Anthos Service Mesh y Traffic Director ahora son Cloud Service Mesh. Para obtener más información, consulta la Descripción general de Cloud Service Mesh.

Se usó la API de Cloud Translation para traducir esta página.

Planificar una instalación

En esta página, se proporciona información para ayudarte a planificar una instalación nueva de Cloud Service Mesh en el clúster para cargas de trabajo de Kubernetes fuera de Google Cloud.

Personaliza el plano de control

Las funciones que admite Cloud Service Mesh difieren entre las plataformas. Te recomendamos que revises las funciones compatibles para saber cuáles son compatibles con tu plataforma. Algunas funciones están habilitadas de forma predeterminada, mientras que otras que puedes habilitar opcionalmente creando una IstioOperator archivo de superposición. Cuando ejecutas asmcli install, puedes personalizar el plano de control. si especificas el --custom_overlay con el archivo de superposición. Como recomendación, te sugerimos que guardes los archivos de superposición en tu sistema de control de versión.

El Directorio asmcli en GitHub contiene muchos archivos de superposición. Estos archivos contienen personalizaciones comunes la configuración predeterminada. Puedes usar los archivos tal como están realizar cambios adicionales según sea necesario. Algunos de los archivos son necesarios para Habilita funciones opcionales de Cloud Service Mesh. El paquete anthos-service-mesh se descarga cuando ejecutas asmcli para validar tu proyecto y clúster.

Cuando instalas Cloud Service Mesh con asmcli install, ocurre lo siguiente: puedes especificar uno o más archivos de superposición con --option o --custom_overlay. Si no necesitas realizar cambios en los archivos del repositorio anthos-service-mesh, puedes usar --option y la secuencia de comandos recupera el archivo de GitHub. De lo contrario, puedes realizar cambios en el archivo de superposición y, luego, usar la opción --custom_overlay para pasarlo a la secuencia de comandos asmcli.

Elige una autoridad certificadora

Según el caso de uso y la plataforma, puedes elegir una de las siguientes opciones: la autoridad certificadora (AC) que emite TLS mutua (mTLS) certificados:

En esta sección, se proporciona información de alto nivel sobre cada una de estas opciones de CA y sus casos de uso:

CA de Mesh

A menos que necesites una AC personalizada, te recomendamos que uses Autoridad certificada de Cloud Service Mesh por los siguientes motivos:

La autoridad certificadora de Cloud Service Mesh es un servicio altamente confiable y escalable que y están optimizados para cargas de trabajo escaladas de forma dinámica.
Con la autoridad certificadora de Cloud Service Mesh, Google administra la seguridad y la disponibilidad del backend de la AC.
La autoridad certificadora de Cloud Service Mesh te permite confiar en una única raíz de confianza en entre los clústeres de Kubernetes.

Los certificados de la autoridad certificadora de Cloud Service Mesh incluyen los siguientes datos sobre los servicios de tu aplicación:

El ID del proyecto de Google Cloud
El espacio de nombres de GKE
El nombre de la cuenta de servicio de GKE

Servicio de CA

Nota de la plataforma: CA Service solo es compatible con el de las siguientes plataformas: clústeres de GKE en Google Cloud, Google Distributed Cloud y Distributed Cloud. Si ejecutas asmcli install y especificas --ca gcp_cas en otras plataformas, la instalación parecerá exitosa, pero las cargas de trabajo no se iniciarán.

Además de la autoridad certificadora de la malla de servicios de Cloud, puedes configurar Cloud Service Mesh Certificate Authority Service. En esta guía, se te brinda la posibilidad de realizar la integración en el servicio de CA, lo que es recomendable para los siguientes casos de uso:

Si necesitas autoridades certificadoras para que firmen certificados de carga de trabajo en diferentes clústeres.
Si necesitas respaldar tus claves de firma en un HSM administrado.
Si te encuentras en una industria altamente regulada y estás sujeto a cumplimiento.
Si quieres encadenar tu CA de Cloud Service Mesh a una raíz empresarial personalizada certificado para firmar certificados de carga de trabajo.

El costo de la autoridad certificadora de la malla de servicios de Cloud se incluye en Precios de Cloud Service Mesh. El CA Service no está incluido en el precio base de Cloud Service Mesh y está se cobra por separado. Además: CA Service incluye un ANS explícito, pero la autoridad certificadora de Cloud Service Mesh no lo hace.

CA de Istio

Recomendamos que uses la CA de Istio si cumples con los siguientes criterios:

Tu malla ya usa la CA de Istio y no necesitas los beneficios que habilita Autoridad certificadora de Cloud Service Mesh o CA Service.
Necesitas una CA raíz personalizada.
Tienes cargas de trabajo fuera de Google Cloud en las que no es aceptable un servicio de CA administrado por Google Cloud.

Prepara la configuración de la puerta de enlace

Cloud Service Mesh te da la opción de implementar y administrar puertas de enlace como parte de tu malla de servicios. Una puerta de enlace describe un balanceador de cargas que opera en el perímetro de la malla que recibe conexiones HTTP/TCP entrantes o salientes. Las puertas de enlace son proxies de Envoy que te brindan un control detallado sobre el tráfico que entra y sale de la malla.

asmcli no instala istio-ingressgateway. Te recomendamos que implementes y administres el plano de control y las puertas de enlace por separado. Para ver más consulta Instala y actualiza puertas de enlace.

Próximos pasos

Instala herramientas dependientes y valida el clúster