définissez le contexte actuel sur votre cluster d'utilisateur :
kubectl config use-context CLUSTER_NAME
Exécutez
asmcli install
:./asmcli install \ --kubeconfig KUBECONFIG_FILE \ --fleet_id FLEET_PROJECT_ID \ --output_dir DIR_PATH \ --enable_all \ --ca gcp_cas \ --platform multicloud \ --ca_pool projects/CA_POOL_PROJECT_ID/locations/ca_region/caPools/CA_POOL
--fleet_id
: ID du projet du projet hôte du parc.--kubeconfig
: chemin d'accès complet au fichierkubeconfig
. La variable d'environnement$PWD
ne fonctionne pas ici. De plus, les emplacements de fichierskubeconfig
relatifs qui utilisent une valeur `~` ne fonctionneront pas.--output_dir
: incluez cette option pour spécifier un répertoire dans lequelasmcli
télécharge le packageanthos-service-mesh
et extrait le fichier d'installation, qui contientistioctl
, des exemples et des fichiers manifestes. Sinon,asmcli
télécharge les fichiers dans un répertoiretmp
. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement$PWD
ne fonctionne pas ici.--platform multicloud
spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.--enable_all
: permet au script d'effectuer les opérations suivantes :- Accorder les autorisations IAM requises.
- Activer les API Google requises.
- Définir un libellé sur le cluster qui identifie le réseau maillé.
- Enregistrer le cluster dans le parc si ce n'est déjà fait.
--ca gcp_cas
Utiliser Certificate Authority Service en tant que autorité de certification. Modifier les autorités de certification au cours d'une peut entraîner des temps d'arrêt.asmcli
configure Certificate Authority Service à utiliser parc Workload Identity--ca_pool
: identifiant complet de Pool d'autorités de certification Certificate Authority Service. Si vous utilisez un modèle de certificat, ajoutez l'ID du modèle en les séparant par:
. Par exemple:--ca_pool projects/CA_POOL_PROJECT_ID/locations/ca_region/caPools/CA_POOL:projects/CA_POOL_PROJECT_ID/locations/ca_region/certificateTemplates/CERT_TEMPLATE_ID
Pour afficher les SLO et les métriques d'infrastructure dans l'interface utilisateur de Cloud Service Mesh, vous devez effectuer également les trois premières étapes Activez la journalisation et la surveillance des applications. Si la journalisation et la surveillance ne sont pas activées et ne reçoivent pas de journaux personnalisés le tableau de bord Cloud Service Mesh n'affiche pas les SLO, les journaux d'erreurs, et les métriques de mémoire.
Installer les fonctionnalités par défaut avec Istio CA
Cette section explique comment effectuer les opérations suivantes :
- Générer des certificats et des clés pour l'autorité de certification Istio que Cloud Service Mesh utilise pour signer vos charges de travail.
- Exécuter
asmcli
pour installer Cloud Service Mesh avec les fonctionnalités par défaut et activer CA d'Istio.
Par défaut, les environnements qui installent Cloud Service Mesh avec des métriques de rapport d'autorité de certification Istio à Prometheus. Si vous souhaitez utiliser les tableaux de bord Cloud Service Mesh, vous devez activer Stackdriver. Pour en savoir plus, consultez la section Installer avec des fonctionnalités facultatives.
Pour une sécurité optimale, nous vous recommandons vivement de conserver une autorité de certification racine hors connexion et d'utiliser les autorités de certification subordonnées pour émettre des autorités de certification pour chaque cluster. Pour en savoir plus, consultez la section Utiliser des certificats CA. Dans cette configuration, toutes les charges de travail du maillage de services utilisent la même autorité de certification racine (CA). Chaque CA de Cloud Service Mesh utilise une autorité de certification intermédiaire une clé de signature et un certificat, signés par la CA racine. Lorsque plusieurs autorités de certification existent dans un maillage, cela établit une hiérarchie de confiance entre les autorités de certification. Vous pouvez répéter ces étapes pour provisionner les certificats et les clés d'un nombre illimité d'autorités de certification.
Le fichier Makefile pour générer les certificats se trouve dans le sous-répertoire istio-1.21.4-asm.5
du répertoire --output_dir
que vous avez spécifié dans la commande asmcli validate
. Si vous n'avez pas exécuté asmcli validate
,
ou si vous n'avez pas le répertoire téléchargé localement, vous pouvez obtenir le Makefile en
téléchargement du fichier d'installation de Cloud Service Mesh
et extraire le contenu.
Accédez au répertoire
istio-1.21.4-asm.5
.Créez un répertoire pour les certificats et les clés :
mkdir -p certs && \ pushd certs
Générez un certificat et une clé racine :
make -f ../tools/certs/Makefile.selfsigned.mk root-ca
Les fichiers suivants sont alors générés :
- root-cert.pem : certificat racine
- root-key.pem : clé racine
- root-ca.conf : configuration nécessaire pour qu'openssl génère le certificat racine
- root-cert.csr : demande CSR du certificat racine
Générez un certificat et une clé intermédiaires :
make -f ../tools/certs/Makefile.selfsigned.mk cluster1-cacerts
Cette opération génère les fichiers suivants dans un répertoire nommé
cluster1
:- ca-cert.pem : certificats intermédiaires
- ca-key.pem : clé intermédiaire
- cert-chain.pem : chaîne de certificats utilisée par
istiod
- root-cert.pem : certificat racine
Si vous effectuez ces étapes en utilisant un ordinateur hors connexion, copiez le répertoire généré sur un ordinateur qui a accès aux clusters.
Revenez au répertoire précédent :
popd
Exécutez
asmcli
pour installer un réseau maillé à l'aide de l'autorité de certification Istio :Sur site
Exécutez les commandes suivantes sur Google Distributed Cloud ou Google Distributed Cloud pour installer le plan de contrôle les fonctionnalités par défaut et l'autorité de certification d'Istio. Saisissez vos valeurs dans les espaces réservés fournis.
