Installer Cloud Service Mesh pour les charges de travail Kubernetes en dehors de Google Cloud

Cette page explique comment installer Cloud Service Mesh non géré dans le cluster pour Charges de travail Kubernetes en dehors de Google Cloud:

• Exécutez asmcli pour installer une nouvelle fois Cloud Service Mesh 1.21.4-asm.5.
• Vous pouvez éventuellement déployer une passerelle d'entrée.
• Déployez ou redéployez vos charges de travail pour injecter des proxys side-car.

Si vous devez installer Cloud Service Mesh non géré dans le cluster avec une plan de contrôle istiod sur GKE, consultez Installez Cloud Service Mesh dans le cluster sur Google Cloud. Notez que pour les charges de travail Kubernetes Google Cloud, nous vous recommandons Provisionner un plan de contrôle géré

Pour savoir comment préparer une installation hors connexion de Cloud Service Mesh, voir Préparer une installation hors connexion de Cloud Service Mesh Vous devrez spécifier les options --offline et --output_dir lors de l'exécution asmcli install

Limites

Prenez note des restrictions suivantes :

• Tous les clusters Cloud Service Mesh d'un même réseau maillé doivent être enregistrés d'utiliser le maillage de services Cloud Service Mesh à tout moment. Les autres groupes d'un cluster Cloud Service Mesh ne doit pas être enregistré dans un d'un parc différent.

• L'outil asmcli doit avoir accès à Google Kubernetes Engine (GKE) point de terminaison unique. Vous pouvez configurer l'accès via un "saut" d'un serveur, tel qu'un Compute Engine au sein du cloud privé virtuel (VPC), ce qui donne access.

Avant de commencer

Avant de commencer, veillez à suivre les étapes ci-dessous :

• Consultez les conditions préalables.
• Consultez les informations de la section Planifier l'installation.
• Installez les outils nécessaires.
• Téléchargez asmcli.
• Accordez des autorisations d'administrateur de cluster.
• Validez le projet et le cluster.

Rôles requis pour installer le maillage de services Cloud dans le cluster

Le tableau suivant décrit les rôles requis pour une installation dans le cluster Cloud Service Mesh.

Nom de rôle	ID de rôle	Emplacement d'attribution	Description
Administrateur de GKE Hub	roles/gkehub.admin	Projet de parc	Accès complet à GKE Hub et aux ressources associées.
Administrateur de Kubernetes Engine	roles/container.admin	Projet de cluster. Notez que ce rôle doit être attribué dans les projets de parc et de cluster pour les liaisons entre projets.	Permet la gestion complète des clusters de conteneurs et de leurs objets API Kubernetes.
Administrateur de configuration du maillage	roles/meshconfig.admin	Projet de parc et de cluster	Fournit les autorisations requises pour initialiser les composants gérés de Cloud Service Mesh, comme le plan de contrôle géré et l'autorisation de backend permet aux charges de travail de communiquer avec Stackdriver autorisés individuellement (pour les plans de contrôle gérés et les plans de contrôle de cluster).
Administrateur de projet IAM	roles/resourcemanager.projectIamAdmin	Projet de cluster	Fournit des autorisations permettant d'administrer les stratégies IAM appliquées aux projets.
Administrateur de compte de service	roles/iam.serviceAccountAdmin	Projet de parc	Authentifier en tant que compte de service.
Administrateur de gestion des services	roles/servicemanagement.admin	Projet de parc	Contrôle complet des ressources Google Service Management.
Administrateur Service Usage	roles/serviceusage.serviceUsageAdmin	Projet de parc	Permet d'activer, de désactiver et d'inspecter les états de service, ainsi que d'inspecter des opérations, ainsi que le quota et la facturation d'un client projet.(Remarque 1)
Administrateur du service CA Bêta	roles/privateca.admin	Projet de parc	Accès complet à toutes les ressources du service CA. (Remarque 2)

Remarques :

1. Administrateur Service Usage : ce rôle est nécessaire. comme condition préalable pour activer l'API mesh.googleapis.com lorsque en provisionnant initialement le service géré Cloud Service Mesh.
2. Administrateur du service CA : ce rôle n'est requis que si vous s'intègrent au service CA.

Installer Cloud Service Mesh

La section suivante explique comment installer Cloud Service Mesh:

1. Exécutez asmcli install pour installer le plan de contrôle intégré sur un cluster unique. Consultez les sections suivantes pour obtenir des exemples de ligne de commande. Les exemples contiennent à la fois des arguments obligatoires et des arguments facultatifs qui peuvent vous être utiles. Nous vous recommandons de toujours spécifier l'argument output_dir pour que où vous pouvez trouver des exemples de passerelles et d'outils tels que istioctl. Consultez le de navigation sur la droite pour accéder à la liste des exemples.

2. Vous pouvez également installer une passerelle d'entrée. Par défaut, asmcli n'installe pas la passerelle istio-ingressgateway. Nous vous recommandons de déployer et de gérer le plan de contrôle et les passerelles séparément. Si vous avez besoin d'installer l'option istio-ingressgateway par défaut avec le plan de contrôle au sein du cluster, incluez l'argument --option legacy-default-ingressgateway.

3. Pour terminer la configuration de Cloud Service Mesh, vous devez activer l'automatisation l'injection side-car déployer ou redéployer des charges de travail.

4. Si vous installez Cloud Service Mesh sur plusieurs clusters, exécutez asmcli install sur chaque cluster. Lorsque vous exécutez asmcli install, veillez à utiliser le même FLEET_PROJECT_ID pour chaque cluster. Une fois Cloud Service Mesh installé, consultez les instructions pour configurer un réseau maillé multicluster de Google Cloud.

