프로젝트 및 클러스터 직접 설정
asmcli
를 사용하여 Cloud Service Mesh를 설치할 때 --enable_all
플래그나 더욱 세분화된 사용 설정 플래그가 포함된 경우 프로젝트 및 클러스터를 자동으로 구성할 수 있습니다.
asmcli
를 변경하지 않고 직접 설정하려면 이 페이지의 단계를 따르세요.
이전 버전의 Cloud Service Mesh가 이미 설치되어 있는 경우 최신 Cloud Service Mesh 버전으로 업그레이드하기 위해 asmcli
를 사용하기 전에 프로젝트나 클러스터를 변경할 필요가 없습니다.
기본적으로 asmcli
는 istio-ingressgateway
를 설치하지 않습니다. 컨트롤 플레인과 게이트웨이를 개별적으로 배포하고 관리하는 것이 좋습니다.
Cloud Service Mesh는 게이트웨이 배포에 자동 삽입을 지원하므로 Cloud Service Mesh 업그레이드가 더 쉬워집니다. Cloud Service Mesh를 업그레이드한 후 서비스와 마찬가지로 게이트웨이를 다시 시작하여 새 컨트롤 플레인 구성을 선택합니다.
자세한 내용은 게이트웨이 설치 및 업그레이드를 참조하세요.
시작하기 전에
- 기본 요건 및 요구사항(Google Cloud 외부, GKE) 검토
- 설치(Google Cloud 외부, GKE) 또는 업그레이드 계획
- 필요한 도구(Google Cloud 외부, GKE) 설치
프로젝트 설정
클러스터가 생성된 프로젝트의 프로젝트 ID를 가져옵니다.
gcloud
다음 명령어를 실행합니다.
gcloud projects list
콘솔
Google Cloud 콘솔의 대시보드 페이지로 이동합니다.
페이지 상단의 프로젝트 드롭다운 목록을 클릭합니다. 선택 창이 나타나면 프로젝트를 선택합니다.
프로젝트 ID가 프로젝트 대시보드 프로젝트 정보 카드에 표시됩니다.
프로젝트 ID를 사용하여 워크로드 풀의 환경 변수를 만듭니다.
export WORKLOAD_POOL=PROJECT_ID.svc.id.goog
필요한 Identity and Access Management(IAM) 역할을 설정합니다. 프로젝트 소유자인 경우 설치를 완료하는 데 필요한 모든 권한이 있습니다. 프로젝트 소유자가 아닌 경우 다음과 같은 특정 IAM 역할을 부여할 사람이 필요합니다. 다음 명령어에서
PROJECT_ID
를 이전 단계의 프로젝트 ID로 바꾸고GCP_EMAIL_ADDRESS
를 Google Cloud에 로그인하는 데 사용하는 계정으로 바꿉니다.ROLES=( 'roles/servicemanagement.admin' \ 'roles/serviceusage.serviceUsageAdmin' \ 'roles/meshconfig.admin' \ 'roles/compute.admin' \ 'roles/container.admin' \ 'roles/resourcemanager.projectIamAdmin' \ 'roles/iam.serviceAccountAdmin' \ 'roles/iam.serviceAccountKeyAdmin' \ 'roles/gkehub.admin') for role in "${ROLES[@]}" do gcloud projects add-iam-policy-binding PROJECT_ID \ --member "user:GCP_EMAIL_ADDRESS" \ --role="$role" done
asmcli
를 실행할 때--enable_all
또는--enable_gcp_iam_roles
플래그를 포함하면 필수 IAM 역할이 자동으로 설정됩니다.필요한 Google API를 사용 설정합니다.