Définissez le contexte actuel sur votre cluster d'utilisateur :
kubectl config use-context CLUSTER_NAME
Exécutez
asmcli install
:./asmcli install \ --fleet_id FLEET_PROJECT_ID \ --kubeconfig KUBECONFIG_FILE \ --output_dir DIR_PATH \ --platform multicloud \ --enable_all \ --ca citadel \ --ca_cert CA_CERT_FILE_PATH \ --ca_key CA_KEY_FILE_PATH \ --root_cert ROOT_CERT_FILE_PATH \ --cert_chain CERT_CHAIN_FILE_PATH
--fleet_id
: ID du projet du projet hôte du parc.--kubeconfig
: chemin d'accès complet au fichierkubeconfig
. La variable d'environnement$PWD
ne fonctionne pas ici. De plus, les emplacements de fichierskubeconfig
relatifs qui utilisent une valeur `~` ne fonctionneront pas.--output_dir
: incluez cette option pour spécifier un répertoire dans lequelasmcli
télécharge le packageanthos-service-mesh
et extrait le fichier d'installation, qui contientistioctl
, des exemples et des fichiers manifestes. Sinon,asmcli
télécharge les fichiers dans un répertoiretmp
. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement$PWD
ne fonctionne pas ici.--platform multicloud
spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.--enable_all
: permet au script d'effectuer les opérations suivantes :- Accorder les autorisations IAM requises.
- Activer les API Google requises.
- Définir un libellé sur le cluster qui identifie le réseau maillé.
- Enregistrer le cluster dans le parc si ce n'est déjà fait.
-ca citadel
: utiliser l'autorité de certification Istio comme autorité de certification.--ca_cert
: le certificat intermédiaire--ca_key
: la clé du certificat intermédiaire--root_cert
: le certificat racine--cert_chain
: la chaîne de certificats
AWS
Exécutez les commandes suivantes sur GKE sur AWS pour installer le contrôle avec les fonctionnalités par défaut et l'autorité de certification d'Istio. Saisissez vos valeurs dans les espaces réservés fournis. Vous pouvez choisir d'activer l'entrée du sous-réseau public ou du sous-réseau privé.
Public
Définissez le contexte actuel sur votre cluster d'utilisateur :
kubectl config use-context CLUSTER_NAME
Exécutez
asmcli install
:./asmcli install \ --fleet_id FLEET_PROJECT_ID \ --kubeconfig KUBECONFIG_FILE \ --output_dir DIR_PATH \ --platform multicloud \ --enable_all \ --ca citadel \ --ca_cert CA_CERT_FILE_PATH \ --ca_key CA_KEY_FILE_PATH \ --root_cert ROOT_CERT_FILE_PATH \ --cert_chain CERT_CHAIN_FILE_PATH
--fleet_id
: ID du projet du projet hôte du parc.--kubeconfig
: chemin d'accès complet au fichierkubeconfig
. La variable d'environnement$PWD
ne fonctionne pas ici. De plus, les emplacements de fichierskubeconfig
relatifs qui utilisent une valeur `~` ne fonctionneront pas.--output_dir
: incluez cette option pour spécifier un répertoire dans lequelasmcli
télécharge le packageanthos-service-mesh
et extrait le fichier d'installation, qui contientistioctl
, des exemples et des fichiers manifestes. Sinon,asmcli
télécharge les fichiers dans un répertoiretmp
. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement$PWD
ne fonctionne pas ici.--platform multicloud
spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.--enable_all
: permet au script d'effectuer les opérations suivantes :- Accorder les autorisations IAM requises.
- Activer les API Google requises.
- Définir un libellé sur le cluster qui identifie le réseau maillé.
- Enregistrer le cluster dans le parc si ce n'est déjà fait.
-ca citadel
: utiliser l'autorité de certification Istio comme autorité de certification.--ca_cert
: le certificat intermédiaire--ca_key
: la clé du certificat intermédiaire--root_cert
: le certificat racine--cert_chain
: la chaîne de certificats
Privé
Définissez le contexte actuel sur votre cluster d'utilisateur :
kubectl config use-context CLUSTER_NAME
Enregistrez le fichier YAML suivant dans un fichier appelé
istio-operator-internal-lb.yaml
:apiVersion: install.istio.io/v1alpha1 kind: IstioOperator spec: components: ingressGateways: - enabled: true k8s: serviceAnnotations: service.beta.kubernetes.io/aws-load-balancer-internal: "true" name: istio-ingressgateway
Exécutez
asmcli install
:./asmcli install \ --fleet_id FLEET_PROJECT_ID \ --kubeconfig KUBECONFIG_FILE \ --output_dir DIR_PATH \ --platform multicloud \ --enable_all \ --ca citadel \ --ca_cert FILE_PATH \ --ca_key FILE_PATH \ --root_cert FILE_PATH \ --cert_chain FILE_PATH \ --custom_overlay istio-operator-internal-lb.yaml
--fleet_id
: ID du projet du projet hôte du parc.--kubeconfig
: chemin d'accès complet au fichierkubeconfig
. La variable d'environnement$PWD
ne fonctionne pas ici. De plus, les emplacements de fichierskubeconfig
relatifs qui utilisent une valeur `~` ne fonctionneront pas.--output_dir
: incluez cette option pour spécifier un répertoire dans lequelasmcli
télécharge le packageanthos-service-mesh
et extrait le fichier d'installation, qui contientistioctl
, des exemples et des fichiers manifestes. Sinon,asmcli
télécharge les fichiers dans un répertoiretmp
. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement$PWD
ne fonctionne pas ici.--platform multicloud
spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.--enable_all
: permet au script d'effectuer les opérations suivantes :- Accorder les autorisations IAM requises.
- Activer les API Google requises.
- Définir un libellé sur le cluster qui identifie le réseau maillé.
- Enregistrer le cluster dans le parc si ce n'est déjà fait.
-ca citadel
: utiliser l'autorité de certification Istio comme autorité de certification.--ca_cert
: le certificat intermédiaire--ca_key
: la clé du certificat intermédiaire--root_cert
: le certificat racine--cert_chain
: la chaîne de certificats--custom_overlay
: nom du fichier de superposition créé. Pour en savoir plus sur les fichiers de superposition, consultez la page Activer des fonctionnalités facultatives sur le plan de contrôle au sein du cluster.
Azure
Exécutez les commandes suivantes sur GKE sur Azure pour installer le plan de contrôle avec les fonctionnalités par défaut et l'autorité de certification Istio. Saisissez vos valeurs dans les espaces réservés fournis. Vous pouvez choisir d'activer l'entrée du sous-réseau public ou du sous-réseau privé.
