Configure seu projeto e crie um cluster
do tipoQuando você instala o Cloud Service Mesh usando
asmcli
, ele pode
configurar o projeto e o cluster para
você se incluir a sinalização --enable_all
ou as
sinalizações de ativação mais granulares.
Se você preferir fazer a configuração por conta própria em vez de deixar que asmcli
faça as
alterações, siga as etapas nesta página.
Se você já tiver uma versão anterior do Cloud Service Mesh instalada, não
será necessário fazer alterações no projeto ou no cluster antes de usar
asmcli
para fazer upgrade para a versão mais recente
do Cloud Service Mesh.
Por padrão, asmcli
não instala o istio-ingressgateway
. Recomendamos
que você implante e gerencie o plano de controle e os gateways separadamente.
O Cloud Service Mesh oferece suporte à injeção automática para implantações de gateway, o que facilita
os upgrades do Cloud Service Mesh. Depois de fazer upgrade do Cloud Service Mesh, reinicie os
gateways da mesma forma que seus serviços para escolher a nova configuração do plano de controle.
Para mais informações, consulte
Como instalar e fazer upgrade de gateways.
Antes de começar
- Analise os pré-requisitos e requisitos (fora do Google Cloud, GKE)
- Planeje a instalação (fora do Google Cloud, GKE) ou o upgrade
- Instalar as ferramentas necessárias (fora do Google Cloud, GKE)
Crie o projeto
Consiga o ID do projeto em que o cluster foi criado.
gcloud
Execute este comando:
gcloud projects list
Console
Acesse a página Painel no console do Google Cloud:
Clique na lista suspensa na parte superior da página. Na janela Selecionar a partir de exibida, selecione seu projeto.
O ID do projeto é exibido no card Informações do projeto do Painel.
Crie uma variável de ambiente para o pool de carga de trabalho usando o ID do projeto:
export WORKLOAD_POOL=PROJECT_ID.svc.id.goog
Defina os papéis necessários de gerenciamento de identidade e acesso (IAM, na sigla em inglês). Se você for um proprietário do projeto, terá todas as permissões necessárias para concluir a instalação. Se você não for proprietário do projeto, precisará que o proprietário conceda os seguintes papéis específicos do IAM. No comando a seguir, substitua
PROJECT_ID
pelo ID do projeto da etapa anterior eGCP_EMAIL_ADDRESS
pela conta que você usa para fazer login no Google Cloud.ROLES=( 'roles/servicemanagement.admin' \ 'roles/serviceusage.serviceUsageAdmin' \ 'roles/meshconfig.admin' \ 'roles/compute.admin' \ 'roles/container.admin' \ 'roles/resourcemanager.projectIamAdmin' \ 'roles/iam.serviceAccountAdmin' \ 'roles/iam.serviceAccountKeyAdmin' \ 'roles/gkehub.admin') for role in "${ROLES[@]}" do gcloud projects add-iam-policy-binding PROJECT_ID \ --member "user:GCP_EMAIL_ADDRESS" \ --role="$role" done
Se você incluir a sinalização
--enable_all
ou--enable_gcp_iam_roles
ao executarasmcli
, ela definirá os papéis obrigatórios do IAM para você.Ative as APIs do Google necessárias:
gcloud services enable \ --project=PROJECT_ID \ mesh.googleapis.com
Além de
mesh.googleapis.com
, esse comando também ativa as seguintes APIs:API Finalidade Pode ser desativada? meshconfig.googleapis.com
O Cloud Service Mesh usa a API Mesh Configuration para redirecionar os dados de configuração da malha para o Google Cloud. Além disso, ativar a API Mesh Configuration permite acessar as páginas do Cloud Service Mesh no console do Google Cloud e usar a autoridade de certificação do Cloud Service Mesh. No meshca.googleapis.com
Relacionada à autoridade de certificação do Cloud Service Mesh usada pelo Cloud Service Mesh gerenciado. No container.googleapis.com
Necessária para a criação de clusters do Google Kubernetes Engine (GKE). No gkehub.googleapis.com
Necessária para o gerenciamento da malha como uma frota. No monitoring.googleapis.com
Necessária para a captura da telemetria de cargas de trabalho da malha. No stackdriver.googleapis.com
Necessária para uso da interface dos serviços. No opsconfigmonitoring.googleapis.com
Necessária para uso da interface dos serviços para clusters fora do Google Cloud. No connectgateway.googleapis.com
Obrigatório para que o plano de controle do Cloud Service Mesh gerenciado possa acessar as cargas de trabalho da malha. Sim* trafficdirector.googleapis.com
Permite um plano de controle gerenciado altamente disponível e escalonável. Sim* networkservices.googleapis.com
Permite um plano de controle gerenciado altamente disponível e escalonável. Sim* networksecurity.googleapis.com
Permite um plano de controle gerenciado altamente disponível e escalonável. Sim* A ativação das APIs pode levar um minuto ou mais para ser concluída. Quando as APIs estão ativadas, você vê uma saída semelhante a esta:
Operation "operations/acf.601db672-88e6-4f98-8ceb-aa3b5725533c" finished successfully.
Se você incluir a sinalização
--enable_all
ou--enable_apis
ao executarasmcli
, as APIs necessárias serão ativadas.
Configurar o cluster
Se você incluir a sinalização --enable_all
ou uma das sinalizações de ativação
mais granulares,
asmcli
configurará o cluster para você.
Inicialize seu projeto para prepará-lo para instalação. Entre outras coisas, este comando cria uma conta de serviço para permitir componentes de plano de dados, como o proxy sidecar, para acessar com segurança os dados e os recursos do seu projeto. No comando a seguir, substitua
FLEET_PROJECT_ID
pelo projeto host da frota:curl --request POST \ --header "Authorization: Bearer $(gcloud auth print-access-token)" \ --header "Content-Type: application/json" \ --data '{"workloadIdentityPools":["FLEET_PROJECT_ID.hub.id.goog","FLEET_PROJECT_ID.svc.id.goog","PROJECT_ID.svc.id.goog"]}' \ "https://meshconfig.googleapis.com/v1alpha1/projects/PROJECT_ID:initialize"
A resposta do comando mostra chaves vazias:
{}
Para clusters do GKE no Google Cloud, defina a zona ou a região padrão para a Google Cloud CLI. Se você não definir o padrão aqui, especifique a opção
--zone
ou--region
nos comandosgcloud container clusters
desta página.Se você tiver um cluster de zona única, defina a zona padrão:
gcloud config set compute/zone CLUSTER_LOCATION
Se você tiver um cluster regional, defina a região padrão:
gcloud config set compute/region CLUSTER_LOCATION
Para clusters do GKE no Google Cloud, ative a Identidade da carga de trabalho:
gcloud container clusters update CLUSTER_NAME \ --project=PROJECT_ID \ --workload-pool=${WORKLOAD_POOL}
A ativação da Identidade da carga de trabalho pode levar de 10 a 15 minutos.
Para clusters do GKE no Google Cloud, ative o Cloud Monitoring e o Cloud Logging no GKE:
gcloud container clusters update CLUSTER_NAME \ --project=PROJECT_ID \ --enable-stackdriver-kubernetes
O projeto e o cluster estão prontos para uma nova instalação usando asmcli
.
A seguir
- Instalar ferramentas dependentes e validar o cluster fora do Google Cloud
- Instale ferramentas dependentes e valide o cluster no GKE