gcloud services enable \ --project=PROJECT_ID \ mesh.googleapis.com
mesh.googleapis.com
외에도 이 명령어는 다음 API를 사용 설정합니다.API 목적 사용 중지할 수 있는가? meshconfig.googleapis.com
Cloud Service Mesh는 Mesh 구성 API를 사용하여 메시의 구성 데이터를 Google Cloud로 릴레이합니다. 또한 Mesh Configuration API를 사용 설정하면 Google Cloud 콘솔에서 Cloud Service Mesh 페이지에 액세스하고 Cloud Service Mesh 인증 기관을 사용할 수 있습니다. 아니요 meshca.googleapis.com
관리형 Cloud Service Mesh에서 사용하는 Cloud Service Mesh 인증 기관과 관련이 있습니다. 아니요 container.googleapis.com
Google Kubernetes Engine(GKE) 클러스터를 만드는 데 필요합니다. 아니요 gkehub.googleapis.com
메시를 Fleet으로 관리하는 데 필요합니다. 아니요 monitoring.googleapis.com
메시 워크로드에 대한 원격 분석을 캡처하는 데 필요합니다. 아니요 stackdriver.googleapis.com
서비스 UI를 사용하는 데 필요합니다. 아니요 opsconfigmonitoring.googleapis.com
Google Cloud 외부 클러스터에 서비스 UI를 사용하는 데 필요합니다. 아니요 connectgateway.googleapis.com
관리형 Cloud Service Mesh 컨트롤 플레인에서 메시 워크로드에 액세스할 수 있도록 하는 데 필요합니다. 예* trafficdirector.googleapis.com
가용성이 높고 확장 가능한 관리형 컨트롤 플레인을 사용 설정합니다. 예* networkservices.googleapis.com
가용성이 높고 확장 가능한 관리형 컨트롤 플레인을 사용 설정합니다. 예* networksecurity.googleapis.com
가용성이 높고 확장 가능한 관리형 컨트롤 플레인을 사용 설정합니다. 예* API를 사용 설정하려면 완료하는 데 1분 이상 걸릴 수 있습니다. API가 사용 설정되면 다음과 비슷한 출력이 표시됩니다.
Operation "operations/acf.601db672-88e6-4f98-8ceb-aa3b5725533c" finished successfully.
asmcli
를 실행할 때--enable_all
또는--enable_apis
플래그를 포함하면 필수 API가 자동으로 사용 설정됩니다.
클러스터 설정
--enable_all
플래그 또는 더욱 세분화된 사용 설정 플래그 중 하나를 포함하면 asmcli
에서 자동으로 클러스터를 설정합니다.
프로젝트를 설치할 수 있도록 초기화합니다. 무엇보다도 이 명령어는 사이드카 프록시와 같은 데이터 영역 구성요소가 프로젝트의 데이터 및 리소스에 안전하게 액세스할 수 있도록 서비스 계정을 만듭니다. 다음 명령어에서
FLEET_PROJECT_ID
를 Fleet 호스트 프로젝트로 바꿉니다.curl --request POST \ --header "Authorization: Bearer $(gcloud auth print-access-token)" \ --header "Content-Type: application/json" \ --data '{"workloadIdentityPools":["FLEET_PROJECT_ID.hub.id.goog","FLEET_PROJECT_ID.svc.id.goog","PROJECT_ID.svc.id.goog"]}' \ "https://meshconfig.googleapis.com/v1alpha1/projects/PROJECT_ID:initialize"
이 명령어는 빈 중괄호(
{}
)를 사용하여 응답합니다.Google Cloud 기반 GKE 클러스터의 경우 Google Cloud CLI의 기본 영역 또는 리전을 설정합니다. 여기서 기본값을 설정하지 않으면 이 페이지의
gcloud container clusters
명령어에--zone
또는--region
옵션을 지정해야 합니다.단일 영역 클러스터가 있는 경우 기본 영역을 설정합니다.
gcloud config set compute/zone CLUSTER_LOCATION
리전 클러스터가 있는 경우 기본 리전을 설정합니다.
gcloud config set compute/region CLUSTER_LOCATION
Google Cloud 기반 GKE 클러스터의 경우 워크로드 아이덴티티를 사용 설정합니다.
gcloud container clusters update CLUSTER_NAME \ --project=PROJECT_ID \ --workload-pool=${WORKLOAD_POOL}
워크로드 아이덴티티를 사용 설정하는 데 최대 10~15분이 걸릴 수 있습니다.
Google Cloud 기반 GKE 클러스터의 경우 GKE에서 Cloud Monitoring 및 Cloud Logging을 사용 설정합니다.
gcloud container clusters update CLUSTER_NAME \ --project=PROJECT_ID \ --enable-stackdriver-kubernetes
이제 asmcli
를 사용하여 프로젝트와 클러스터를 새로 설치할 수 있습니다.