Public
Définissez le contexte actuel sur votre cluster d'utilisateur :
kubectl config use-context CLUSTER_NAME
Exécutez
asmcli install
:./asmcli install \ --fleet_id FLEET_PROJECT_ID \ --kubeconfig KUBECONFIG_FILE \ --output_dir DIR_PATH \ --platform multicloud \ --enable_all \ --ca citadel \ --ca_cert CA_CERT_FILE_PATH \ --ca_key CA_KEY_FILE_PATH \ --root_cert ROOT_CERT_FILE_PATH \ --cert_chain CERT_CHAIN_FILE_PATH
--fleet_id
: ID du projet du projet hôte du parc.--kubeconfig
: chemin d'accès complet au fichierkubeconfig
. La variable d'environnement$PWD
ne fonctionne pas ici. De plus, les emplacements de fichierskubeconfig
relatifs qui utilisent une valeur `~` ne fonctionneront pas.--output_dir
: incluez cette option pour spécifier un répertoire dans lequelasmcli
télécharge le packageanthos-service-mesh
et extrait le fichier d'installation, qui contientistioctl
, des exemples et des fichiers manifestes. Sinon,asmcli
télécharge les fichiers dans un répertoiretmp
. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement$PWD
ne fonctionne pas ici.--platform multicloud
spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.--enable_all
: permet au script d'effectuer les opérations suivantes :- Accorder les autorisations IAM requises.
- Activer les API Google requises.
- Définir un libellé sur le cluster qui identifie le réseau maillé.
- Enregistrer le cluster dans le parc si ce n'est déjà fait.
-ca citadel
: utiliser l'autorité de certification Istio comme autorité de certification.--ca_cert
: le certificat intermédiaire--ca_key
: la clé du certificat intermédiaire--root_cert
: le certificat racine--cert_chain
: la chaîne de certificats
Privé
Définissez le contexte actuel sur votre cluster d'utilisateur :
kubectl config use-context CLUSTER_NAME
Enregistrez le fichier YAML suivant dans un fichier appelé
istio-operator-internal-lb.yaml
:apiVersion: install.istio.io/v1alpha1 kind: IstioOperator spec: components: ingressGateways: - enabled: true k8s: serviceAnnotations: service.beta.kubernetes.io/aws-load-balancer-internal: "true" name: istio-ingressgateway
Exécutez
asmcli install
:./asmcli install \ --fleet_id FLEET_PROJECT_ID \ --kubeconfig KUBECONFIG_FILE \ --output_dir DIR_PATH \ --platform multicloud \ --enable_all \ --ca citadel \ --ca_cert FILE_PATH \ --ca_key FILE_PATH \ --root_cert FILE_PATH \ --cert_chain FILE_PATH \ --custom_overlay istio-operator-internal-lb.yaml
--fleet_id
: ID du projet du projet hôte du parc.--kubeconfig
: chemin d'accès complet au fichierkubeconfig
. La variable d'environnement$PWD
ne fonctionne pas ici. De plus, les emplacements de fichierskubeconfig
relatifs qui utilisent une valeur `~` ne fonctionneront pas.--output_dir
: incluez cette option pour spécifier un répertoire dans lequelasmcli
télécharge le packageanthos-service-mesh
et extrait le fichier d'installation, qui contientistioctl
, des exemples et des fichiers manifestes. Sinon,asmcli
télécharge les fichiers dans un répertoiretmp
. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement$PWD
ne fonctionne pas ici.--platform multicloud
spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.--enable_all
: permet au script d'effectuer les opérations suivantes :- Accorder les autorisations IAM requises.
- Activer les API Google requises.
- Définir un libellé sur le cluster qui identifie le réseau maillé.
- Enregistrer le cluster dans le parc si ce n'est déjà fait.
-ca citadel
: utiliser l'autorité de certification Istio comme autorité de certification.--ca_cert
: le certificat intermédiaire--ca_key
: la clé du certificat intermédiaire--root_cert
: le certificat racine--cert_chain
: la chaîne de certificats--custom_overlay
: nom du fichier de superposition créé. Pour en savoir plus sur les fichiers de superposition, consultez la page Activer des fonctionnalités facultatives sur le plan de contrôle au sein du cluster.
Amazon EKS
Exécutez les commandes suivantes sur Amazon EKS pour installer le plan de contrôle avec les fonctionnalités par défaut et Istio CA. Saisissez vos valeurs dans les espaces réservés fournis.
Définissez le contexte actuel sur votre cluster d'utilisateur :
kubectl config use-context CLUSTER_NAME
Exécutez
asmcli install
:./asmcli install \ --fleet_id FLEET_PROJECT_ID \ --kubeconfig KUBECONFIG_FILE \ --output_dir DIR_PATH \ --platform multicloud \ --enable_all \ --option attached-cluster \ --ca citadel \ --ca_cert CA_CERT_FILE_PATH \ --ca_key CA_KEY_FILE_PATH \ --root_cert ROOT_CERT_FILE_PATH \ --cert_chain CERT_CHAIN_FILE_PATH \ --network_id default
--fleet_id
: ID du projet du projet hôte du parc.--kubeconfig
: chemin d'accès complet au fichierkubeconfig
. La variable d'environnement$PWD
ne fonctionne pas ici. De plus, les emplacements de fichierskubeconfig
relatifs qui utilisent une valeur `~` ne fonctionneront pas.--output_dir
: incluez cette option pour spécifier un répertoire dans lequelasmcli
télécharge le packageanthos-service-mesh
et extrait le fichier d'installation, qui contientistioctl
, des exemples et des fichiers manifestes. Sinon,asmcli
télécharge les fichiers dans un répertoiretmp
. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement$PWD
ne fonctionne pas ici.--platform multicloud
spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.--enable_all
: permet au script d'effectuer les opérations suivantes :- Accorder les autorisations IAM requises.
- Activer les API Google requises.
- Définir un libellé sur le cluster qui identifie le réseau maillé.
- Enregistrer le cluster dans le parc si ce n'est déjà fait.
--option attached-cluster
Modifie la signature par défaut d'être istiod.-ca citadel
: utiliser l'autorité de certification Istio comme autorité de certification.--ca_cert
: le certificat intermédiaire--ca_key
: la clé du certificat intermédiaire--root_cert
: le certificat racine--cert_chain
: la chaîne de certificats--network_id
Si vous configurez un réseau puis définissez--network_id
sur une valeur unique pour chaque dans le réseau maillé.
Microsoft AKS
Exécutez les commandes suivantes sur Microsoft AKS pour installer le plan de contrôle avec les fonctionnalités par défaut et Istio CA. Saisissez vos valeurs dans les espaces réservés fournis.