5. Si vos clusters se trouvent sur des réseaux différents (comme dans mode île vous devez transmettre un nom de réseau unique à asmcli à l'aide de la méthode --network_id.

Installer les fonctionnalités par défaut et Mesh CA

Cette section explique comment exécuter asmcli pour installer Cloud Service Mesh avec le les fonctionnalités compatibles par défaut pour votre plate-forme l'autorité de certification Cloud Service Mesh en tant qu'autorité de certification.

Installer les fonctionnalités par défaut et le service Certificate Authority (CA)

Cette section explique comment exécuter asmcli pour installer Cloud Service Mesh avec le maillage fonctionnalités compatibles avec votre plate-forme et et d'activer CA Service en tant qu'autorité de certification.

<ph type="x-smartling-placeholder">

En plus de l'autorité de certification Cloud Service Mesh, vous pouvez configurer Cloud Service Mesh Certificate Authority Service. Ce guide vous offre l'occasion d'intégrer le service CA, qui est recommandé pour les cas d'utilisation suivants :

• Vous avez besoin de plusieurs autorités de certification différentes pour signer des certificats de charge de travail sur différents clusters.
• Vous devez sauvegarder vos clés de signature dans un HSM géré.
• Vous travaillez dans un secteur hautement réglementé et vous êtes soumis à des exigences de conformité.
• Si vous souhaitez associer votre CA Cloud Service Mesh à une autorité de certification racine personnalisée pour signer les certificats de charge de travail.

Le coût de l'autorité de certification Cloud Service Mesh est inclus dans le Tarifs de Cloud Service Mesh La CA Service n'est pas inclus dans le tarif de base de Cloud Service Mesh et facturés séparément. En outre, CA Service est fourni avec contrat de niveau de service explicite, ce qui n'est pas le cas de l'autorité de certification Cloud Service Mesh.

Configurer le service d'autorité de certification

1. Créez le pool d'autorités de certification au niveau DevOps et dans la même région que le cluster qu'il dessert, afin d'éviter des problèmes de latence excessive ou des pannes interrégionales potentielles. Pour en savoir plus, consultez la page Niveaux optimisés pour les charges de travail.
2. Créez l'autorité de certification afin de disposer d'au moins une autorité de certification active dans le pool d'autorités de certification du même projet que le cluster GKE. Utiliser des autorités de certification subordonnées pour signer Certificats de charge de travail Cloud Service Mesh. Notez le pool d'autorités de certification correspondant à l'autorité de certification subordonnée.

3. S'il est destiné à ne desservir que les certificats des charges de travail Cloud Service Mesh, définissez la stratégie d'émission suivante pour le pool d'autorités de certification:

   policy.yaml

   baselineValues:
     keyUsage:
       baseKeyUsage:
         digitalSignature: true
         keyEncipherment: true
       extendedKeyUsage:
         serverAuth: true
         clientAuth: true
     caOptions:
       isCa: false
   identityConstraints:
     allowSubjectPassthrough: false
     allowSubjectAltNamesPassthrough: true
     celExpression:
       expression: subject_alt_names.all(san, san.type == URI && san.value.startsWith("spiffe://PROJECT_ID.svc.id.goog/ns/") )
   

4. Pour mettre à jour la stratégie d'émission du pool d'autorités de certification, exécutez la commande suivante :

   gcloud privateca pools update CA_POOL --location ca_region --issuance-policy policy.yaml
   

   Pour en savoir plus sur la définition d'une stratégie sur un pool, consultez la section Utiliser une stratégie d'émission de certificat.

5. Si vous utilisez un modèle de certificat, configurez-le maintenant. Pour plus d'informations, suivez le guide du service CA pour les certificats d'identité de charge de travail. Vérifiez que le modèle de certificat est créé dans la même région que le pool d'autorités de certification. S'il existe plusieurs régions pour les pools d'autorités de certification, créez un modèle de certificat par région.

Configurer Cloud Service Mesh pour utiliser CA Service

Exécutez les commandes suivantes sur Google Distributed Cloud ou Google Distributed Cloud pour installer le plan de contrôle avec les fonctionnalités par défaut et Certificate Authority Service. Saisissez vos valeurs dans les espaces réservés fournis.

1. Définissez le contexte actuel sur votre cluster d'utilisateur :

   kubectl config use-context CLUSTER_NAME
   

2. Exécutez asmcli install :

   ./asmcli install \
     --kubeconfig KUBECONFIG_FILE \
     --fleet_id FLEET_PROJECT_ID \
     --output_dir DIR_PATH \
     --enable_all \
     --ca gcp_cas \
     --platform multicloud \
     --ca_pool  projects/CA_POOL_PROJECT_ID/locations/ca_region/caPools/CA_POOL
   

   • --fleet_id : ID du projet du projet hôte du parc.
   • --kubeconfig : chemin d'accès complet au fichier kubeconfig. La variable d'environnement $PWD ne fonctionne pas ici. De plus, les emplacements de fichiers kubeconfig relatifs qui utilisent une valeur `~` ne fonctionneront pas.
   • --output_dir : incluez cette option pour spécifier un répertoire dans lequel asmcli télécharge le package anthos-service-mesh et extrait le fichier d'installation, qui contient istioctl, des exemples et des fichiers manifestes. Sinon, asmcli télécharge les fichiers dans un répertoire tmp. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement $PWD ne fonctionne pas ici.
   • --platform multicloud spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.
   • --enable_all : permet au script d'effectuer les opérations suivantes :
     • Accorder les autorisations IAM requises.
     • Activer les API Google requises.
     • Définir un libellé sur le cluster qui identifie le réseau maillé.
     • Enregistrer le cluster dans le parc si ce n'est déjà fait.
   • --ca gcp_cas Utiliser Certificate Authority Service en tant que autorité de certification. Modifier les autorités de certification au cours d'une peut entraîner des temps d'arrêt. asmcliconfigure Certificate Authority Service à utiliser parc Workload Identity
   • --ca_pool : identifiant complet de Pool d'autorités de certification Certificate Authority Service. Si vous utilisez un modèle de certificat, ajoutez l'ID du modèle en les séparant par :. Par exemple:

