Versão1.11

Preparar-se para migrar do Istio

Migrar do Istio para o Anthos Service Mesh exige planejamento. Nesta página, você encontra informações para se preparar para a migração.

Como revisar os recursos compatíveis

Os recursos do Anthos Service Mesh são compatíveis com as diferentes plataformas. Consulte os Recursos compatíveis para ver quais recursos estão disponíveis para sua plataforma. Alguns recursos são ativados por padrão, e outros podem ser ativados opcionalmente criando um arquivo de configuração IstioOperator.

Como preparar arquivos de configuração

Se você personalizar a instalação do Istio, precisará das mesmas personalizações ao migrar para o Anthos Service Mesh. Se você tiver personalizado a instalação adicionando a sinalização --set values, adicione essas configurações a um arquivo YAML IstioOperator. Especifique o arquivo usando a sinalização -f ao executar o comando istioctl install. Se você estiver usando o script install_asm fornecido pelo Google para migrar para o Anthos Service Mesh, especifique o --custom_overlay no arquivo.

Como escolher uma autoridade de certificação

É possível continuar usando a CA do Istio (anteriormente conhecida como Citadel) como autoridade de certificação (CA) para emitir TLS mútuo (mTLS, na sigla em inglês) ou migrar para a autoridade de certificação do Anthos Service Mesh (Mesh CA).

A menos que você precise de uma CA personalizada, como o HashiCorp Vault (em inglês), recomendamos que use o Mesh CA pelos seguintes motivos:

  • A Mesh CA é um serviço altamente confiável e escalonável, otimizado para cargas de trabalho escalonadas dinamicamente no Google Cloud.
  • Com ela, o Google gerencia a segurança e a disponibilidade do back-end da CA.
  • Esta autoridade de certificação possibilita confiar em uma única raiz de confiança entre os clusters.

A migração da CA do Mesh a partir da CA do Istio requer a migração da raiz de confiança. Você tem as seguintes opções ao migrar para o Mesh CA:

  • Programar o tempo de inatividade da migração. Operacionalmente, essa é a opção mais fácil, mas como o tráfego mTLS é interrompido durante a migração, é necessário programar o tempo de inatividade. Para mais informações, consulte estes guias:

  • Se não for possível programar o tempo de inatividade da migração para o Mesh CA, você terá as seguintes opções:

    • Clusters do GKE no mesmo projeto: você tem a opção de distribuir a nova raiz de confiança e, em seguida, migrar para a autoridade de certificação. Com essa abordagem, o tráfego mTLS não é interrompido. Portanto, não é necessário agendar tempo de inatividade, mas o processo de migração tem muito mais etapas. Para mais informações, consulte Como migrar para a CA da malha.

    • Clusters do GKE em projetos diferentes: continue usando a CA do Istio. Consulte Como migrar do Istio para o Anthos Service Mesh.