Définissez le contexte actuel sur votre cluster d'utilisateur :
kubectl config use-context CLUSTER_NAME
Exécutez
asmcli install
:HUB_REGISTRATION_EXTRA_FLAGS=--has-private-issuer ./asmcli install \ --fleet_id FLEET_PROJECT_ID \ --kubeconfig KUBECONFIG_FILE \ --output_dir DIR_PATH \ --platform multicloud \ --enable_all \ --option attached-cluster \ --ca citadel \ --ca_cert CA_CERT_FILE_PATH \ --ca_key CA_KEY_FILE_PATH \ --root_cert ROOT_CERT_FILE_PATH \ --cert_chain CERT_CHAIN_FILE_PATH \ --network_id default
HUB_REGISTRATION_EXTRA_FLAGS=--has-private-issuer
autorise l'enregistrement avec GKE Hub.--fleet_id
: ID du projet du projet hôte du parc.--kubeconfig
: chemin d'accès complet au fichierkubeconfig
. La variable d'environnement$PWD
ne fonctionne pas ici. De plus, les emplacements de fichierskubeconfig
relatifs qui utilisent une valeur `~` ne fonctionneront pas.--output_dir
: incluez cette option pour spécifier un répertoire dans lequelasmcli
télécharge le packageanthos-service-mesh
et extrait le fichier d'installation, qui contientistioctl
, des exemples et des fichiers manifestes. Sinon,asmcli
télécharge les fichiers dans un répertoiretmp
. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement$PWD
ne fonctionne pas ici.--platform multicloud
spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.--enable_all
: permet au script d'effectuer les opérations suivantes :- Accorder les autorisations IAM requises.
- Activer les API Google requises.
- Définir un libellé sur le cluster qui identifie le réseau maillé.
- Enregistrer le cluster dans le parc si ce n'est déjà fait.
--option attached-cluster
Modifie la signature par défaut d'être istiod.-ca citadel
: utiliser l'autorité de certification Istio comme autorité de certification.--ca_cert
: le certificat intermédiaire--ca_key
: la clé du certificat intermédiaire--root_cert
: le certificat racine--cert_chain
: la chaîne de certificats--network_id
Si vous configurez un réseau puis définissez--network_id
sur une valeur unique pour chaque dans le réseau maillé.
Installer avec l'autorité de certification Istio avec Google Cloud Observability activé
Si vous souhaitez utiliser des tableaux de bord Cloud Service Mesh, vous devez activer Stackdriver.
Sur site
Exécutez les commandes suivantes sur Google Distributed Cloud ou Google Distributed Cloud pour installer le plan de contrôle avec Stackdriver et d'autres fonctionnalités facultatives et l'autorité de certification Istio. Saisissez vos valeurs dans les espaces réservés fournis.
Définissez le contexte actuel sur votre cluster d'utilisateur :
kubectl config use-context CLUSTER_NAME
Exécutez
asmcli install
:./asmcli install \ --fleet_id FLEET_PROJECT_ID \ --kubeconfig KUBECONFIG_FILE \ --output_dir DIR_PATH \ --platform multicloud \ --enable_all \ --ca citadel \ --ca_cert CA_CERT_FILE_PATH \ --ca_key CA_KEY_FILE_PATH \ --root_cert ROOT_CERT_FILE_PATH \ --cert_chain CERT_CHAIN_FILE_PATH
--fleet_id
: ID du projet du projet hôte du parc.--kubeconfig
: chemin d'accès complet au fichierkubeconfig
. La variable d'environnement$PWD
ne fonctionne pas ici. De plus, les emplacements de fichierskubeconfig
relatifs qui utilisent une valeur `~` ne fonctionneront pas.--output_dir
: incluez cette option pour spécifier un répertoire dans lequelasmcli
télécharge le packageanthos-service-mesh
et extrait le fichier d'installation, qui contientistioctl
, des exemples et des fichiers manifestes. Sinon,asmcli
télécharge les fichiers dans un répertoiretmp
. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement$PWD
ne fonctionne pas ici.--platform multicloud
spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.--enable_all
: permet au script d'effectuer les opérations suivantes :- Accorder les autorisations IAM requises.
- Activer les API Google requises.
- Définir un libellé sur le cluster qui identifie le réseau maillé.
- Enregistrer le cluster dans le parc si ce n'est déjà fait.
-ca citadel
: utiliser l'autorité de certification Istio comme autorité de certification.--ca_cert
: le certificat intermédiaire--ca_key
: la clé du certificat intermédiaire--root_cert
: le certificat racine--cert_chain
: la chaîne de certificats--option stackdriver
active l'option Stackdriver. Notez que vous pouvez également activer Stackdriver et Prometheus en utilisant--option prometheus-and-stackdriver
.
Pour afficher les SLO et les métriques d'infrastructure dans l'interface utilisateur de Cloud Service Mesh, vous devez effectuer également les trois premières étapes Activez la journalisation et la surveillance des applications. Si la journalisation et la surveillance ne sont pas activées et ne reçoivent pas de journaux personnalisés le tableau de bord Cloud Service Mesh n'affiche pas les SLO, les journaux d'erreurs, et les métriques de mémoire.
AWS
Exécutez les commandes suivantes sur GKE sur AWS pour installer le contrôle avec Stackdriver, d'autres fonctionnalités facultatives et l'autorité de certification d'Istio. Saisissez vos valeurs dans les espaces réservés fournis. Vous pouvez choisir d'activer l'entrée du sous-réseau public ou du sous-réseau privé.
Public
Définissez le contexte actuel sur votre cluster d'utilisateur :
kubectl config use-context CLUSTER_NAME
Exécutez
asmcli install
:./asmcli install \ --fleet_id FLEET_PROJECT_ID \ --kubeconfig KUBECONFIG_FILE \ --output_dir DIR_PATH \ --platform multicloud \ --enable_all \ --ca citadel \ --ca_cert CA_CERT_FILE_PATH \ --ca_key CA_KEY_FILE_PATH \ --root_cert ROOT_CERT_FILE_PATH \ --cert_chain CERT_CHAIN_FILE_PATH \ --option stackdriver
--fleet_id
: ID du projet du projet hôte du parc.--kubeconfig
: chemin d'accès complet au fichierkubeconfig
. La variable d'environnement$PWD
ne fonctionne pas ici. De plus, les emplacements de fichierskubeconfig
relatifs qui utilisent une valeur `~` ne fonctionneront pas.--output_dir
: incluez cette option pour spécifier un répertoire dans lequelasmcli
télécharge le packageanthos-service-mesh
et extrait le fichier d'installation, qui contientistioctl
, des exemples et des fichiers manifestes. Sinon,asmcli
télécharge les fichiers dans un répertoiretmp
. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement$PWD
ne fonctionne pas ici.--platform multicloud
spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.--enable_all
: permet au script d'effectuer les opérations suivantes :- Accorder les autorisations IAM requises.