       --ca_pool projects/CA_POOL_PROJECT_ID/locations/ca_region/caPools/CA_POOL:projects/CA_POOL_PROJECT_ID/locations/ca_region/certificateTemplates/CERT_TEMPLATE_ID
       

   Pour afficher les SLO et les métriques d'infrastructure dans l'interface utilisateur de Cloud Service Mesh, vous devez effectuer également les trois premières étapes Activez la journalisation et la surveillance des applications. Si la journalisation et la surveillance ne sont pas activées et ne reçoivent pas de journaux personnalisés le tableau de bord Cloud Service Mesh n'affiche pas les SLO, les journaux d'erreurs, et les métriques de mémoire.

Installer les fonctionnalités par défaut avec Istio CA

Cette section explique comment effectuer les opérations suivantes :

• Générer des certificats et des clés pour l'autorité de certification Istio que Cloud Service Mesh utilise pour signer vos charges de travail.
• Exécuter asmcli pour installer Cloud Service Mesh avec les fonctionnalités par défaut et activer CA d'Istio.

Par défaut, les environnements qui installent Cloud Service Mesh avec des métriques de rapport d'autorité de certification Istio à Prometheus. Si vous souhaitez utiliser les tableaux de bord Cloud Service Mesh, vous devez activer Stackdriver. Pour en savoir plus, consultez la section Installer avec des fonctionnalités facultatives.

Pour une sécurité optimale, nous vous recommandons vivement de conserver une autorité de certification racine hors connexion et d'utiliser les autorités de certification subordonnées pour émettre des autorités de certification pour chaque cluster. Pour en savoir plus, consultez la section Utiliser des certificats CA. Dans cette configuration, toutes les charges de travail du maillage de services utilisent la même autorité de certification racine (CA). Chaque CA de Cloud Service Mesh utilise une autorité de certification intermédiaire une clé de signature et un certificat, signés par la CA racine. Lorsque plusieurs autorités de certification existent dans un maillage, cela établit une hiérarchie de confiance entre les autorités de certification. Vous pouvez répéter ces étapes pour provisionner les certificats et les clés d'un nombre illimité d'autorités de certification.

Le fichier Makefile pour générer les certificats se trouve dans le sous-répertoire istio-1.21.4-asm.5 du répertoire --output_dir que vous avez spécifié dans la commande asmcli validate. Si vous n'avez pas exécuté asmcli validate, ou si vous n'avez pas le répertoire téléchargé localement, vous pouvez obtenir le Makefile en téléchargement du fichier d'installation de Cloud Service Mesh et extraire le contenu.

1. Accédez au répertoire istio-1.21.4-asm.5.

2. Créez un répertoire pour les certificats et les clés :

   mkdir -p certs && \
   pushd certs

3. Générez un certificat et une clé racine :

   make -f ../tools/certs/Makefile.selfsigned.mk root-ca
   

   Les fichiers suivants sont alors générés :

   • root-cert.pem : certificat racine
   • root-key.pem : clé racine
   • root-ca.conf : configuration nécessaire pour qu'openssl génère le certificat racine
   • root-cert.csr : demande CSR du certificat racine

4. Générez un certificat et une clé intermédiaires :

   make -f ../tools/certs/Makefile.selfsigned.mk cluster1-cacerts

   Cette opération génère les fichiers suivants dans un répertoire nommé cluster1 :

   • ca-cert.pem : certificats intermédiaires
   • ca-key.pem : clé intermédiaire
   • cert-chain.pem : chaîne de certificats utilisée par istiod
   • root-cert.pem : certificat racine

   Si vous effectuez ces étapes en utilisant un ordinateur hors connexion, copiez le répertoire généré sur un ordinateur qui a accès aux clusters.

5. Revenez au répertoire précédent :

   popd

6. Exécutez asmcli pour installer un réseau maillé à l'aide de l'autorité de certification Istio :

   Sur site

   Exécutez les commandes suivantes sur Google Distributed Cloud ou Google Distributed Cloud pour installer le plan de contrôle les fonctionnalités par défaut et l'autorité de certification d'Istio. Saisissez vos valeurs dans les espaces réservés fournis.

   1. Définissez le contexte actuel sur votre cluster d'utilisateur :

      kubectl config use-context CLUSTER_NAME
      

   2. Exécutez asmcli install :

      ./asmcli install \
        --fleet_id FLEET_PROJECT_ID \
        --kubeconfig KUBECONFIG_FILE \
        --output_dir DIR_PATH \
        --platform multicloud \
        --enable_all \
        --ca citadel \
        --ca_cert CA_CERT_FILE_PATH \
        --ca_key CA_KEY_FILE_PATH \
        --root_cert ROOT_CERT_FILE_PATH \
        --cert_chain CERT_CHAIN_FILE_PATH
      

