Planejar uma instalação
Esta página fornece informações para ajudar você a planejar uma nova instalação do Cloud Service Mesh no cluster para cargas de trabalho do Kubernetes fora do Google Cloud.
Personalizar o plano de controle
Os recursos compatíveis com o Cloud Service Mesh são diferentes entre as plataformas. Recomendamos que você revise os Recursos compatíveis para saber quais recursos são compatíveis com sua plataforma. Alguns recursos estão ativados
por padrão, além de outros que podem ser ativados opcionalmente criando um IstioOperator
arquivo de sobreposição. Ao executar asmcli install
, é possível personalizar o plano de controle
especificando a opção --custom_overlay
com o arquivo de sobreposição. Como prática recomendada,
salve os arquivos de sobreposição no seu sistema de controle de versões.
O
Diretório asmcli
no GitHub contém muitos arquivos de sobreposição. Esses arquivos contêm personalizações comuns
à configuração padrão. É possível usar esses arquivos como estão ou
fazer outras alterações neles conforme necessário. Alguns dos arquivos são necessários para
ativar recursos opcionais do Cloud Service Mesh.
O pacote anthos-service-mesh
é transferido por download ao executar asmcli
para
validar o projeto e o cluster.
Ao instalar o Cloud Service Mesh usando asmcli install
, é
possível especificar um ou mais arquivos de sobreposição com --option
ou --custom_overlay
.
Caso você não precise fazer mudanças nos arquivos no repositório
anthos-service-mesh
, use --option
e o script buscará o arquivo no GitHub
para você. Caso contrário, você pode fazer alterações no arquivo de sobreposição e usar a
opção --custom_overlay
para passá-la para asmcli
.
Escolher uma autoridade de certificação
Dependendo do caso de uso e da plataforma, é possível escolher uma das seguintes opções como a autoridade certificadora (AC) para emitir certificados TLS mútuos (mTLS):
Nesta seção, você encontra informações de alto nível sobre cada uma dessas opções de CA e os respectivos casos de uso.
CA da malha
A menos que você precise de uma AC personalizada, recomendamos que use a autoridade certificadora do Cloud Service Mesh pelos seguintes motivos:
- A autoridade de certificação do Cloud Service Mesh é um serviço altamente confiável e escalonável, otimizado para cargas de trabalho escalonadas dinamicamente.
- Com a autoridade certificadora do Cloud Service Mesh, o Google gerencia a segurança e a disponibilidade do back-end da AC.
- A autoridade de certificação do Cloud Service Mesh permite que você confie em uma única raiz de confiança clusters.
Os certificados da autoridade certificadora do Cloud Service Mesh incluem os seguintes dados sobre os serviços do aplicativo:
- O ID do projeto do Google Cloud
- O namespace do GKE
- O nome da conta de serviço do GKE
Serviço de CA
Além da autoridade de certificação do Cloud Service Mesh, é possível configurar o Cloud Service Mesh para usar Certificate Authority Service. Este guia oferece uma oportunidade de integração com o serviço de CA, o que é recomendado para os seguintes casos de uso:
- Se você precisar de autoridades de certificação diferentes para assinar certificados de carga de trabalho em clusters diferentes.
- Se você precisar fazer backup das chaves de assinatura em um HSM gerenciado.
- sua empresa é altamente regulada e está sujeita a conformidade.
- Se você quiser encadear a CA do Cloud Service Mesh a uma raiz corporativa personalizada para assinar certificados de carga de trabalho.
O custo da autoridade certificadora do Cloud Service Mesh está incluído no preço do Cloud Service Mesh. O serviço de CA não está incluído no preço base do Cloud Service Mesh e é cobrado separadamente. Além disso, o serviço da CA vem com um SLA explícito, mas a autoridade certificadora do Cloud Service Mesh não.
CA do Istio
Recomendamos que você use a CA do Istio se atender aos seguintes critérios:
- Sua malha já usa a CA do Istio e você não precisa dos benefícios ativados pelo Autoridade de certificação do Cloud Service Mesh ou serviço de AC.
- Você precisa de uma CA raiz personalizada.
- Você tem cargas de trabalho fora do Google Cloud em que um serviço de CA gerenciado pelo Google Cloud não é aceitável.
Preparar a configuração do gateway
O Cloud Service Mesh oferece a opção de implantar e gerenciar gateways como parte da malha de serviço. Um gateway descreve um balanceador de carga operando na borda da malha que recebe conexões HTTP/TCP de entrada ou saída. Os gateways são proxies Envoy que fornecem um controle refinado sobre o tráfego que entra e sai da malha.
O app asmcli
não instala o istio-ingressgateway
. Recomendamos
que você implante e gerencie o plano de controle e os gateways separadamente. Para mais informações, consulte
Como instalar e fazer upgrade de gateways.