In der clusterinternen Steuerungsebene unterstützte Features
Auf dieser Seite werden Features beschrieben, die in Cloud Service Mesh mit einer clusterinternen Steuerungsebene unterstützt werden. Informationen zu den unterstützten Features für Cloud Service Mesh mit einer verwalteten Steuerungsebene finden Sie unter Verwaltete Steuerungsebene.
Unterstützte Versionen
Der Support für Cloud Service Mesh folgt der Supportrichtlinie für GKE Enterprise-Versionen.
Bei verwaltetem Cloud Service Mesh mit einer TRAFFIC_DIRECTOR-Implementierung der Steuerungsebene unterstützt Google diese Steuerungsebene immer.
Für verwaltetes Cloud Service Mesh mit einer Implementierung der ISTIOD-Steuerungsebene unterstützt Google die aktuellen Cloud Service Mesh-Versionen, die in den einzelnen Release-Versionen verfügbar sind.
Für selbst installiertes Cloud Service Mesh im Cluster unterstützt Google die aktuelle und die vorherigen zwei (n-2) Nebenversionen von Cloud Service Mesh.
Die folgende Tabelle enthält die unterstützten Versionen des selbst installierten Cloud Service Mesh im Cluster und das früheste EOL-Datum (End of Life) einer Version.
| Release-Version | Releasedatum | Frühestes End of Life-Datum |
|---|---|---|
| 1.21 | 4. Juni 2024 | 4. März 2025 |
| 1.20 | 8. Februar 2024 | 8. November 2024 |
| 1.19 | 31. Oktober 2023 | 31. Juli 2024 |
Wenn Sie eine nicht unterstützte Version des Cloud Service Mesh verwenden, müssen Sie ein Upgrade auf Cloud Service Mesh oder höher ausführen. Informationen zum Upgrade finden Sie unter Upgrade für Cloud Service Mesh durchführen.
Die folgende Tabelle zeigt die nicht unterstützten Versionen von Cloud Service Mesh und ihr Ende des Produktzyklus (EOL).
| Release-Version | Releasedatum | End-of-Life-Datum |
|---|---|---|
| 1.18 | 3. August 2023 | Nicht unterstützt (4. Juni 2024) |
| 1.17 | 4. April 2023 | Nicht unterstützt (8. Februar 2024) |
| 1.16 | 21. Februar 2023 | Nicht unterstützt (11. Dezember 2023) |
| 1.15 | 25. Oktober 2022 | Nicht unterstützt (4. August 2023) |
| 1,14 | 20. Juli 2022 | Nicht unterstützt (20. April 2023) |
| 1.13 | 30. März 2022 | Nicht unterstützt (8. Februar 2023) |
| 1.12 | 9. Dezember 2021 | Nicht unterstützt (25. Oktober 2022) |
| 1.11 | 6. Oktober 2021 | Nicht unterstützt (20. Juli 2022) |
| 1.10 | 24. Juni 2021 | Nicht unterstützt (30. März 2022) |
| 1.9 | 4. März 2021 | Nicht unterstützt (14. Dezember 2021) |
| 1.8 | 15. Dezember 2020 | Nicht unterstützt (14. Dezember 2021) |
| 1,7 | 3. November 2020 | Nicht unterstützt (14. Dezember 2021) |
| 1,6 | 30. Juni 2020 | Nicht unterstützt (30. März 2021) |
| 1.5 | 20. Mai 2020 | Nicht unterstützt (17. Februar 2021) |
| 1.4 | 20. Dezember 2019 | Nicht unterstützt (18. September 2020) |
Weitere Informationen zu unseren Supportrichtlinien finden Sie unter Support erhalten.
Plattformunterschiede
Es gibt Unterschiede hinsichtlich der unterstützten Funktionen bei den unterstützten Plattformen.
Die Spalten Andere GKE Enterprise-Cluster beziehen sich auf Cluster außerhalb von Google Cloud, z. B.:
Google Distributed Cloud Virtual:
- GKE on VMware
- Google Distributed Cloud Virtual for Bare Metal
Diese Seite verwendet Google Distributed Cloud Virtual, wo die gleiche Unterstützung sowohl in GKE on VMware als auch in Google Distributed Cloud Virtual for Bare Metal verfügbar ist, sowie auf der spezifischen Plattform, bei der es Unterschiede zwischen den Plattformen gibt.
