Funciones admitidas del plano de control en clústeres
En esta página se describen las funciones compatibles con Cloud Service Mesh 1.26.4 con un plano de control en el clúster. Para ver las funciones compatibles con Cloud Service Mesh 1.26.4 con un plano de control gestionado, consulta Plano de control gestionado.
Versiones compatibles
La compatibilidad con Cloud Service Mesh se rige por la política de asistencia de versiones de GKE Enterprise.
En el caso de Cloud Service Mesh gestionado con una TRAFFIC_DIRECTOR implementación del plano de control, Google siempre admite este plano de control.
En el caso de Cloud Service Mesh gestionado con una implementación del plano de control ISTIOD, Google admite las versiones actuales de Cloud Service Mesh disponibles en cada canal de lanzamiento.
En el caso de Cloud Service Mesh en clústeres autoinstalado, Google admite la versión menor actual y las dos anteriores (n-2) de Cloud Service Mesh.
En la siguiente tabla se muestran las versiones compatibles de Cloud Service Mesh autoinstalado en el clúster y la fecha de finalización del ciclo de vida más temprana de cada versión.
| Versión | Fecha de lanzamiento | Fecha de fin del ciclo de vida más próxima |
|---|---|---|
| 1,26 | 16 de julio del 2025 | 16 de abril del 2026 |
| 1,25 | 4 de abril del 2025 | 4 de enero del 2026 |
| 1.24 | 16 de enero del 2025 | 15 de octubre del 2025 |
Si usas una versión de Cloud Service Mesh que no esté admitida, debes actualizarla a Cloud Service Mesh 1.24 o a una versión posterior. Para obtener información sobre cómo actualizar, consulta Actualizar Cloud Service Mesh.
En la siguiente tabla se muestran las versiones no compatibles de Cloud Service Mesh y la fecha de finalización de su ciclo de vida.
| Versión | Fecha de lanzamiento | Fecha de fin del ciclo de vida |
|---|---|---|
| 1.23 | 19 de septiembre del 2024 | No admitido (16 de julio del 2025) |
| 1.22 | 25 de julio del 2024 | No compatible (21 de mayo del 2025) |
| 1.21 | 4 de junio del 2024 | No compatible (16 de abril del 2025) |
| 1,20 | 8 de febrero del 2024 | No compatible (12 de noviembre del 2024) |
| 1.19 | 31 de octubre del 2023 | No compatible (31 de julio del 2024) |
| 1.18 | 3 de agosto del 2023 | No compatible (4 de junio del 2024) |
| 1.17 | 4 de abril del 2023 | No admitido (8 de febrero del 2024) |
| 1.16 | 21 de febrero del 2023 | No compatible (11 de diciembre del 2023) |
| 1,15 | 25 de octubre del 2022 | No compatible (4 de agosto del 2023) |
| 1,14 | 20 de julio del 2022 | No compatible (20 de abril del 2023) |
| 1.13 | 30 de marzo del 2022 | No admitido (8 de febrero del 2023) |
| 1.12 | 9 de diciembre del 2021 | No compatible (25 de octubre del 2022) |
| 1.11 | 6 de octubre del 2021 | No admitido (20 de julio del 2022) |
| 1.10 | 24 de junio del 2021 | No admitido (30 de marzo del 2022) |
| 1.9 | 4 de marzo del 2021 | No compatible (14 de diciembre del 2021) |
| 1,8 | 15 de diciembre del 2020 | No compatible (14 de diciembre del 2021) |
| 1,7 | 3 de noviembre del 2020 | No compatible (14 de diciembre del 2021) |
| 1.6 | 30 de junio del 2020 | No compatible (30 de marzo del 2021) |
| 1,5 | 20 de mayo del 2020 | No admitido (17 de febrero del 2021) |
| 1,4 | 20 de diciembre del 2019 | No compatible (18 de septiembre del 2020) |
Para obtener más información sobre nuestras políticas de asistencia, consulta el artículo Obtener asistencia.
Diferencias entre plataformas
Hay diferencias en las funciones admitidas entre las plataformas compatibles.
