Eseguire l'onboarding dei carichi di lavoro Kubernetes

Questa pagina mostra come eseguire l'onboarding dei carichi di lavoro Kubernetes con Cloud Service Mesh.

Esegui il deployment dei servizi Kubernetes

Per eseguire il deployment dei servizi Kubernetes nei cluster con Cloud Service Mesh, devi fare quanto segue:

  • Crea servizi Kubernetes per tutti i container. Tutti i deployment devono avere un servizio Kubernetes collegato.

  • Assegna un nome alle porte del servizio. Anche se GKE ti consente di definire porte di servizio senza nome, Cloud Service Mesh richiede di fornire un nome per una porta che corrisponda al protocollo della porta.

  • Etichetta i tuoi deployment. In questo modo puoi utilizzare le funzionalità di gestione del traffico di Cloud Service Mesh, ad esempio la suddivisione del traffico tra le versioni dello stesso servizio.

Il seguente esempio di deployment e servizio illustra questi requisiti:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: helloserver
spec:
  replicas: 1
  selector:
    matchLabels:
      app: helloserver
  template:
    metadata:
      labels:
        app: helloserver
    spec:
      containers:
      - image: gcr.io/google-samples/istio/helloserver:v0.0.1
        imagePullPolicy: Always
        name: main
      restartPolicy: Always
      terminationGracePeriodSeconds: 5
 
apiVersion: v1
kind: Service
metadata:
  name: hellosvc
spec:
  ports:
  - name: http
    port: 80
    targetPort: 8080
  selector:
    app: helloserver
  type: LoadBalancer

Dopo aver eseguito il deployment dei servizi su un cluster con Cloud Service Mesh, assicurati di inserire proxy sidecar.

Esempio: esegui il deployment dell'esempio Online Boutique

L'applicazione di esempio Online Boutique nel repository anthos-service-mesh-packages è modificata rispetto al set originale di manifest nel repository microservices-demo. Seguendo le best practice, ogni servizio viene implementato in uno spazio dei nomi separato con un account di servizio univoco.

  1. Crea gli spazi dei nomi per l'applicazione:

    kubectl apply -f \
  DIR_PATH/samples/online-boutique/kubernetes-manifests/namespaces

    Output previsto:

    namespace/ad created
namespace/cart created
namespace/checkout created
namespace/currency created
namespace/email created
namespace/frontend created
namespace/loadgenerator created
namespace/payment created
namespace/product-catalog created
namespace/recommendation created
namespace/shipping created

  2. Abilita gli spazi dei nomi per l'inserimento. I passaggi dipendono dall'implementazione del control plane.

    Gestito (TD)

    Applica l'etichetta di inserimento predefinita allo spazio dei nomi:

    for ns in ad cart checkout currency email frontend loadgenerator payment product-catalog recommendation shipping; do
  kubectl label namespace $ns \
      istio.io/rev- istio-injection=enabled --overwrite
done;

    Gestito (Istiod)

    Consigliato:esegui questo comando per applicare l'etichetta di inserimento predefinita allo spazio dei nomi:

      for ns in ad cart checkout currency email frontend loadgenerator payment product-catalog recommendation shipping; do
    kubectl label namespace $ns \
        istio.io/rev- istio-injection=enabled --overwrite
  done;

    Se sei un utente esistente con il piano di controllo Istiod gestito: ti consigliamo di utilizzare l'inserimento predefinito, ma è supportato anche l'inserimento basato sulla revisione. Segui queste istruzioni:

    1. Esegui questo comando per individuare i canali di rilascio disponibili:

      kubectl -n istio-system get controlplanerevision

      L'output è simile al seguente:

      NAME                AGE
asm-managed-rapid   6d7h

      Nell'output, il valore nella colonna NAME è l'etichetta della revisione corrispondente al canale di rilascio disponibile per la versione di Cloud Service Mesh.