      • --fleet_id : ID du projet du projet hôte du parc.
      • --kubeconfig : chemin d'accès complet au fichier kubeconfig. La variable d'environnement $PWD ne fonctionne pas ici. De plus, les emplacements de fichiers kubeconfig relatifs qui utilisent une valeur `~` ne fonctionneront pas.
      • --output_dir : incluez cette option pour spécifier un répertoire dans lequel asmcli télécharge le package anthos-service-mesh et extrait le fichier d'installation, qui contient istioctl, des exemples et des fichiers manifestes. Sinon, asmcli télécharge les fichiers dans un répertoire tmp. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement $PWD ne fonctionne pas ici.
      • --platform multicloud spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.
      • --enable_all : permet au script d'effectuer les opérations suivantes :
        • Accorder les autorisations IAM requises.
        • Activer les API Google requises.
        • Définir un libellé sur le cluster qui identifie le réseau maillé.
        • Enregistrer le cluster dans le parc si ce n'est déjà fait.
      • -ca citadel : utiliser l'autorité de certification Istio comme autorité de certification.
      • --ca_cert : le certificat intermédiaire
      • --ca_key : la clé du certificat intermédiaire
      • --root_cert : le certificat racine
      • --cert_chain : la chaîne de certificats

   AWS

   Exécutez les commandes suivantes sur GKE sur AWS pour installer le contrôle avec les fonctionnalités par défaut et l'autorité de certification d'Istio. Saisissez vos valeurs dans les espaces réservés fournis. Vous pouvez choisir d'activer l'entrée du sous-réseau public ou du sous-réseau privé.

   Public

   1. Définissez le contexte actuel sur votre cluster d'utilisateur :

      kubectl config use-context CLUSTER_NAME
      

   2. Exécutez asmcli install :

      ./asmcli install \
        --fleet_id FLEET_PROJECT_ID \
        --kubeconfig KUBECONFIG_FILE \
        --output_dir DIR_PATH \
        --platform multicloud \
        --enable_all \
        --ca citadel \
        --ca_cert CA_CERT_FILE_PATH \
        --ca_key CA_KEY_FILE_PATH \
        --root_cert ROOT_CERT_FILE_PATH \
        --cert_chain CERT_CHAIN_FILE_PATH
      

      • --fleet_id : ID du projet du projet hôte du parc.
      • --kubeconfig : chemin d'accès complet au fichier kubeconfig. La variable d'environnement $PWD ne fonctionne pas ici. De plus, les emplacements de fichiers kubeconfig relatifs qui utilisent une valeur `~` ne fonctionneront pas.
      • --output_dir : incluez cette option pour spécifier un répertoire dans lequel asmcli télécharge le package anthos-service-mesh et extrait le fichier d'installation, qui contient istioctl, des exemples et des fichiers manifestes. Sinon, asmcli télécharge les fichiers dans un répertoire tmp. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement $PWD ne fonctionne pas ici.
      • --platform multicloud spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.
      • --enable_all : permet au script d'effectuer les opérations suivantes :
        • Accorder les autorisations IAM requises.
        • Activer les API Google requises.
        • Définir un libellé sur le cluster qui identifie le réseau maillé.
        • Enregistrer le cluster dans le parc si ce n'est déjà fait.
      • -ca citadel : utiliser l'autorité de certification Istio comme autorité de certification.
      • --ca_cert : le certificat intermédiaire
      • --ca_key : la clé du certificat intermédiaire
      • --root_cert : le certificat racine
      • --cert_chain : la chaîne de certificats

   Privé

   1. Définissez le contexte actuel sur votre cluster d'utilisateur :

      kubectl config use-context CLUSTER_NAME
      

   2. Enregistrez le fichier YAML suivant dans un fichier appelé istio-operator-internal-lb.yaml :

      apiVersion: install.istio.io/v1alpha1
      kind: IstioOperator
      spec:
        components:
          ingressGateways:
          - enabled: true
            k8s:
              serviceAnnotations:
                service.beta.kubernetes.io/aws-load-balancer-internal: "true"
            name: istio-ingressgateway
      

   3. Exécutez asmcli install :

      ./asmcli install \
        --fleet_id FLEET_PROJECT_ID \
        --kubeconfig KUBECONFIG_FILE \
        --output_dir DIR_PATH \
        --platform multicloud \
        --enable_all \
        --ca citadel \
        --ca_cert FILE_PATH \
        --ca_key FILE_PATH \
        --root_cert FILE_PATH \
        --cert_chain FILE_PATH \
        --custom_overlay istio-operator-internal-lb.yaml
      

      • --fleet_id : ID du projet du projet hôte du parc.
      • --kubeconfig : chemin d'accès complet au fichier kubeconfig. La variable d'environnement $PWD ne fonctionne pas ici. De plus, les emplacements de fichiers kubeconfig relatifs qui utilisent une valeur `~` ne fonctionneront pas.
      • --output_dir : incluez cette option pour spécifier un répertoire dans lequel asmcli télécharge le package anthos-service-mesh et extrait le fichier d'installation, qui contient istioctl, des exemples et des fichiers manifestes. Sinon, asmcli télécharge les fichiers dans un répertoire tmp. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement $PWD ne fonctionne pas ici.
      • --platform multicloud spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.
      • --enable_all : permet au script d'effectuer les opérations suivantes :
        • Accorder les autorisations IAM requises.
        • Activer les API Google requises.
        • Définir un libellé sur le cluster qui identifie le réseau maillé.
        • Enregistrer le cluster dans le parc si ce n'est déjà fait.
      • -ca citadel : utiliser l'autorité de certification Istio comme autorité de certification.
      • --ca_cert : le certificat intermédiaire
      • --ca_key : la clé du certificat intermédiaire
      • --root_cert : le certificat racine
      • --cert_chain : la chaîne de certificats
      • --custom_overlay : nom du fichier de superposition créé. Pour en savoir plus sur les fichiers de superposition, consultez la page Activer des fonctionnalités facultatives sur le plan de contrôle au sein du cluster.