Las columnas Otros clústeres de GKE Enterprise hacen referencia a clústeres que no están incluidos en Google Cloud. Por ejemplo:
Google Distributed Cloud:
- Google Distributed Cloud (solo software) para VMware
- Google Distributed Cloud (solo software) para bare metal
En esta página se usa Google Distributed Cloud, donde la misma asistencia está disponible tanto en Google Distributed Cloud (solo software) para VMware como en Google Distributed Cloud (solo software) para bare metal, así como en la plataforma específica en la que hay diferencias entre las plataformas.
GKE Enterprise en otras nubes públicas:
Clústeres adjuntos de GKE: clústeres de Kubernetes de terceros que se han registrado en una flota. Cloud Service Mesh es compatible con los siguientes tipos de clústeres:
- Clústeres de Amazon EKS
- Clústeres de Microsoft AKS
En las siguientes tablas:
- : indica que la función está habilitada de forma predeterminada.
- * indica que la función es compatible con la plataforma y se puede habilitar, tal como se describe en la sección Habilitar funciones opcionales o en la guía de la función en cuestión, cuyo enlace se encuentra en la tabla de funciones.
- Compatible: indica que la función o la herramienta de terceros se integrará o funcionará con Cloud Service Mesh, pero no es totalmente compatible con la asistencia de Google Cloud y no hay disponible una guía de funciones.
- : indica que la función no está disponible o que no se admite en Cloud Service Mesh 1.26.4.
El equipo de Asistencia de Google Cloud ofrece asistencia completa para las funciones predeterminadas y opcionales. Las funciones que no se indican explícitamente en las tablas reciben asistencia de la mejor manera posible.
Imágenes base
| Función | Clústeres de GKE en Google Cloud | Otros clústeres de GKE Enterprise |
|---|---|---|
| Imagen de proxy sin distribución |
Seguridad
Mecanismos de distribución o rotación de certificados
| Función | Clústeres de GKE en Google Cloud | Otros clústeres de GKE Enterprise |
|---|---|---|
| Gestión de certificados de carga de trabajo | ||
| Gestión de certificados externos en las pasarelas de entrada y salida. |
Compatibilidad con autoridades de certificación (AC)
| Función | Clústeres de GKE en Google Cloud | Clústeres de GKE Enterprise on-premise | Otros clústeres de GKE Enterprise |
|---|---|---|---|
| Autoridad de certificación de Cloud Service Mesh | |||
| Servicio de Autoridades de Certificación | * | * | |
| AC de Istio (antes conocido como Citadel) | * | * | |
| Conectar tus propios certificados de CA | Compatible con el servicio de AC y la AC de Istio | Compatible con el servicio de AC y la AC de Istio | Compatible con la AC de Istio |
Funciones de seguridad de Cloud Service Mesh
Además de admitir las funciones de seguridad de Istio, Cloud Service Mesh ofrece aún más funciones para ayudarte a proteger tus aplicaciones.
| Función | Clústeres de GKE en Google Cloud | Nube distribuida | GKE Multi-cloud | Otros clústeres de GKE Enterprise |
|---|---|---|---|---|
| Integración de IAP | ||||
| Autenticación de usuarios finales | ||||
| Políticas de auditoría (vista previa) | * | |||
| Modo de prueba | ||||
| Registro de denegaciones |
Política de autorización
| Función | Clústeres de GKE en Google Cloud | Otros clústeres de GKE Enterprise |
|---|---|---|
| Política de autorización v1beta1 | ||
| Creación de plantillas de ruta |
Política de autenticación
Autenticación de entidad par
| Función | Clústeres de GKE en Google Cloud | Otros clústeres de GKE Enterprise |
|---|---|---|
| mTLS automático | ||
| Modo PERMISIVO de mTLS |
Para obtener información sobre cómo habilitar el modo ESTRICTO de mTLS, consulta Configurar la seguridad del transporte.
Solicitar autenticación
| Función | Clústeres de GKE en Google Cloud | Otros clústeres de GKE Enterprise |
|---|---|---|
| Autenticación JWT (Nota 1) |
Notas:
- Los JWTs de terceros están habilitados de forma predeterminada.