    2. Applica l'etichetta di revisione allo spazio dei nomi:

      for ns in ad cart checkout currency email frontend loadgenerator payment product-catalog recommendation shipping; do
  kubectl label namespace $ns \
      istio-injection- istio.io/rev=REVISION_LABEL --overwrite
done;

    In-cluster

    Consigliato:esegui questo comando per applicare l'etichetta di inserimento predefinita allo spazio dei nomi:

      for ns in ad cart checkout currency email frontend loadgenerator payment product-catalog recommendation shipping; do
    kubectl label namespace $ns \
        istio.io/rev- istio-injection=enabled --overwrite
  done;

    Ti consigliamo di utilizzare l'inserimento predefinito, ma è supportato anche l'inserimento basato sulla revisione: Segui queste istruzioni:

    1. Utilizza il seguente comando per individuare l'etichetta della revisione su istiod:

      kubectl get deploy -n istio-system -l app=istiod -o \
   jsonpath={.items[*].metadata.labels.'istio\.io\/rev'}'{"\n"}'

    2. Applica l'etichetta di revisione allo spazio dei nomi. Nel seguente comando, REVISION_LABEL è il valore dell'etichetta di revisione istiod che hai annotato nel passaggio precedente.

      for ns in ad cart checkout currency email frontend loadgenerator payment product-catalog recommendation shipping; do
  kubectl label namespace $ns \
      istio-injection- istio.io/rev=REVISION_LABEL --overwrite
done;

  3. Esegui il deployment dell'applicazione di esempio nel cluster.

    1. Crea i service account e i deployment:

      kubectl apply -f \
 DIR_PATH/samples/online-boutique/kubernetes-manifests/deployments

      Output previsto:

      serviceaccount/ad created
deployment.apps/adservice created
serviceaccount/cart created
deployment.apps/cartservice created
serviceaccount/checkout created
deployment.apps/checkoutservice created
serviceaccount/currency created
deployment.apps/currencyservice created
serviceaccount/email created
deployment.apps/emailservice created
serviceaccount/frontend created
deployment.apps/frontend created
serviceaccount/loadgenerator created
deployment.apps/loadgenerator created
serviceaccount/payment created
deployment.apps/paymentservice created
serviceaccount/product-catalog created
deployment.apps/productcatalogservice created
serviceaccount/recommendation created
deployment.apps/recommendationservice created
serviceaccount/shipping created
deployment.apps/shippingservice created

    2. Crea i servizi:

      kubectl apply -f \
 DIR_PATH/samples/online-boutique/kubernetes-manifests/services

      Output previsto:

      service/adservice created
service/cartservice created
service/checkoutservice created
service/currencyservice created
service/emailservice created
service/frontend created
service/frontend-external created
service/paymentservice created
service/productcatalogservice created
service/recommendationservice created
service/shippingservice created

    3. Crea le voci di servizio:

      kubectl apply -f \
 DIR_PATH/samples/online-boutique/istio-manifests/allow-egress-googleapis.yaml

      Output previsto:

      serviceentry.networking.istio.io/allow-egress-googleapis created
serviceentry.networking.istio.io/allow-egress-google-metadata created

Assegnazione di nomi alle porte dei servizi

Per essere incluse in Cloud Service Mesh, le porte di servizio devono avere un nome e il nome deve includere il protocollo della porta, ad esempio:

apiVersion: v1
kind: Service
metadata:
  name: ratings
  labels:
    app: ratings
    service: ratings
spec:
  ports:
  - port: 9080
    name: http

Il nome della porta di servizio può includere un suffisso nella seguente sintassi: name: protocol[-suffix] dove le parentesi quadre indicano un suffisso facoltativo che deve iniziare con un trattino, ad esempio:

kind: Service
metadata:
  name: myservice
spec:
  ports:
  - number: 3306
    name: mysql
  - number: 80
    name: http-web

Affinché le metriche vengano visualizzate nella console Google Cloud , le porte di servizio devono essere denominate con uno dei seguenti protocolli: http, http2 o grpc. Le porte di servizio denominate con il protocollo https vengono trattate cometcp e le metriche non vengono visualizzate per questi servizi.

Inserimento di proxy sidecar

Questa sezione descrive come configurare l'inserimento del proxy sidecar con Cloud Service Mesh per migliorare la sicurezza, l'affidabilità e l'osservabilità della rete. Queste funzioni vengono estratte dal contenitore principale dell'applicazione e implementate in un proxy out-of-process comune (il sidecar), fornito come contenitore separato nello stesso pod. Puoi utilizzare le funzionalità di Cloud Service Mesh senza riprogettare le applicazioni di produzione per partecipare a un mesh di servizi.