- Activer les API Google requises.
- Définir un libellé sur le cluster qui identifie le réseau maillé.
- Enregistrer le cluster dans le parc si ce n'est déjà fait.
-ca citadel
: utiliser l'autorité de certification Istio comme autorité de certification.--ca_cert
: le certificat intermédiaire--ca_key
: la clé du certificat intermédiaire--root_cert
: le certificat racine--cert_chain
: la chaîne de certificats--option stackdriver
active l'option Stackdriver. Notez que vous pouvez également activer Stackdriver et Prometheus en utilisant--option prometheus-and-stackdriver
.
Privé
Définissez le contexte actuel sur votre cluster d'utilisateur :
kubectl config use-context CLUSTER_NAME
Enregistrez le fichier YAML suivant dans un fichier appelé
istio-operator-internal-lb.yaml
:apiVersion: install.istio.io/v1alpha1 kind: IstioOperator spec: components: ingressGateways: - enabled: true k8s: serviceAnnotations: service.beta.kubernetes.io/aws-load-balancer-internal: "true" name: istio-ingressgateway
Exécutez
asmcli install
:./asmcli install \ --fleet_id FLEET_PROJECT_ID \ --kubeconfig KUBECONFIG_FILE \ --output_dir DIR_PATH \ --platform multicloud \ --enable_all \ --ca citadel \ --ca_cert FILE_PATH \ --ca_key FILE_PATH \ --root_cert FILE_PATH \ --cert_chain FILE_PATH --custom_overlay istio-operator-internal-lb.yaml \ --option stackdriver
--fleet_id
: ID du projet du projet hôte du parc.--kubeconfig
: chemin d'accès complet au fichierkubeconfig
. La variable d'environnement$PWD
ne fonctionne pas ici. De plus, les emplacements de fichierskubeconfig
relatifs qui utilisent une valeur `~` ne fonctionneront pas.--output_dir
: incluez cette option pour spécifier un répertoire dans lequelasmcli
télécharge le packageanthos-service-mesh
et extrait le fichier d'installation, qui contientistioctl
, des exemples et des fichiers manifestes. Sinon,asmcli
télécharge les fichiers dans un répertoiretmp
. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement$PWD
ne fonctionne pas ici.--platform multicloud
spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.--enable_all
: permet au script d'effectuer les opérations suivantes :- Accorder les autorisations IAM requises.
- Activer les API Google requises.
- Définir un libellé sur le cluster qui identifie le réseau maillé.
- Enregistrer le cluster dans le parc si ce n'est déjà fait.
-ca citadel
: utiliser l'autorité de certification Istio comme autorité de certification.--ca_cert
: le certificat intermédiaire--ca_key
: la clé du certificat intermédiaire--root_cert
: le certificat racine--cert_chain
: la chaîne de certificats--custom_overlay
: nom du fichier de superposition créé. Pour en savoir plus sur les fichiers de superposition, consultez la page Activer des fonctionnalités facultatives sur le plan de contrôle au sein du cluster.--option stackdriver
active l'option Stackdriver. Notez que vous pouvez également activer Stackdriver et Prometheus en utilisant--option prometheus-and-stackdriver
. Vous pouvez également activer Stackdriver en utilisant--custom_overlay stackdriver.yaml
. Vous devez télécharger le package anthos-service-mesh-package, ou créerstackdriver.yaml
à partir du fichier manifeste fourni.
Azure
Exécutez les commandes suivantes sur GKE sur Azure pour installer le plan de contrôle avec Stackdriver et d'autres fonctionnalités facultatives ; CA d'Istio. Saisissez vos valeurs dans les espaces réservés fournis. Vous pouvez choisir activer Ingress pour le sous-réseau public ou le sous-réseau privé.
Public
Définissez le contexte actuel sur votre cluster d'utilisateur :
kubectl config use-context CLUSTER_NAME
Exécutez
asmcli install
:./asmcli install \ --fleet_id FLEET_PROJECT_ID \ --kubeconfig KUBECONFIG_FILE \ --output_dir DIR_PATH \ --platform multicloud \ --enable_all \ --ca citadel \ --ca_cert CA_CERT_FILE_PATH \ --ca_key CA_KEY_FILE_PATH \ --root_cert ROOT_CERT_FILE_PATH \ --cert_chain CERT_CHAIN_FILE_PATH \ --option stackdriver
--fleet_id
: ID du projet du projet hôte du parc.--kubeconfig
: chemin d'accès complet au fichierkubeconfig
. La variable d'environnement$PWD
ne fonctionne pas ici. De plus, les emplacements de fichierskubeconfig
relatifs qui utilisent une valeur `~` ne fonctionneront pas.--output_dir
: incluez cette option pour spécifier un répertoire dans lequelasmcli
télécharge le packageanthos-service-mesh
et extrait le fichier d'installation, qui contientistioctl
, des exemples et des fichiers manifestes. Sinon,asmcli
télécharge les fichiers dans un répertoiretmp
. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement$PWD
ne fonctionne pas ici.--platform multicloud
spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.--enable_all
: permet au script d'effectuer les opérations suivantes :- Accorder les autorisations IAM requises.
- Activer les API Google requises.
- Définir un libellé sur le cluster qui identifie le réseau maillé.
- Enregistrer le cluster dans le parc si ce n'est déjà fait.
-ca citadel
: utiliser l'autorité de certification Istio comme autorité de certification.--ca_cert
: le certificat intermédiaire--ca_key
: la clé du certificat intermédiaire--root_cert
: le certificat racine--cert_chain
: la chaîne de certificats--option stackdriver
active l'option Stackdriver. Notez que vous pouvez également activer Stackdriver et Prometheus en utilisant--option prometheus-and-stackdriver
.