GKE Enterprise in anderen öffentlichen Clouds:
Angehängte GKE-Cluster: Kubernetes-Drittanbieter-Cluster, die bei einer Flotte registriert wurden. Cloud Service Mesh wird für die folgenden Clustertypen unterstützt:
- Amazon EKS-Cluster
- Microsoft AKS-Cluster
Führen Sie in den folgenden Tabellen diese Schritte aus:
- – gibt an, dass das Feature standardmäßig aktiviert ist.
- * gibt an, dass das Feature für die Plattform unterstützt wird und, wie unter Optionale Features aktivieren oder in dem in der Feature-Tabelle verlinkten Leitfaden beschrieben, aktiviert werden kann.
- Kompatibel: Gibt an, dass das Feature oder das Drittanbietertool zwar in Cloud Service Mesh eingebunden werden oder mit diesem kompatibel ist, aber vom Google Cloud-Support nicht vollständig unterstützt wird und kein Feature Guide verfügbar ist.
- : Gibt an, dass das Feature nicht verfügbar ist oder in Cloud Service Mesh nicht unterstützt wird .
Die standardmäßigen und optionalen Features werden vom Google Cloud-Support vollständig unterstützt. Features, die nicht explizit in den Tabellen aufgeführt sind, erhalten bestmöglichen Support.
Basis-Images
| Feature | GKE-Cluster in Google Cloud. | Andere GKE Enterprise-Cluster |
|---|---|---|
| Distroless-Proxy-Image |
Sicherheit
Mechanismen zur Zertifikatsverteilung und Rotation
| Feature | GKE-Cluster in Google Cloud. | Andere GKE Enterprise-Cluster |
|---|---|---|
| Verwaltung von Arbeitslastzertifikaten | ||
| Externe Zertifikatsverwaltung auf Eingangs- und Ausgangs-Gateways. |
Unterstützung von Zertifizierungsstellen (CA)
| Feature | GKE-Cluster in Google Cloud. | GKE Enterprise-Cluster lokal | Andere GKE Enterprise-Cluster |
|---|---|---|---|
| Cloud Service Mesh-Zertifizierungsstelle | |||
| Certificate Authority Service | * | * | |
| Istio CA (ehemals Citadel) | * | * | |
| Eigene CA-Zertifikate einbinden | Unterstützt vom CA-Dienst und Istio-CA | Unterstützt vom CA-Dienst und Istio-CA | Unterstützt von Istio-Zertifizierungsstelle |
Sicherheitsfeatures von Cloud Service Mesh
Neben der Unterstützung von Istio-Sicherheitsfeatures bietet Cloud Service Mesh noch mehr Funktionen zum Schutz Ihrer Anwendungen.
| Feature | GKE-Cluster in Google Cloud. | Distributed Cloud Virtual | GKE Multi-Cloud | Andere GKE Enterprise-Cluster |
|---|---|---|---|---|
| IAP-Einbindung | ||||
| Endnutzerauthentifizierung | ||||
| Audit-Richtlinien (Vorabversion) | * | |||
| Probelaufmodus | ||||
| Logging der Ablehnung |
Autorisierungsrichtlinie
| Feature | GKE-Cluster in Google Cloud. | Andere GKE Enterprise-Cluster |
|---|---|---|
| Autorisierungs-v1beta1-Richtlinie |
Authentifizierungsrichtlinie
Peer-Authentifizierung
| Feature | GKE-Cluster in Google Cloud. | Andere GKE Enterprise-Cluster |
|---|---|---|
| Auto-mTLS | ||
| mTLS-PERMISSIVE-Modus |
Informationen zum Aktivieren des mTLS-STRICT-Modus finden Sie unter Transportsicherheit konfigurieren.
Authentifizierung anfordern
| Feature | GKE-Cluster in Google Cloud. | Andere GKE Enterprise-Cluster |
|---|---|---|
| JWT-Authentifizierung (Hinweis 1) |
Hinweise:
- JWT von Drittanbietern ist standardmäßig aktiviert.