   Azure

   Exécutez les commandes suivantes sur GKE sur Azure pour installer le plan de contrôle avec les fonctionnalités par défaut et l'autorité de certification Istio. Saisissez vos valeurs dans les espaces réservés fournis. Vous pouvez choisir d'activer l'entrée du sous-réseau public ou du sous-réseau privé.

   Public

   1. Définissez le contexte actuel sur votre cluster d'utilisateur :

      kubectl config use-context CLUSTER_NAME
      

   2. Exécutez asmcli install :

      ./asmcli install \
        --fleet_id FLEET_PROJECT_ID \
        --kubeconfig KUBECONFIG_FILE \
        --output_dir DIR_PATH \
        --platform multicloud \
        --enable_all \
        --ca citadel \
        --ca_cert CA_CERT_FILE_PATH \
        --ca_key CA_KEY_FILE_PATH \
        --root_cert ROOT_CERT_FILE_PATH \
        --cert_chain CERT_CHAIN_FILE_PATH
      

      • --fleet_id : ID du projet du projet hôte du parc.
      • --kubeconfig : chemin d'accès complet au fichier kubeconfig. La variable d'environnement $PWD ne fonctionne pas ici. De plus, les emplacements de fichiers kubeconfig relatifs qui utilisent une valeur `~` ne fonctionneront pas.
      • --output_dir : incluez cette option pour spécifier un répertoire dans lequel asmcli télécharge le package anthos-service-mesh et extrait le fichier d'installation, qui contient istioctl, des exemples et des fichiers manifestes. Sinon, asmcli télécharge les fichiers dans un répertoire tmp. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement $PWD ne fonctionne pas ici.
      • --platform multicloud spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.
      • --enable_all : permet au script d'effectuer les opérations suivantes :
        • Accorder les autorisations IAM requises.
        • Activer les API Google requises.
        • Définir un libellé sur le cluster qui identifie le réseau maillé.
        • Enregistrer le cluster dans le parc si ce n'est déjà fait.
      • -ca citadel : utiliser l'autorité de certification Istio comme autorité de certification.
      • --ca_cert : le certificat intermédiaire
      • --ca_key : la clé du certificat intermédiaire
      • --root_cert : le certificat racine
      • --cert_chain : la chaîne de certificats

   Privé

   1. Définissez le contexte actuel sur votre cluster d'utilisateur :

      kubectl config use-context CLUSTER_NAME
      

   2. Enregistrez le fichier YAML suivant dans un fichier appelé istio-operator-internal-lb.yaml :

      apiVersion: install.istio.io/v1alpha1
      kind: IstioOperator
      spec:
        components:
          ingressGateways:
          - enabled: true
            k8s:
              serviceAnnotations:
                service.beta.kubernetes.io/aws-load-balancer-internal: "true"
            name: istio-ingressgateway
      

   3. Exécutez asmcli install :

      ./asmcli install \
        --fleet_id FLEET_PROJECT_ID \
        --kubeconfig KUBECONFIG_FILE \
        --output_dir DIR_PATH \
        --platform multicloud \
        --enable_all \
        --ca citadel \
        --ca_cert FILE_PATH \
        --ca_key FILE_PATH \
        --root_cert FILE_PATH \
        --cert_chain FILE_PATH \
        --custom_overlay istio-operator-internal-lb.yaml
      

      • --fleet_id : ID du projet du projet hôte du parc.
      • --kubeconfig : chemin d'accès complet au fichier kubeconfig. La variable d'environnement $PWD ne fonctionne pas ici. De plus, les emplacements de fichiers kubeconfig relatifs qui utilisent une valeur `~` ne fonctionneront pas.
      • --output_dir : incluez cette option pour spécifier un répertoire dans lequel asmcli télécharge le package anthos-service-mesh et extrait le fichier d'installation, qui contient istioctl, des exemples et des fichiers manifestes. Sinon, asmcli télécharge les fichiers dans un répertoire tmp. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement $PWD ne fonctionne pas ici.
      • --platform multicloud spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.
      • --enable_all : permet au script d'effectuer les opérations suivantes :
        • Accorder les autorisations IAM requises.
        • Activer les API Google requises.
        • Définir un libellé sur le cluster qui identifie le réseau maillé.
        • Enregistrer le cluster dans le parc si ce n'est déjà fait.
      • -ca citadel : utiliser l'autorité de certification Istio comme autorité de certification.
      • --ca_cert : le certificat intermédiaire
      • --ca_key : la clé du certificat intermédiaire
      • --root_cert : le certificat racine
      • --cert_chain : la chaîne de certificats
      • --custom_overlay : nom du fichier de superposition créé. Pour en savoir plus sur les fichiers de superposition, consultez la page Activer des fonctionnalités facultatives sur le plan de contrôle au sein du cluster.

   Amazon EKS

   Exécutez les commandes suivantes sur Amazon EKS pour installer le plan de contrôle avec les fonctionnalités par défaut et Istio CA. Saisissez vos valeurs dans les espaces réservés fournis.