Privé
Définissez le contexte actuel sur votre cluster d'utilisateur :
kubectl config use-context CLUSTER_NAME
Enregistrez le fichier YAML suivant dans un fichier appelé
istio-operator-internal-lb.yaml
:apiVersion: install.istio.io/v1alpha1 kind: IstioOperator spec: components: ingressGateways: - enabled: true k8s: serviceAnnotations: service.beta.kubernetes.io/aws-load-balancer-internal: "true" name: istio-ingressgateway
Exécutez
asmcli install
:./asmcli install \ --fleet_id FLEET_PROJECT_ID \ --kubeconfig KUBECONFIG_FILE \ --output_dir DIR_PATH \ --platform multicloud \ --enable_all \ --ca citadel \ --ca_cert FILE_PATH \ --ca_key FILE_PATH \ --root_cert FILE_PATH \ --cert_chain FILE_PATH --custom_overlay istio-operator-internal-lb.yaml \ --option stackdriver
--fleet_id
: ID du projet du projet hôte du parc.--kubeconfig
: chemin d'accès complet au fichierkubeconfig
. La variable d'environnement$PWD
ne fonctionne pas ici. De plus, les emplacements de fichierskubeconfig
relatifs qui utilisent une valeur `~` ne fonctionneront pas.--output_dir
: incluez cette option pour spécifier un répertoire dans lequelasmcli
télécharge le packageanthos-service-mesh
et extrait le fichier d'installation, qui contientistioctl
, des exemples et des fichiers manifestes. Sinon,asmcli
télécharge les fichiers dans un répertoiretmp
. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement$PWD
ne fonctionne pas ici.--platform multicloud
spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.--enable_all
: permet au script d'effectuer les opérations suivantes :- Accorder les autorisations IAM requises.
- Activer les API Google requises.
- Définir un libellé sur le cluster qui identifie le réseau maillé.
- Enregistrer le cluster dans le parc si ce n'est déjà fait.
-ca citadel
: utiliser l'autorité de certification Istio comme autorité de certification.--ca_cert
: le certificat intermédiaire--ca_key
: la clé du certificat intermédiaire--root_cert
: le certificat racine--cert_chain
: la chaîne de certificats--custom_overlay
: nom du fichier de superposition créé. Pour en savoir plus sur les fichiers de superposition, consultez la page Activer des fonctionnalités facultatives sur le plan de contrôle au sein du cluster.--option stackdriver
active l'option Stackdriver. Notez que vous pouvez également activer Stackdriver et Prometheus en utilisant--option prometheus-and-stackdriver
. Vous pouvez également activer Stackdriver en utilisant--custom_overlay stackdriver.yaml
. Vous devez télécharger le package anthos-service-mesh-package, ou créerstackdriver.yaml
à partir du fichier manifeste fourni.
Amazon EKS
Exécutez les commandes suivantes sur Amazon EKS pour installer le plan de contrôle avec Stackdriver, d'autres fonctionnalités facultatives et l'autorité de certification Istio. Saisissez vos valeurs dans les espaces réservés fournis.
Définissez le contexte actuel sur votre cluster d'utilisateur :
kubectl config use-context CLUSTER_NAME
Exécutez
asmcli install
:./asmcli install \ --fleet_id FLEET_PROJECT_ID \ --kubeconfig KUBECONFIG_FILE \ --output_dir DIR_PATH \ --platform multicloud \ --enable_all \ --ca citadel \ --ca_cert CA_CERT_FILE_PATH \ --ca_key CA_KEY_FILE_PATH \ --root_cert ROOT_CERT_FILE_PATH \ --cert_chain CERT_CHAIN_FILE_PATH \ --option stackdriver \ --option attached-cluster
--fleet_id
: ID du projet du projet hôte du parc.--kubeconfig
: chemin d'accès complet au fichierkubeconfig
. La variable d'environnement$PWD
ne fonctionne pas ici. De plus, les emplacements de fichierskubeconfig
relatifs qui utilisent une valeur `~` ne fonctionneront pas.--output_dir
: incluez cette option pour spécifier un répertoire dans lequelasmcli
télécharge le packageanthos-service-mesh
et extrait le fichier d'installation, qui contientistioctl
, des exemples et des fichiers manifestes. Sinon,asmcli
télécharge les fichiers dans un répertoiretmp
. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement$PWD
ne fonctionne pas ici.--platform multicloud
spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.--enable_all
: permet au script d'effectuer les opérations suivantes :- Accorder les autorisations IAM requises.
- Activer les API Google requises.
- Définir un libellé sur le cluster qui identifie le réseau maillé.
- Enregistrer le cluster dans le parc si ce n'est déjà fait.
-ca citadel
: utiliser l'autorité de certification Istio comme autorité de certification.--ca_cert
: le certificat intermédiaire--ca_key
: la clé du certificat intermédiaire--root_cert
: le certificat racine--cert_chain
: la chaîne de certificats--option stackdriver
active l'option Stackdriver. Notez que vous pouvez également activer Stackdriver et Prometheus en utilisant--option prometheus-and-stackdriver
.--option stackdriver
modifie l'utilitaire de signature par défaut définie suristiod
.
Microsoft AKS
Exécutez les commandes suivantes sur Microsoft AKS pour installer le plan de contrôle avec les fonctionnalités par défaut et Istio CA. Saisissez vos valeurs dans les espaces réservés fournis.
Définissez le contexte actuel sur votre cluster d'utilisateur :
kubectl config use-context CLUSTER_NAME
Exécutez
asmcli install
:HUB_REGISTRATION_EXTRA_FLAGS=--has-private-issuer ./asmcli install \ --fleet_id FLEET_PROJECT_ID \ --kubeconfig KUBECONFIG_FILE \ --output_dir DIR_PATH \ --platform multicloud \ --enable_all \ --ca citadel \ --ca_cert CA_CERT_FILE_PATH \ --ca_key CA_KEY_FILE_PATH \ --root_cert ROOT_CERT_FILE_PATH \ --cert_chain CERT_CHAIN_FILE_PATH \ --option stackdriver \ --option attached-cluster
HUB_REGISTRATION_EXTRA_FLAGS=--has-private-issuer
autorise l'enregistrement avec GKE Hub.--fleet_id
: ID du projet du projet hôte du parc.--kubeconfig
: chemin d'accès complet au fichierkubeconfig
. La variable d'environnement$PWD
ne fonctionne pas ici. De plus, les emplacements de fichierskubeconfig
relatifs qui utilisent une valeur `~` ne fonctionneront pas.--output_dir
: incluez cette option pour spécifier un répertoire dans lequelasmcli
télécharge le packageanthos-service-mesh
et extrait le fichier d'installation, qui contientistioctl
, des exemples et des fichiers manifestes. Sinon,asmcli
télécharge les fichiers dans un répertoiretmp
. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement$PWD
ne fonctionne pas ici.--platform multicloud
spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.--enable_all
: permet au script d'effectuer les opérations suivantes :- Accorder les autorisations IAM requises.