Telemetrie
Messwerte
| Feature | GKE-Cluster in Google Cloud. | GKE Enterprise-Cluster lokal | Andere GKE Enterprise-Cluster |
|---|---|---|---|
| Cloud Monitoring (HTTP-In-Proxy-Messwerte) | |||
| Cloud Monitoring (TCP-In-Proxy-Messwerte) | |||
| Looker Telemetry API | |||
| Benutzerdefinierte Adapter/Back-Ends, In- oder Out-of-Process | |||
| Beliebige Telemetrie- und Logging-Back-Ends | |||
| Export von Prometheus-Messwerten in vom Kunden installierte Prometheus-, Grafana- und Kiali-Dashboards | Kompatibel | Kompatibel | Kompatibel |
| Google Cloud Managed Service for Prometheus ohne Cloud Service Mesh-Dashboard | |||
| In der Topologiegrafik der Google Cloud Console wird der Mesh-Telemetriedienst nicht mehr als Datenquelle verwendet. Obwohl sich die Datenquelle für das Topologiediagramm geändert hat, bleibt die Benutzeroberfläche gleich. | |||
Logging von Proxy-Anfragen
| Feature | GKE-Cluster in Google Cloud. | GKE Enterprise-Cluster lokal | Andere GKE Enterprise-Cluster |
|---|---|---|---|
| Traffic-Logs | |||
| Zugriffslogs | * | * | * |
Tracing
| Feature | GKE-Cluster in Google Cloud. | GKE Enterprise-Cluster lokal | Andere GKE Enterprise-Cluster |
|---|---|---|---|
| Cloud Trace | * | * | |
| Jaeger-Tracing (ermöglicht die Verwendung des vom Kunden verwalteten Jaeger) | Kompatibel | Kompatibel | Kompatibel |
| Zipkin-Tracing (ermöglicht die Verwendung des vom Kunden verwalteten Zipkin) | Kompatibel | Kompatibel | Kompatibel |
Netzwerk
Mechanismus zum Abfangen/Umleiten von Traffic
| Feature | GKE-Cluster in Google Cloud. | Andere GKE Enterprise-Cluster |
|---|---|---|
Traditionelle Verwendung von iptables mit init-Containern über CAP_NET_ADMIN |
||
| Container Network Interface (CNI) | * | * |
Protokollunterstützung
Dienste, die mit Layer-7-Funktionen für die folgenden Protokolle konfiguriert wurden, werden nicht unterstützt: WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ, Cloud SQL. Möglicherweise können Sie das Protokoll mithilfe der TCP-Bytestream-Unterstützung nutzen. Wenn der TCP-Bytestream das Protokoll nicht unterstützt (z. B. wenn Kafka eine Weiterleitungsadresse in einer protokollspezifischen Antwort sendet und diese Weiterleitung nicht mit der Routinglogik von Cloud Service Mesh kompatibel ist), wird das Protokoll nicht unterstützt.
| Feature | GKE-Cluster in Google Cloud. | Andere GKE Enterprise-Cluster |
|---|---|---|
| IPv4 | ||
| HTTP/1.1 | ||
| HTTP/2 | ||
| TCP-Byte-Streams (Hinweis 1) | ||
| gRPC | ||
| IPv6 |
Hinweise:
- Obwohl TCP ein unterstütztes Protokoll für das Netzwerk ist, werden TCP-Messwerte weder erfasst noch gemeldet. Messwerte werden nur für HTTP-Dienste in der Google Cloud Console angezeigt.
Envoy-Bereitstellungen
| Feature | GKE-Cluster in Google Cloud. | Andere GKE Enterprise-Cluster |
|---|---|---|
| Sidecar-Dateien | ||
| Ingress-Gateway | ||
| Ausgehender Traffic direkt von Sidecars | ||
| Ausgehender Traffic über Egress-Gateways | * | * |
CRD-Support
| Feature | GKE-Cluster in Google Cloud. | Andere GKE Enterprise-Cluster |
|---|---|---|
| Unterstützung für Istio API (Ausnahmen unten) | ||
| Benutzerdefinierte Envoy-Filter |
Load-Balancer für das Istio-Ingress-Gateway
| Feature | GKE-Cluster in Google Cloud. | Andere GKE Enterprise-Cluster |
|---|---|---|
| Externer Load-Balancer eines Drittanbieters | ||
| Interner Google Cloud-Load-Balancer | * | Nicht unterstützt. Weitere Informationen finden Sie unter den nachfolgenden Links. |
Informationen zum Konfigurieren von Load-Balancern finden Sie hier:
- Load-Balancer für GKE on VMware einrichten
- GKE on AWS: Load-Balancer erstellen
- Ingress-Gateway mithilfe eines externen Load-Balancers verfügbar machen
Kubernetes Gateway API (Vorabversion)
In Cloud Service Mesh v1.20 ist die Kubernetes Gateway API als öffentliche Vorschau verfügbar.
