Anthos Service Mesh et Traffic Director sont désormais Cloud Service Mesh. Pour en savoir plus, consultez la présentation de Cloud Service Mesh.

Cette page a été traduite par l'API Cloud Translation.

Planifier une installation

Cette page fournit des informations pour vous aider à planifier une nouvelle installation de Cloud Service Mesh dans le cluster pour les charges de travail Kubernetes hors de Google Cloud.

Personnaliser le plan de contrôle

Les fonctionnalités compatibles avec Cloud Service Mesh diffèrent d'une plate-forme à l'autre. Nous vous recommandons de consulter la page Fonctionnalités compatibles pour connaître les fonctionnalités compatibles avec votre plate-forme. Certaines fonctionnalités sont activées par défaut, et d'autres que vous pouvez activer en créant un IstioOperator de superposition. Lorsque vous exécutez asmcli install, vous pouvez personnaliser le plan de contrôle en spécifiant le --custom_overlay avec le fichier de superposition. Nous vous conseillons d'enregistrer les fichiers superposés dans votre système de contrôle des versions.

La Annuaire asmcli dans GitHub contient de nombreux fichiers de superposition. Ces fichiers contiennent des personnalisations courantes à la configuration par défaut. Vous pouvez utiliser ces fichiers tels quels ou apportez-y des modifications supplémentaires si nécessaire. Certains des fichiers sont nécessaires pour activer les fonctionnalités facultatives de Cloud Service Mesh. Le package anthos-service-mesh est téléchargé lorsque vous exécutez asmcli pour valider votre projet et votre cluster.

Lorsque vous installez Cloud Service Mesh à l'aide de asmcli install, vous Vous pouvez spécifier un ou plusieurs fichiers de superposition avec --option ou --custom_overlay. Si vous n'avez pas besoin de modifier les fichiers du dépôt anthos-service-mesh, vous pouvez utiliser --option. Le script récupère alors le fichier depuis GitHub à votre place. Sinon, vous pouvez apporter des modifications au fichier de superposition, puis utiliser l'option --custom_overlay pour le transmettre au script asmcli.

Choisir une autorité de certification

Selon votre cas d'utilisation et votre plate-forme, vous pouvez choisir l'une des options suivantes l'autorité de certification (CA) pour émettre TLS mutuel (mTLS) certificats:

Cette section fournit des informations générales sur chacune de ces options d'autorité de certification et leurs cas d'utilisation.

Mesh CA

Si vous n'avez pas besoin d'une autorité de certification personnalisée, nous vous recommandons d'utiliser l'autorité de certification Cloud Service Mesh pour les raisons suivantes:

L'autorité de certification Cloud Service Mesh est un service hautement fiable et évolutif optimisés pour les charges de travail à scaling dynamique.
Avec l'autorité de certification Cloud Service Mesh, Google gère la sécurité et la disponibilité du backend de l'autorité de certification.
L'autorité de certification Cloud Service Mesh vous permet de compter sur une seule racine de confiance sur clusters.

Les certificats de l'autorité de certification Cloud Service Mesh incluent les données suivantes sur les services de votre application:

L'ID de projet Google Cloud
L'espace de noms GKE
Le nom du compte de service GKE

Service d'autorité de certification

</ph> Remarque sur la plate-forme:Le service CA n'est compatible qu'avec le les plates-formes suivantes: clusters GKE sur Google Cloud, Google Distributed Cloud et Distributed Cloud. Si vous exécutez asmcli install et spécifiez --ca gcp_cas sur d'autres plates-formes, l'installation semble fonctionner, mais vos charges de travail ne pourront pas démarrer

En plus de l'autorité de certification Cloud Service Mesh, vous pouvez configurer Cloud Service Mesh Certificate Authority Service. Ce guide vous offre l'occasion d'intégrer le service CA, qui est recommandé pour les cas d'utilisation suivants :

Vous avez besoin de plusieurs autorités de certification différentes pour signer des certificats de charge de travail sur différents clusters.
Vous devez sauvegarder vos clés de signature dans un HSM géré.
Vous travaillez dans un secteur hautement réglementé et vous êtes soumis à des exigences de conformité.
Si vous souhaitez associer votre CA Cloud Service Mesh à une autorité de certification racine personnalisée pour signer les certificats de charge de travail.

Le coût de l'autorité de certification Cloud Service Mesh est inclus dans le Tarifs de Cloud Service Mesh La CA Service n'est pas inclus dans le tarif de base de Cloud Service Mesh et facturés séparément. En outre, CA Service est fourni avec contrat de niveau de service explicite, ce qui n'est pas le cas de l'autorité de certification Cloud Service Mesh.

Istio CA

Nous vous recommandons d'utiliser l'autorité de certification Istio si vous répondez aux critères suivants :

Votre maillage utilise déjà l'autorité de certification Istio. Vous n'avez donc pas besoin des avantages offerts par Autorité de certification (ou service CA) de Cloud Service Mesh.
Vous avez besoin d'une autorité de certification racine personnalisée.
Vous avez des charges de travail en dehors de Google Cloud pour lesquelles un service d'autorité de certification géré par Google Cloud n'est pas acceptable.

Préparer la configuration de la passerelle

Cloud Service Mesh vous permet de déployer et de gérer des passerelles dans le cadre le maillage de services. Une passerelle décrit un équilibreur de charge fonctionnant à la périphérie du réseau maillé recevant des connexions HTTP/TCP entrantes ou sortantes. Les passerelles sont des proxys Envoy qui vous permettent de contrôler avec précision le trafic entrant et sortant du réseau maillé.

asmcli n'installe pas istio-ingressgateway. Nous vous recommandons de déployer et de gérer le plan de contrôle et les passerelles séparément. Pour plus plus d'informations, consultez Installer et mettre à niveau des passerelles.

Étape suivante

Installer les outils dépendants et valider le cluster