- Activer les API Google requises.
- Définir un libellé sur le cluster qui identifie le réseau maillé.
- Enregistrer le cluster dans le parc si ce n'est déjà fait.
-ca citadel
: utiliser l'autorité de certification Istio comme autorité de certification.--ca_cert
: le certificat intermédiaire--ca_key
: la clé du certificat intermédiaire--root_cert
: le certificat racine--cert_chain
: la chaîne de certificats--option stackdriver
active l'option Stackdriver. Notez que vous pouvez également activer Stackdriver et Prometheus en utilisant--option prometheus-and-stackdriver
.--option stackdriver
modifie l'utilitaire de signature par défaut définie suristiod
.
Installer avec des fonctionnalités facultatives
Un fichier de superposition est un fichier YAML contenant une ressource personnalisée IstioOperator
que vous transmettez à asmcli
pour configurer le plan de contrôle. Vous pouvez ignorer la configuration par défaut du plan de contrôle et activer une fonctionnalité facultative en transmettant le fichier YAML à asmcli
. Vous pouvez effectuer plusieurs couches de superpositions. Chaque fichier de superposition remplace la configuration dans les couches précédentes. Nous vous conseillons d'enregistrer les fichiers superposés dans votre système de contrôle des versions.
Vous pouvez activer les fonctionnalités facultatives de deux façons:
--option
et
--custom_overlay
.
Utilisez --option
si vous n'avez pas besoin de modifier le fichier de superposition. Avec cette méthode, asmcli
récupère le fichier à partir du
Dépôt GitHub
pour vous.
Utilisez --custom_overlay
lorsque vous devez personnaliser le fichier de superposition.
Pour en savoir plus, consultez la page Activer des fonctionnalités facultatives sur le plan de contrôle au sein du cluster.
Exécutez les commandes suivantes sur Google Distributed Cloud : Google Distributed Cloud, GKE sur AWS, GKE sur Azure, Amazon EKS ou Microsoft AKS. Saisissez vos valeurs dans les espaces réservés fournis.
Définissez le contexte actuel sur votre cluster d'utilisateur :
kubectl config use-context CLUSTER_NAME
Exécutez
asmcli install
pour installer le plan de contrôle avec une fonctionnalité facultative. Pour ajouter plusieurs fichiers, spécifiez--custom_overlay
et le nom du fichier, par exemple :--custom_overlayoverlay_file1.yaml --custom_overlay overlay_file2.yaml --custom_overlay overlay_file3.yaml
./asmcli install \ --fleet_id FLEET_PROJECT_ID \ --kubeconfig KUBECONFIG_FILE \ --output_dir DIR_PATH \ --platform multicloud \ --enable_all \ --ca mesh_ca \ --custom_overlay OVERLAY_FILE
--fleet_id
: ID du projet du projet hôte du parc.--kubeconfig
: chemin d'accès complet au fichierkubeconfig
. La variable d'environnement$PWD
ne fonctionne pas ici. De plus, les emplacements de fichierskubeconfig
relatifs qui utilisent une valeur `~` ne fonctionneront pas.--output_dir
: incluez cette option pour spécifier un répertoire dans lequelasmcli
télécharge le packageanthos-service-mesh
et extrait le fichier d'installation, qui contientistioctl
, des exemples et des fichiers manifestes. Sinon,asmcli
télécharge les fichiers dans un répertoiretmp
. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement$PWD
ne fonctionne pas ici.--platform multicloud
spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.--enable_all
: permet au script d'effectuer les opérations suivantes :- Accorder les autorisations IAM requises.
- Activer les API Google requises.
- Définir un libellé sur le cluster qui identifie le réseau maillé.
- Enregistrer le cluster dans le parc si ce n'est déjà fait.
--ca mesh_ca
Utiliser l'autorité de certification Cloud Service Mesh en tant que autorité de certification. Notez queasmcli
configure l'autorité de certification Cloud Service Mesh à utiliser parc Workload Identity--custom_overlay
: spécifier le nom du fichier de superposition.
Installer les passerelles
Cloud Service Mesh vous permet de déployer et de gérer des passerelles dans le cadre le maillage de services. Une passerelle décrit un équilibreur de charge fonctionnant à la périphérie du réseau maillé recevant des connexions HTTP/TCP entrantes ou sortantes. Les passerelles sont des proxys Envoy qui vous permettent de contrôler avec précision le trafic entrant et sortant du réseau maillé.
Créez un espace de noms pour la passerelle d'entrée si vous n'en possédez pas déjà un. Les passerelles sont des charges de travail d'utilisateur. Il est déconseillé de les déployer dans l'espace de noms du plan de contrôle. Remplacez
GATEWAY_NAMESPACE
par le nom de votre espace de noms.kubectl create namespace GATEWAY_NAMESPACE
Résultat attendu :
namespace/GATEWAY_NAMESPACE created
Activez l'injection automatique sur la passerelle. La procédure à suivre varie selon que que vous souhaitez utiliser Étiquettes d'injection par défaut (par exemple,
istio-injection=enabled
) ou étiquette de révision sur la passerelle espace de noms. Le tag de révision et le libellé de révision par défaut sont utilisés par le webhook d'injecteur side-car pour associer les proxys injectés à une révision spécifique du plan de contrôle.Par défaut (recommandé)
Si vous avez utilisé une révision de tag par défaut pour activer l'injection automatique sur le vérifiez que le tag par défaut existe bien dans le répertoire spécifié dans
--output_dir
et qu'il pointe vers le nouvel appareil la révision.DIR_PATH/istioctl tag list
Appliquez les libellés d'injection par défaut à l'espace de noms.