| Feature | GKE-Cluster in Google Cloud. | Andere GKE Enterprise-Cluster |
|---|---|---|
| Eingehender Traffic | ||
Gateway mit class: istio |
||
HttpRoute mit parentRef |
||
| Mesh-Traffic | ||
Istio-CRDs mit dem Feld targetRef konfigurieren, einschließlich AuthorizationPolicy, RequestAuthentication, Telemetrie und WasmPlugin |
Wenn Sie angehängte Microsoft AKS-Cluster oder GKE on Azure-Cluster verwenden, müssen Sie die folgende Annotation festlegen, damit die Gateway-Ressource Systemdiagnosen über TCP konfigurieren kann:
service.beta.kubernetes.io/port_80_health-probe_protocol: tcp
Andernfalls wird kein HTTP-Traffic akzeptiert.
Anforderungen an die Kubernetes Gateway API-Vorschau
Für die Vorschau der Kubernetes Gateway API gelten folgende Anforderungen:
Verwenden Sie für Gateways das Standardverhalten für automatisierte Bereitstellungen.
Verwenden Sie die
HttpRoute-CRD für Routingkonfigurationen. DerHttpRoutemuss einenparentRefhaben, der auf ein Gateway verweist.Verwenden Sie im selben Cluster keine CRs- und Kubernetes Gateway API-CRs.
Load-Balancing-Richtlinien
| Feature | GKE-Cluster in Google Cloud. | Andere GKE Enterprise-Cluster |
|---|---|---|
| Round-Robin | ||
| Mindestverbindungen | ||
| Zufällig | ||
| Passthrough | ||
| Konsistenter Hash | ||
| Lokalität |
Weitere Informationen zu Load-Balancing-Richtlinien finden Sie unter Zielregeln.
Support für mehrere Cluster
Bei mehreren primären Bereitstellungen von GKE-Clustern in verschiedenen Projekten müssen sich alle Cluster in einer freigegebenen Virtual Private Cloud (VPC) befinden.
Netzwerk
| Feature | GKE-Cluster in Google Cloud. | GKE Enterprise-Cluster lokal | GKE on AWS | GKE on Azure | Angehängte Cluster |
|---|---|---|---|---|---|
| Einzelnes Netzwerk | |||||
| Multinetzwerk |
Hinweise:
- Bei angehängten Clustern werden derzeit nur Multi-Cluster-Mesh-Netzwerke unterstützt, die sich über eine einzelne Plattform (Microsoft AKS, Amazon EKS) erstrecken.
Bereitstellungsmodell
| Feature | GKE-Cluster in Google Cloud. | GKE Enterprise-Cluster lokal | GKE Enterprise in anderen öffentlichen Clouds | Angehängte Cluster |
|---|---|---|---|---|
| Multiprimär | ||||
| Primäre Fernbedienung |
Hinweise zur Terminologie:
Ein primärer Cluster ist ein Cluster mit einer Steuerungsebene. Ein einzelnes Mesh-Netzwerk kann mehr als einen primären Cluster für hohe Verfügbarkeit haben oder die Latenz reduzieren. In der Dokumentation zu Istio 1.7 wird eine mehrfache Bereitstellung als replizierte Steuerungsebene bezeichnet.
Ein Remote-Cluster ist ein Cluster, der eine Verbindung zu einer Steuerungsebene herstellt, die sich außerhalb des Clusters befindet. Ein Remote-Cluster kann eine Verbindung zu einer Steuerungsebene herstellen, die in einem primären Cluster oder einer externen Steuerungsebene ausgeführt wird.
Cloud Service Mesh verwendet eine vereinfachte Definition eines Netzwerks, die auf der allgemeinen Konnektivität basiert. Arbeitslastinstanzen befinden sich im selben Netzwerk, wenn sie ohne Gateway direkt kommunizieren können.
Benutzeroberfläche
| Feature | GKE-Cluster in Google Cloud. | GKE on VMware | Google Distributed Cloud Virtual for Bare Metal | Andere GKE Enterprise-Cluster |
|---|---|---|---|---|
| Cloud Service Mesh-Dashboards in der Google Cloud Console | * | * | * | |
| Cloud Monitoring | * | |||
| Cloud Logging | * | |||
| Cloud Trace | * |
Hinweis:Lokale Cluster erfordern GKE Enterprise Version 1.11 oder höher. Weitere Informationen zum Durchführen eines Upgrades finden Sie unter Upgrade von GKE auf VMware oder Upgrade von Google Distributed Cloud Virtual for Bare Metal ausführen.