   1. Définissez le contexte actuel sur votre cluster d'utilisateur :

      kubectl config use-context CLUSTER_NAME
      

   2. Exécutez asmcli install :

      ./asmcli install \
        --fleet_id FLEET_PROJECT_ID \
        --kubeconfig KUBECONFIG_FILE \
        --output_dir DIR_PATH \
        --platform multicloud \
        --enable_all \
        --option attached-cluster \
        --ca citadel \
        --ca_cert CA_CERT_FILE_PATH \
        --ca_key CA_KEY_FILE_PATH \
        --root_cert ROOT_CERT_FILE_PATH \
        --cert_chain CERT_CHAIN_FILE_PATH \
        --network_id default
      

      • --fleet_id : ID du projet du projet hôte du parc.
      • --kubeconfig : chemin d'accès complet au fichier kubeconfig. La variable d'environnement $PWD ne fonctionne pas ici. De plus, les emplacements de fichiers kubeconfig relatifs qui utilisent une valeur `~` ne fonctionneront pas.
      • --output_dir : incluez cette option pour spécifier un répertoire dans lequel asmcli télécharge le package anthos-service-mesh et extrait le fichier d'installation, qui contient istioctl, des exemples et des fichiers manifestes. Sinon, asmcli télécharge les fichiers dans un répertoire tmp. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement $PWD ne fonctionne pas ici.
      • --platform multicloud spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.
      • --enable_all : permet au script d'effectuer les opérations suivantes :
        • Accorder les autorisations IAM requises.
        • Activer les API Google requises.
        • Définir un libellé sur le cluster qui identifie le réseau maillé.
        • Enregistrer le cluster dans le parc si ce n'est déjà fait.
      • --option attached-cluster Modifie la signature par défaut d'être istiod.
      • -ca citadel : utiliser l'autorité de certification Istio comme autorité de certification.
      • --ca_cert : le certificat intermédiaire
      • --ca_key : la clé du certificat intermédiaire
      • --root_cert : le certificat racine
      • --cert_chain : la chaîne de certificats
      • --network_id Si vous configurez un réseau puis définissez --network_id sur une valeur unique pour chaque dans le réseau maillé.

   Microsoft AKS

   Exécutez les commandes suivantes sur Microsoft AKS pour installer le plan de contrôle avec les fonctionnalités par défaut et Istio CA. Saisissez vos valeurs dans les espaces réservés fournis.

   1. Définissez le contexte actuel sur votre cluster d'utilisateur :

      kubectl config use-context CLUSTER_NAME
      

   2. Exécutez asmcli install :

      HUB_REGISTRATION_EXTRA_FLAGS=--has-private-issuer ./asmcli install \
        --fleet_id FLEET_PROJECT_ID \
        --kubeconfig KUBECONFIG_FILE \
        --output_dir DIR_PATH \
        --platform multicloud \
        --enable_all \
        --option attached-cluster \
        --ca citadel \
        --ca_cert CA_CERT_FILE_PATH \
        --ca_key CA_KEY_FILE_PATH \
        --root_cert ROOT_CERT_FILE_PATH \
        --cert_chain CERT_CHAIN_FILE_PATH \
        --network_id default
      

      • HUB_REGISTRATION_EXTRA_FLAGS=--has-private-issuer autorise l'enregistrement avec GKE Hub.
      • --fleet_id : ID du projet du projet hôte du parc.
      • --kubeconfig : chemin d'accès complet au fichier kubeconfig. La variable d'environnement $PWD ne fonctionne pas ici. De plus, les emplacements de fichiers kubeconfig relatifs qui utilisent une valeur `~` ne fonctionneront pas.
      • --output_dir : incluez cette option pour spécifier un répertoire dans lequel asmcli télécharge le package anthos-service-mesh et extrait le fichier d'installation, qui contient istioctl, des exemples et des fichiers manifestes. Sinon, asmcli télécharge les fichiers dans un répertoire tmp. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement $PWD ne fonctionne pas ici.
      • --platform multicloud spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.
      • --enable_all : permet au script d'effectuer les opérations suivantes :
        • Accorder les autorisations IAM requises.
        • Activer les API Google requises.
        • Définir un libellé sur le cluster qui identifie le réseau maillé.
        • Enregistrer le cluster dans le parc si ce n'est déjà fait.
      • --option attached-cluster Modifie la signature par défaut d'être istiod.
      • -ca citadel : utiliser l'autorité de certification Istio comme autorité de certification.
      • --ca_cert : le certificat intermédiaire
      • --ca_key : la clé du certificat intermédiaire
      • --root_cert : le certificat racine
      • --cert_chain : la chaîne de certificats
      • --network_id Si vous configurez un réseau puis définissez --network_id sur une valeur unique pour chaque dans le réseau maillé.

Installer avec l'autorité de certification Istio avec Google Cloud Observability activé

Si vous souhaitez utiliser des tableaux de bord Cloud Service Mesh, vous devez activer Stackdriver.

Installer avec des fonctionnalités facultatives

Un fichier de superposition est un fichier YAML contenant une ressource personnalisée IstioOperator que vous transmettez à asmcli pour configurer le plan de contrôle. Vous pouvez ignorer la configuration par défaut du plan de contrôle et activer une fonctionnalité facultative en transmettant le fichier YAML à asmcli. Vous pouvez effectuer plusieurs couches de superpositions. Chaque fichier de superposition remplace la configuration dans les couches précédentes. Nous vous conseillons d'enregistrer les fichiers superposés dans votre système de contrôle des versions.

Vous pouvez activer les fonctionnalités facultatives de deux façons: --option et --custom_overlay.

Utilisez --option si vous n'avez pas besoin de modifier le fichier de superposition. Avec cette méthode, asmcli récupère le fichier à partir du Dépôt GitHub pour vous.

Utilisez --custom_overlay lorsque vous devez personnaliser le fichier de superposition.

Pour en savoir plus, consultez la page Activer des fonctionnalités facultatives sur le plan de contrôle au sein du cluster.

Exécutez les commandes suivantes sur Google Distributed Cloud : Google Distributed Cloud, GKE sur AWS, GKE sur Azure, Amazon EKS ou Microsoft AKS. Saisissez vos valeurs dans les espaces réservés fournis.