kubectl label namespace GATEWAY_NAMESPACE istio-injection=enabled istio.io/rev-
Libellé de révision
Exécutez la commande suivante pour localiser le libellé de révision sur
istiod
:kubectl get deploy -n istio-system -l app=istiod -o \ "jsonpath={.items[*].metadata.labels['istio\.io/rev']}{'\n'}"
La commande génère l'étiquette de révision qui correspond au Version de Cloud Service Mesh, par exemple:
asm-1214-5
Appliquez le libellé de révision à l'espace de noms. Dans la commande suivante,
REVISION
correspond à la valeur du libellé de révisionistiod
que vous avez notée à l'étape précédente.kubectl label namespace GATEWAY_NAMESPACE \ istio.io/rev=REVISION --overwrite
Résultat attendu :
namespace/GATEWAY_NAMESPACE labeled
Vous pouvez ignorer le message
"istio.io/rev" not found
dans le résultat. Cela signifie que l'espace de noms n'avait pas auparavant Le libelléistio.io/rev
, attendu dans les nouvelles installations de ou de nouveaux déploiements. Comme l'injection automatique échoue si un espace de noms comporte à la foisistio.io/rev
etistio-injection
et l'étiquette, toutes les commandeskubectl label
du maillage spécifient explicitement les deux étiquettes.Si l'espace de noms de la passerelle n'est pas étiqueté, les pods
istio-ingressgateway
échoue et renvoie une erreurImagePullBackOff
lorsque la passerelle tente d'extraire et l'imageauto
. Cette image doit être remplacée par le webhook.Téléchargez l'exemple de fichier de configuration .yaml de la passerelle d'entrée à partir du Dépôt
anthos-service-mesh-packages
.Appliquez l'exemple de configuration .yaml de la passerelle d'entrée telle quelle ou modifiez-le en tant que nécessaires.
kubectl apply -n GATEWAY_NAMESPACE \ -f CONFIG_PATH/istio-ingressgateway
Résultat attendu :
deployment.apps/istio-ingressgateway created poddisruptionbudget.policy/istio-ingressgateway created horizontalpodautoscaler.autoscaling/istio-ingressgateway created role.rbac.authorization.k8s.io/istio-ingressgateway created rolebinding.rbac.authorization.k8s.io/istio-ingressgateway created service/istio-ingressgateway created serviceaccount/istio-ingressgateway created
Découvrez les bonnes pratiques liées aux passerelles.
Déployer et redéployer des charges de travail
Cloud Service Mesh utilise des proxys side-car pour améliorer la sécurité, la fiabilité et l'observabilité. Avec Cloud Service Mesh, ces fonctions sont éliminées de l'ensemble de données conteneur principal de l'application et implémentée dans un proxy commun hors processus livré sous la forme d'un conteneur distinct dans le même pod.
Votre installation n'est pas terminée tant que vous n'avez pas activé le proxy side-car automatique (injection automatique) et redémarrer les pods pour toutes les charges de travail étaient exécutés sur votre cluster avant d'installer Cloud Service Mesh.
Pour activer l'injection automatique, vous devez ajouter une étiquette à vos espaces de noms avec le
étiquettes d'injection par défaut
si la balise par défaut est configurée, ou un libellé de révision
défini sur istiod
lors de l'installation de Cloud Service Mesh. Le tag de révision et le libellé de révision par défaut sont utilisés par le webhook d'injecteur side-car pour associer les side-cars injectés à une révision istiod
. Après avoir ajouté le libellé, tous les pods existants dans l'espace de noms doivent être redémarrés pour que les sidecars soient injectés.
Avant de déployer de nouvelles charges de travail dans un nouvel espace de noms, veillez à configurer l'injection automatique pour que Cloud Service Mesh puisse surveiller et sécuriser le trafic.
Les étapes requises pour activer l'injection automatique varient selon que vous souhaitez utiliser les libellés d'injection par défaut ou le libellé de révision :
Par défaut (recommandé)
Si vous avez utilisé une révision de tag par défaut pour activer l'injection automatique sur le vérifiez que le tag par défaut existe bien dans le répertoire spécifié dans
--output_dir
et qu'il pointe vers le nouvel appareil la révision.DIR_PATH/istioctl tag list
Exécutez la commande suivante :
NAMESPACE
est le nom du dans lequel vous souhaitez activer l'injection automatique.kubectl label namespace NAMESPACE istio-injection=enabled istio.io/rev-
Les étiquettes d'injection par défaut injectent la révision pointe vers laquelle pointe le tag par défaut.
Libellé de révision
Exécutez la commande suivante pour localiser le libellé de révision sur
istiod
:kubectl -n istio-system get pods -l app=istiod --show-labels
La sortie ressemble à ceci :
NAME READY STATUS RESTARTS AGE LABELS istiod-asm-1214-5-5788d57586-bljj4 1/1 Running 0 23h app=istiod,istio.io/rev=asm-1214-5,istio=istiod,pod-template-hash=5788d57586 istiod-asm-1214-5-5788d57586-vsklm 1/1 Running 1 23h app=istiod,istio.io/rev=asm-1214-5,istio=istiod,pod-template-hash=5788d57586
Dans le résultat, sous la colonne
LABELS
, notez la valeur du libellé de révisionistiod
, qui suit le préfixeistio.io/rev=
. Dans cet exemple, la valeur estasm-1214-5
.Appliquez le libellé de révision et supprimez le libellé
istio-injection
s'il existe. Dans la commande suivante,NAMESPACE
est le nom de l'espace de noms dans lequel vous souhaitez activer l'injection automatique, etREVISION
est le libellé de révision noté à l'étape précédente.kubectl label namespace NAMESPACE istio-injection- istio.io/rev=REVISION --overwrite
Vous pouvez ignorer le message
"istio-injection not found"
dans le résultat. Cela signifie que l'espace de noms n'avait pas auparavant Le libelléistio-injection
, qui est attendu dans les nouvelles de Cloud Service Mesh ou de nouveaux déploiements. Comme l'injection automatique le comportement n'est pas défini lorsqu'un espace de noms possède à la foisistio-injection
et l'étiquette de révision, toutes les commandeskubectl label
du Dans la documentation de Cloud Service Mesh, vous assurez explicitement qu'un seul de ces éléments est défini.
Si des charges de travail étaient en cours d'exécution sur votre cluster avant l'installation Cloud Service Mesh, redémarrez les pods pour déclencher la réinjection.
La méthode de redémarrage des pods dépend de votre application et de l'environnement dans lequel se trouve le cluster. Par exemple, dans votre environnement de préproduction, vous pouvez simplement supprimer tous les pods, ce qui entraîne leur redémarrage. Mais dans votre production, vous pouvez avoir un processus qui met en œuvre déploiement bleu-vert afin de pouvoir redémarrer les pods en toute sécurité pour éviter toute interruption du trafic.
Vous pouvez exécuter
kubectl
pour effectuer un redémarrage progressif :kubectl rollout restart deployment -n NAMESPACE
Étape suivante
Si votre maillage contient des clusters en dehors de Google Cloud, consultez la page Configurer un maillage multicluster en dehors de Google Cloud.