L'inserimento automatico del proxy sidecar (inserimento automatico) si verifica quando Cloud Service Mesh rileva un'etichetta dello spazio dei nomi che configuri per il pod del carico di lavoro. Il proxy intercetta tutto il traffico in entrata e in uscita verso i carichi di lavoro e comunica con Cloud Service Mesh.

Attivazione dell'inserimento automatico di sidecar

  1. Attiva lo spazio dei nomi per l'inserimento. I passaggi dipendono dall'implementazione del control plane.

    Gestito (TD)

    1. Applica l'etichetta di inserimento predefinita allo spazio dei nomi:
    kubectl label namespace NAMESPACE
    istio.io/rev- istio-injection=enabled --overwrite

    Gestito (Istiod)

    Consigliato:esegui questo comando per applicare l'etichetta di inserimento predefinita allo spazio dei nomi:

      kubectl label namespace NAMESPACE \
      istio.io/rev- istio-injection=enabled --overwrite

    Se sei un utente esistente con il piano di controllo Istiod gestito: ti consigliamo di utilizzare l'inserimento predefinito, ma è supportato anche l'inserimento basato sulla revisione. Segui queste istruzioni:

    1. Esegui questo comando per individuare i canali di rilascio disponibili:

      kubectl -n istio-system get controlplanerevision

      L'output è simile al seguente:

      NAME                AGE
asm-managed-rapid   6d7h

      NOTA: se nell'elenco precedente sono presenti due revisioni del control plane, rimuovine una. Non è supportato l'utilizzo di più canali del control plane nel cluster.

      Nell'output, il valore nella colonna NAME è l'etichetta della revisione corrispondente al canale di rilascio disponibile per la versione di Cloud Service Mesh.

    2. Applica l'etichetta di revisione allo spazio dei nomi:

      kubectl label namespace NAMESPACE \
    istio-injection- istio.io/rev=REVISION_LABEL --overwrite

    In-cluster

    Consigliato:esegui questo comando per applicare l'etichetta di inserimento predefinita allo spazio dei nomi:

      kubectl label namespace NAMESPACE \
      istio.io/rev- istio-injection=enabled --overwrite

    Ti consigliamo di utilizzare l'inserimento predefinito, ma è supportato anche l'inserimento basato sulla revisione: Segui queste istruzioni:

    1. Utilizza il seguente comando per individuare l'etichetta della revisione su istiod:

      kubectl get deploy -n istio-system -l app=istiod -o \
   jsonpath={.items[*].metadata.labels.'istio\.io\/rev'}'{"\n"}'

    2. Applica l'etichetta di revisione allo spazio dei nomi. Nel seguente comando, REVISION_LABEL è il valore dell'etichetta di revisione istiod che hai annotato nel passaggio precedente.

      kubectl label namespace NAMESPACE \
    istio-injection- istio.io/rev=REVISION_LABEL --overwrite

  2. Riavvia i pod interessati seguendo i passaggi descritti nella sezione successiva.

  3. Annota lo spazio dei nomi demo come segue:

    kubectl annotate --overwrite namespace NAMESPACE \
mesh.cloud.google.com/proxy='{"managed":"true"}'

Riavvia i pod per aggiornare i proxy sidecar

Con l'inserimento automatico di sidecar, puoi aggiornare i sidecar per i pod esistenti con un riavvio del pod:

La modalità di riavvio dei pod dipende dal fatto che siano stati creati come parte di un deployment.

  1. Se hai utilizzato un deployment, riavvialo, in modo da riavviare tutti i pod con i sidecar:

    kubectl rollout restart deployment -n NAMESPACE

    Se non hai utilizzato un deployment, elimina i pod e questi vengono ricreati automaticamente con i sidecar:

    kubectl delete pod -n NAMESPACE --all

  2. Verifica che tutti i pod nello spazio dei nomi abbiano i sidecar inseriti:

    kubectl get pod -n NAMESPACE

    Nell'output di esempio seguente del comando precedente, nota che la colonna READY indica che ci sono due container per ciascuno dei tuoi carichi di lavoro: il container principale e il container per il proxy sidecar.

    NAME                    READY   STATUS    RESTARTS   AGE
WORKLOAD           2/2     Running   0          20s
...