规划安装
本页提供的信息可帮助您规划新安装 适用于 Google Cloud 外的 Kubernetes 工作负载的集群内 Cloud Service Mesh。
自定义控制层面
Cloud Service Mesh 支持的功能因平台而异。我们建议您查看支持的功能,了解您的平台支持哪些功能。部分功能已启用
其他选项则可通过创建 IstioOperator 来视需要启用
叠加层文件。运行 asmcli install 时,您可以自定义控制平面
方法是指定 --custom_overlay
选项。我们建议的最佳做法是将叠加文件保存在您的版本控制系统中。
通过
asmcli 目录
包含许多叠加层文件。这些文件包含常见的自定义设置
默认配置。您可以原封不动地使用这些文件,也可以
您可以根据需要对其进行其他更改某些文件必须
启用可选的 Cloud Service Mesh 功能。
当您运行 asmcli 来验证项目和集群时,系统会下载 anthos-service-mesh 软件包。
使用 asmcli install 安装 Cloud Service Mesh 时,
可以使用 --option 或 --custom_overlay 指定一个或多个叠加层文件。
如果您不需要对 anthos-service-mesh 代码库中的文件进行任何更改,则可以使用 --option,该脚本将从 GitHub 中提取文件。否则,您可以更改叠加文件,然后使用 --custom_overlay 选项将其传递给 asmcli。
选择证书授权机构
根据您的使用场景和平台,您可以选择以下选项之一: 用于颁发证书的证书授权机构 (CA) 双向 TLS (mTLS) 证书:
本部分提供了有关每个 CA 选项及其用例的概要信息。
Mesh CA
除非您需要自定义 CA,否则我们建议您使用 Cloud Service Mesh 证书授权机构,原因如下:
- Cloud Service Mesh 证书授权机构是一项高度可靠且可伸缩的服务, 针对动态扩缩的工作负载进行了优化。
- 借助 Cloud Service Mesh 证书授权机构,Google 负责管理安全性和可用性 与 CA 后端相关联。
- Cloud Service Mesh 证书授权机构允许您依赖 集群。
Cloud Service Mesh 证书授权机构提供的证书包含以下数据: 应用的服务:
- Google Cloud 项目 ID
- GKE 命名空间
- GKE 服务账号名称
CA Service
<ph type="x-smartling-placeholder">
除了 Cloud Service Mesh 证书授权机构之外, 您可以配置 Cloud Service Mesh Certificate Authority Service。本指南提供了与 CA Service 集成的机会,建议用于以下使用场景:
- 您需要不同的证书授权机构对不同集群上的工作负载证书签名。
- 您需要将签名密钥备份到代管式 HSM 中。
- 您从事的要是严格监管的行业,且需要遵守法规。
- 如果您希望将 Cloud Service Mesh CA 链接到自定义企业根 来对工作负载证书进行签名。
Cloud Service Mesh 证书授权机构的费用包含在 Cloud Service Mesh 价格。通过 CA Service 未包含在 Cloud Service Mesh 基本价格中, 单独计费。此外, CA Service 附带 明确的服务等级协议 (SLA),但 Cloud Service Mesh 证书授权机构没有提供。
Istio CA
如果满足以下条件,我们建议您使用 Istio CA:
- 您的网格已在使用 Istio CA,您不需要 Cloud Service Mesh 证书授权机构或 CA 服务。
- 您需要自定义根 CA。
- 您有一些非 Google Cloud 工作负载,其不接受 Google Cloud 管理的 CA 服务。
准备网关配置
借助 Cloud Service Mesh,您可以选择在 Cloud SQL 中部署和管理网关, 服务网格网关描述了在网格边缘运行的负载均衡器,用于接收传入或传出 HTTP/TCP 连接。网关是 Envoy 代理,可让您精确控制进出网格的流量。
asmcli 不会安装 istio-ingressgateway。我们建议您单独部署和管理控制平面和网关。如需了解详情,请参阅安装和升级网关。