Die Migration von Istio zu Anthos Service Mesh erfordert eine gewisse Planung. Auf dieser Seite finden Sie Informationen, die Ihnen bei der Vorbereitung auf die Migration helfen.
Unterstützte Funktionen überprüfen
Die von Anthos Service Mesh unterstützten Funktionen unterscheiden sich von Plattform zu Plattform. Unter Unterstützte Funktionen finden Sie die für Ihre Plattform verfügbaren Funktionen. Einige Funktionen sind standardmäßig aktiviert, andere können optional aktiviert werden. Erstellen Sie dazu eine IstioOperator-Konfigurationsdatei.
Konfigurationsdateien vorbereiten
Wenn Sie die Istio-Installation angepasst haben, müssen Sie für die Migration zu Anthos Service Mesh die gleichen Anpassungen vornehmen. Wenn Sie die Installation durch Hinzufügen des Flags --set values angepasst haben, fügen Sie diese Einstellungen in eine YAML-Datei vom Typ IstioOperator ein. Sie geben die Datei mit dem Flag -f an, wenn Sie den Befehl istioctl install ausführen. Wenn Sie das von Google bereitgestellte install_asm-Skript für die Migration zu Anthos Service Mesh verwenden, können Sie die Option --custom_overlay mit der Datei festlegen.
Zertifizierungsstelle auswählen
Sie können weiterhin Istio CA (früher Citadel) als Zertifizierungsstelle für die Erstellung von gegenseitigen TLS (mTLS)-Zertifikaten verwenden. Sie können aber auch zur Anthos Service Mesh-Zertifizierungsstelle (Mesh CA) migrieren.
Sofern Sie keine benutzerdefinierte Zertifizierungsstelle wie HashiCorp Vault benötigen, empfehlen wir aus folgenden Gründen, Mesh CA zu verwenden:
- Mesh CA ist ein zuverlässiger und skalierbarer Dienst, der für dynamisch skalierte Arbeitslasten in Google Cloud optimiert ist.
- Mit Mesh CA verwaltet Google die Sicherheit und Verfügbarkeit des CA-Back-Ends.
- Mesh CA ermöglicht es Ihnen, sich für alle Cluster auf eine einzige Root of Trust zu verlassen.
Für die Migration von der Istio-Zertifizierungsstelle zu Mesh CA ist es erforderlich, den Root of Trust zu migrieren. Sie haben bei der Migration zu Mesh CA die folgenden Optionen:
Planen Sie Ausfallzeiten für die Migration. Im Betrieb ist dies die einfachste Option. Da mTLS-Traffic jedoch während der Migration unterbrochen wird, müssen Sie Ausfallzeiten planen. Weitere Informationen finden Sie in folgenden Leitfäden:
GKE-Cluster in denselben Projekten: Migration zu Mesh CA mit Ausfallzeiten.
GKE-Cluster in verschiedenen Projekten: Von Istio zu Anthos Service Mesh migrieren.
Wenn Sie keine Ausfallzeiten für die Migration zu Mesh CA planen können, haben Sie folgende Möglichkeiten:
GKE-Cluster im selben Projekt: Sie haben die Möglichkeit, den neuen Root of Trust zu verteilen und dann zu Mesh CA zu migrieren. Bei diesem Ansatz wird mTLS-Traffic nicht unterbrochen, sodass Sie keine Ausfallzeiten planen müssen. Der Migrationsprozess umfasst jedoch viele weitere Schritte. Weitere Informationen finden Sie unter Zu Mesh CA migrieren.
GKE-Cluster in verschiedenen Projekten: Verwenden Sie weiterhin Istio CA. Siehe Von Istio zu Anthos Service Mesh migrieren.