Telemetría
Métricas
| Función | Clústeres de GKE en Google Cloud | Clústeres de GKE Enterprise on-premise | Otros clústeres de GKE Enterprise |
|---|---|---|---|
| Cloud Monitoring (métricas de proxy HTTP) | |||
| Cloud Monitoring (métricas de proxy TCP) | |||
| API Telemetry de Istio | |||
| Adaptadores o back-ends personalizados, dentro o fuera del proceso | |||
| Back-ends de telemetría y registro arbitrarios | |||
| Exportación de métricas de Prometheus a los paneles de control de Prometheus, Grafana y Kiali instalados por el cliente | Compatible | Compatible | Compatible |
| Google Cloud Managed Service para Prometheus, sin incluir el panel de control de Cloud Service Mesh | |||
| El gráfico de topología de la Google Cloud consola ya no usa el servicio de telemetría de la malla como fuente de datos. Aunque la fuente de datos del gráfico de topología haya cambiado, la interfaz de usuario sigue siendo la misma. | |||
Registro de solicitudes de proxy
| Función | Clústeres de GKE en Google Cloud | Clústeres de GKE Enterprise on-premise | Otros clústeres de GKE Enterprise |
|---|---|---|---|
| Registros de tráfico | |||
| Registros de acceso | * | * | * |
Trace
| Función | Clústeres de GKE en Google Cloud | Clústeres de GKE Enterprise on-premise | Otros clústeres de GKE Enterprise |
|---|---|---|---|
| Cloud Trace | * | * | |
| Trazas de Jaeger (permite usar Jaeger gestionado por el cliente) | Compatible | Compatible | Compatible |
| Trazas de Zipkin (permite usar Zipkin gestionado por el cliente) | Compatible | Compatible | Compatible |
Redes
Regla de destino
| Función | Clústeres de GKE en Google Cloud | Otros clústeres de GKE Enterprise |
|---|---|---|
| credentialName |
Mecanismo de intercepción o redirección del tráfico
| Función | Clústeres de GKE en Google Cloud | Otros clústeres de GKE Enterprise |
|---|---|---|
Uso tradicional de iptables con contenedores init
con CAP_NET_ADMIN |
||
| Interfaz de red de contenedores (CNI) | * | * |
Compatibilidad con protocolos
No se admiten los servicios configurados con funciones de capa 7 para los siguientes protocolos: WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ y Cloud SQL. Es posible que puedas hacer que el protocolo funcione usando la compatibilidad con flujos de bytes TCP. Si el flujo de bytes TCP no admite el protocolo (por ejemplo, Kafka envía una dirección de redirección en una respuesta específica del protocolo y esta redirección no es compatible con la lógica de enrutamiento de Cloud Service Mesh), el protocolo no se admite.
| Función | Clústeres de GKE en Google Cloud | Otros clústeres de GKE Enterprise |
|---|---|---|
| IPv4 | ||
| HTTP/1.1 | ||
| HTTP/2 | ||
| Secuencias de bytes TCP (nota 1) | ||
| gRPC | ||
| IPv6 | ||
| Istio DualStack |
Notas:
- Aunque TCP es un protocolo compatible con las redes, no se recogen ni se registran métricas de TCP. Las métricas solo se muestran para los servicios HTTP en la consola Google Cloud .
Despliegues de Envoy
| Función | Clústeres de GKE en Google Cloud | Otros clústeres de GKE Enterprise |
|---|---|---|
| Sidecars | ||
| Pasarela de entrada | ||
| Salida directamente desde los sidecars | ||
| Salida mediante pasarelas de salida | * | * |
Compatibilidad con CRD
| Función | Clústeres de GKE en Google Cloud | Otros clústeres de GKE Enterprise |
|---|---|---|
| Compatibilidad con la API de Istio (excepto en los casos que se indican a continuación) | ||
| filtros Envoy personalizados |
Balanceador de carga de la pasarela de entrada de Istio
| Función | Clústeres de GKE en Google Cloud | Otros clústeres de GKE Enterprise |
|---|---|---|
| Balanceador de carga externo de terceros | ||
| Google Cloud Balanceador de carga interno | * | No es compatible. Consulta los enlaces que se indican a continuación. |
Para obtener información sobre cómo configurar balanceadores de carga, consulta los siguientes artículos:
- Configurar el balanceador de carga para Google Distributed Cloud (solo software) para VMware
- GKE en AWS: Crear un balanceador de carga
- Exponer una pasarela de entrada mediante un balanceador de carga externo
API Gateway de Kubernetes (vista previa)
En Cloud Service Mesh v1.20, la API Gateway de Kubernetes está disponible como vista previa pública.