1. Définissez le contexte actuel sur votre cluster d'utilisateur :

   kubectl config use-context CLUSTER_NAME
   

2. Exécutez asmcli install pour installer le plan de contrôle avec une fonctionnalité facultative. Pour ajouter plusieurs fichiers, spécifiez --custom_overlay et le nom du fichier, par exemple : --custom_overlayoverlay_file1.yaml --custom_overlay overlay_file2.yaml --custom_overlay overlay_file3.yaml

   ./asmcli install \
   --fleet_id FLEET_PROJECT_ID \
   --kubeconfig KUBECONFIG_FILE \
   --output_dir DIR_PATH \
   --platform multicloud \
   --enable_all \
   --ca mesh_ca \
   --custom_overlay OVERLAY_FILE
   

   • --fleet_id : ID du projet du projet hôte du parc.
   • --kubeconfig : chemin d'accès complet au fichier kubeconfig. La variable d'environnement $PWD ne fonctionne pas ici. De plus, les emplacements de fichiers kubeconfig relatifs qui utilisent une valeur `~` ne fonctionneront pas.
   • --output_dir : incluez cette option pour spécifier un répertoire dans lequel asmcli télécharge le package anthos-service-mesh et extrait le fichier d'installation, qui contient istioctl, des exemples et des fichiers manifestes. Sinon, asmcli télécharge les fichiers dans un répertoire tmp. Vous pouvez spécifier un chemin d'accès relatif ou complet. La variable d'environnement $PWD ne fonctionne pas ici.
   • --platform multicloud spécifie que la plate-forme est une plate-forme autre que Google Cloud, par exemple une plate-forme sur site ou multicloud.
   • --enable_all : permet au script d'effectuer les opérations suivantes :
     • Accorder les autorisations IAM requises.
     • Activer les API Google requises.
     • Définir un libellé sur le cluster qui identifie le réseau maillé.
     • Enregistrer le cluster dans le parc si ce n'est déjà fait.
   • --ca mesh_ca Utiliser l'autorité de certification Cloud Service Mesh en tant que autorité de certification. Notez que asmcli configure l'autorité de certification Cloud Service Mesh à utiliser parc Workload Identity
   • --custom_overlay : spécifier le nom du fichier de superposition.

Installer les passerelles

Cloud Service Mesh vous permet de déployer et de gérer des passerelles dans le cadre le maillage de services. Une passerelle décrit un équilibreur de charge fonctionnant à la périphérie du réseau maillé recevant des connexions HTTP/TCP entrantes ou sortantes. Les passerelles sont des proxys Envoy qui vous permettent de contrôler avec précision le trafic entrant et sortant du réseau maillé.

1. Créez un espace de noms pour la passerelle d'entrée si vous n'en possédez pas déjà un. Les passerelles sont des charges de travail d'utilisateur. Il est déconseillé de les déployer dans l'espace de noms du plan de contrôle. Remplacez GATEWAY_NAMESPACE par le nom de votre espace de noms.

   kubectl create namespace GATEWAY_NAMESPACE
   

   Résultat attendu :

   namespace/GATEWAY_NAMESPACE created
   

2. Activez l'injection automatique sur la passerelle. La procédure à suivre varie selon que que vous souhaitez utiliser Étiquettes d'injection par défaut (par exemple, istio-injection=enabled) ou étiquette de révision sur la passerelle espace de noms. Le tag de révision et le libellé de révision par défaut sont utilisés par le webhook d'injecteur side-car pour associer les proxys injectés à une révision spécifique du plan de contrôle.

   Par défaut (recommandé)

   1. Si vous avez utilisé une révision de tag par défaut pour activer l'injection automatique sur le vérifiez que le tag par défaut existe bien dans le répertoire spécifié dans --output_dir et qu'il pointe vers le nouvel appareil la révision.

      DIR_PATH/istioctl tag list
      

   2. Appliquez les libellés d'injection par défaut à l'espace de noms.

      kubectl label namespace GATEWAY_NAMESPACE istio-injection=enabled istio.io/rev-
      

   Libellé de révision

   1. Exécutez la commande suivante pour localiser le libellé de révision sur istiod :

      kubectl get deploy -n istio-system -l app=istiod -o \
        "jsonpath={.items[*].metadata.labels['istio\.io/rev']}{'\n'}"
      

      La commande génère l'étiquette de révision qui correspond au Version de Cloud Service Mesh, par exemple: asm-1214-5

   2. Appliquez le libellé de révision à l'espace de noms. Dans la commande suivante, REVISION correspond à la valeur du libellé de révision istiod que vous avez notée à l'étape précédente.

      kubectl label namespace GATEWAY_NAMESPACE \
        istio.io/rev=REVISION --overwrite
      

      Résultat attendu :

      namespace/GATEWAY_NAMESPACE labeled
      

   Vous pouvez ignorer le message "istio.io/rev" not found dans le résultat. Cela signifie que l'espace de noms n'avait pas auparavant Le libellé istio.io/rev, attendu dans les nouvelles installations de ou de nouveaux déploiements. Comme l'injection automatique échoue si un espace de noms comporte à la fois istio.io/rev et istio-injection et l'étiquette, toutes les commandes kubectl label du maillage spécifient explicitement les deux étiquettes.

   Si l'espace de noms de la passerelle n'est pas étiqueté, les pods istio-ingressgateway échoue et renvoie une erreur ImagePullBackOff lorsque la passerelle tente d'extraire et l'image auto. Cette image doit être remplacée par le webhook.

3. Téléchargez l'exemple de fichier de configuration .yaml de la passerelle d'entrée à partir du Dépôt anthos-service-mesh-packages.