| Función | Clústeres de GKE en Google Cloud | Otros clústeres de GKE Enterprise |
|---|---|---|
| Entrada | ||
Pasarela con class: istio |
||
HttpRoute con parentRef |
||
| Tráfico de malla | ||
Configurar CRDs de Istio mediante el campo targetRefincluidos AuthorizationPolicy, RequestAuthentication, Telemetry y WasmPlugin |
Si usas clústeres de Microsoft AKS o de GKE en Azure, debes definir la siguiente anotación en el recurso de la pasarela para configurar las comprobaciones de estado a través de TCP:
service.beta.kubernetes.io/port_80_health-probe_protocol: tcp
De lo contrario, no se aceptará el tráfico HTTP.
Requisitos de la vista previa de la API de Kubernetes Gateway
La vista previa de la API de Kubernetes Gateway tiene los siguientes requisitos:
Usar el comportamiento predeterminado de las implementaciones automatizadas en las pasarelas.
Usa el CRD
HttpRoutepara las configuraciones de enrutamiento. ElHttpRoutedebe tener unparentRefque apunte a una pasarela.No uses CRs de Istio Gateway ni CRs de API de Kubernetes Gateway en el mismo clúster.
Políticas de balanceo de carga
| Función | Clústeres de GKE en Google Cloud | Otros clústeres de GKE Enterprise |
|---|---|---|
| Orden aleatorio | ||
| Menos conexiones | ||
| Aleatoria | ||
| Transparente | ||
| Hash coherente | ||
| Localidad |
Para obtener más información sobre las políticas de balanceo de carga, consulta Destination Rules (Reglas de destino).
Plano de datos
| Función | Clústeres de GKE en Google Cloud | Otros clústeres de GKE Enterprise |
|---|---|---|
| Sidecar | ||
| Ambiental |
Compatibilidad con varios clústeres
En las implementaciones de varios primarios de clústeres de GKE en diferentes proyectos, todos los clústeres deben estar en una nube privada virtual (VPC) compartida.
Red
| Función | Clústeres de GKE en Google Cloud | Clústeres de GKE Enterprise on-premise | GKE en AWS | GKE en Azure | Clústeres vinculados |
|---|---|---|---|---|---|
| Una sola red | |||||
| Multired |
Notas:
- Por el momento, solo se admiten mallas multiclúster que abarquen una sola plataforma (Microsoft AKS o Amazon EKS) en clústeres adjuntos.
Modelo de implementación
| Función | Clústeres de GKE en Google Cloud | Clústeres de GKE Enterprise on-premise | GKE Enterprise en otras nubes públicas | Clústeres vinculados |
|---|---|---|---|---|
| Modo con varios servidores principales | ||||
| Principal-remoto |
Notas sobre la terminología:
Un clúster principal es un clúster con un plano de control. Una sola malla puede tener más de un clúster principal para ofrecer alta disponibilidad o reducir la latencia. En la documentación de Istio 1.7, una implementación multiprincipal se denomina plano de control replicado.
Un clúster remoto es un clúster que se conecta a un plano de control que reside fuera del clúster. Un clúster remoto puede conectarse a un plano de control que se ejecute en un clúster principal o a un plano de control externo.
Cloud Service Mesh usa una definición simplificada de la red basada en la conectividad general. Las instancias de carga de trabajo están en la misma red si pueden comunicarse directamente, sin una pasarela.
Interfaz de usuario
| Función | Clústeres de GKE en Google Cloud | Google Distributed Cloud | Otros clústeres de GKE Enterprise |
|---|---|---|---|
| Paneles de control de Cloud Service Mesh en la Google Cloud consola | * | * | |
| Cloud Monitoring | * | ||
| Cloud Logging | * | ||
| Cloud Trace | * |
Nota: Los clústeres locales requieren GKE Enterprise 1.11 o una versión posterior. Para obtener más información sobre cómo actualizar, consulta Actualizar Google Distributed Cloud (solo software) para VMware o Actualizar Google Distributed Cloud (solo software) para bare metal.