4. Appliquez l'exemple de configuration .yaml de la passerelle d'entrée telle quelle ou modifiez-le en tant que nécessaires.

   kubectl apply -n GATEWAY_NAMESPACE \
     -f CONFIG_PATH/istio-ingressgateway
   

   Résultat attendu :

   deployment.apps/istio-ingressgateway created
   poddisruptionbudget.policy/istio-ingressgateway created
   horizontalpodautoscaler.autoscaling/istio-ingressgateway created
   role.rbac.authorization.k8s.io/istio-ingressgateway created
   rolebinding.rbac.authorization.k8s.io/istio-ingressgateway created
   service/istio-ingressgateway created
   serviceaccount/istio-ingressgateway created
   

Découvrez les bonnes pratiques liées aux passerelles.

Déployer et redéployer des charges de travail

Cloud Service Mesh utilise des proxys side-car pour améliorer la sécurité, la fiabilité et l'observabilité. Avec Cloud Service Mesh, ces fonctions sont éliminées de l'ensemble de données conteneur principal de l'application et implémentée dans un proxy commun hors processus livré sous la forme d'un conteneur distinct dans le même pod.

Votre installation n'est pas terminée tant que vous n'avez pas activé le proxy side-car automatique (injection automatique) et redémarrer les pods pour toutes les charges de travail étaient exécutés sur votre cluster avant d'installer Cloud Service Mesh.

Pour activer l'injection automatique, vous devez ajouter une étiquette à vos espaces de noms avec le étiquettes d'injection par défaut si la balise par défaut est configurée, ou un libellé de révision défini sur istiod lors de l'installation de Cloud Service Mesh. Le tag de révision et le libellé de révision par défaut sont utilisés par le webhook d'injecteur side-car pour associer les side-cars injectés à une révision istiod. Après avoir ajouté le libellé, tous les pods existants dans l'espace de noms doivent être redémarrés pour que les sidecars soient injectés.

Avant de déployer de nouvelles charges de travail dans un nouvel espace de noms, veillez à configurer l'injection automatique pour que Cloud Service Mesh puisse surveiller et sécuriser le trafic.

1. Les étapes requises pour activer l'injection automatique varient selon que vous souhaitez utiliser les libellés d'injection par défaut ou le libellé de révision :

   Par défaut (recommandé)

   1. Si vous avez utilisé une révision de tag par défaut pour activer l'injection automatique sur le vérifiez que le tag par défaut existe bien dans le répertoire spécifié dans --output_dir et qu'il pointe vers le nouvel appareil la révision.

      DIR_PATH/istioctl tag list
      

   2. Exécutez la commande suivante : NAMESPACE est le nom du dans lequel vous souhaitez activer l'injection automatique.

      kubectl label namespace NAMESPACE istio-injection=enabled istio.io/rev-
      

   Les étiquettes d'injection par défaut injectent la révision pointe vers laquelle pointe le tag par défaut.

   Libellé de révision

   1. Exécutez la commande suivante pour localiser le libellé de révision sur istiod :

      kubectl -n istio-system get pods -l app=istiod --show-labels
      

      La sortie ressemble à ceci :

      NAME                                READY   STATUS    RESTARTS   AGE   LABELS
      istiod-asm-1214-5-5788d57586-bljj4   1/1     Running   0          23h   app=istiod,istio.io/rev=asm-1214-5,istio=istiod,pod-template-hash=5788d57586
      istiod-asm-1214-5-5788d57586-vsklm   1/1     Running   1          23h   app=istiod,istio.io/rev=asm-1214-5,istio=istiod,pod-template-hash=5788d57586

      Dans le résultat, sous la colonne LABELS, notez la valeur du libellé de révision istiod, qui suit le préfixe istio.io/rev=. Dans cet exemple, la valeur est asm-1214-5.

   2. Appliquez le libellé de révision et supprimez le libellé istio-injection s'il existe. Dans la commande suivante, NAMESPACE est le nom de l'espace de noms dans lequel vous souhaitez activer l'injection automatique, et REVISION est le libellé de révision noté à l'étape précédente.

      kubectl label namespace NAMESPACE istio-injection- istio.io/rev=REVISION --overwrite
      

      Vous pouvez ignorer le message "istio-injection not found" dans le résultat. Cela signifie que l'espace de noms n'avait pas auparavant Le libellé istio-injection, qui est attendu dans les nouvelles de Cloud Service Mesh ou de nouveaux déploiements. Comme l'injection automatique le comportement n'est pas défini lorsqu'un espace de noms possède à la fois istio-injection et l'étiquette de révision, toutes les commandes kubectl label du Dans la documentation de Cloud Service Mesh, vous assurez explicitement qu'un seul de ces éléments est défini.

2. Si des charges de travail étaient en cours d'exécution sur votre cluster avant l'installation Cloud Service Mesh, redémarrez les pods pour déclencher la réinjection.

   La méthode de redémarrage des pods dépend de votre application et de l'environnement dans lequel se trouve le cluster. Par exemple, dans votre environnement de préproduction, vous pouvez simplement supprimer tous les pods, ce qui entraîne leur redémarrage. Mais dans votre production, vous pouvez avoir un processus qui met en œuvre déploiement bleu-vert afin de pouvoir redémarrer les pods en toute sécurité pour éviter toute interruption du trafic.

   Vous pouvez exécuter kubectl pour effectuer un redémarrage progressif :

   kubectl rollout restart deployment -n NAMESPACE
   

Étape suivante

• Si votre maillage contient des clusters en dehors de Google Cloud, consultez la page Configurer un maillage multicluster en dehors de Google Cloud.

• Configurez une adresse IP externe sur site.

• Déployer l'exemple d'application Online Boutique