Características compatibles del plano de control en el clúster
En esta página, se describen las funciones que se admiten en Cloud Service Mesh1.23.3 con un plano de control en el clúster. Para ver las funciones compatibles para Cloud Service Mesh 1.23.3 con un plano de control administrado, consulta Plano de control administrado.
Versiones compatibles
La asistencia para Cloud Service Mesh sigue la Política de asistencia de la versión de GKE Enterprise.
En el caso de Cloud Service Mesh administrado con una implementación de plano de control TRAFFIC_DIRECTOR
, Google siempre admite este plano de control.
En el caso de Cloud Service Mesh administrado con una implementación de plano de control ISTIOD
, Google admite las versiones actuales de Cloud Service Mesh disponibles en cada canal de lanzamiento.
En el caso de la Cloud Service Mesh instalada en el clúster por el usuario, Google admite las dos versiones menores anteriores (n-2) y la actual de Cloud Service Mesh.
En la siguiente tabla, se muestran las versiones compatibles de Cloud Service Mesh instalado por el usuario en el clúster y la fecha del final del ciclo de vida (EOL) más antigua de una versión.
Versión de actualización | Fecha de lanzamiento | Fecha del final del ciclo de vida más temprana |
---|---|---|
1.23 | 19 de septiembre de 2024 | 19 de junio de 2025 |
1.22 | 25 de julio de 2024 | 25 de abril de 2025 |
1.21 | 4 de junio de 2024 | 4 de marzo de 2025 |
Si usas una versión no compatible de Cloud Service Mesh, debes actualizar a Cloud Service Mesh 1.21 o versiones posteriores. Si deseas obtener información para realizar una actualización, consulta Actualiza Cloud Service Mesh.
En la siguiente tabla, se muestran las versiones no compatibles de Cloud Service Mesh y su fecha de final del ciclo de vida (EOL).
Versión de actualización | Fecha de lanzamiento | Fecha de finalización del ciclo de vida |
---|---|---|
1.20 | 8 de febrero de 2024 | No compatible (12 de noviembre de 2024) |
1.19 | 31 de octubre de 2023 | No compatible (31 de julio de 2024) |
1.18 | 3 de agosto de 2023 | No compatible (4 de junio de 2024) |
1.17 | 4 de abril de 2023 | No compatible (8 de febrero de 2024) |
1.16 | 21 de febrero de 2023 | No compatible (11 de diciembre de 2023) |
1.15 | 25 de octubre de 2022 | No compatible (4 de agosto de 2023) |
1.14 | 20 de julio de 2022 | No compatible (20 de abril de 2023) |
1.13 | 30 de marzo de 2022 | No compatible (8 de febrero de 2023) |
1.12 | 9 de diciembre de 2021 | No compatible (25 de octubre de 2022) |
1.11 | 6 de octubre de 2021 | No compatible (20 de julio de 2022) |
1.10 | 24 de junio de 2021 | No compatible (30 de marzo de 2022) |
1.9 | 4 de marzo de 2021 | No compatible (14 de diciembre de 2021) |
1.8 | 15 de diciembre de 2020 | No compatible (14 de diciembre de 2021) |
1.7 | 3 de noviembre de 2020 | No compatible (14 de diciembre de 2021) |
1.6 | 30 de junio de 2020 | No compatible (30 de marzo de 2021) |
1.5 | 20 de mayo de 2020 | No compatible (17 de febrero de 2021) |
1.4 | 20 de diciembre de 2019 | No compatible (18 de septiembre de 2020) |
Para obtener más información sobre nuestras políticas de asistencia, consulta Obtén asistencia.
Diferencias entre plataformas
Existen diferencias en las funciones compatibles entre las plataformas compatibles.
Las columnas Otros clústeres de GKE Enterprise hacen referencia a clústeres que están fuera de Google Cloud, por ejemplo:
Google Distributed Cloud:
- Google Distributed Cloud
- Google Distributed Cloud (solo software) para Bare Metal
En esta página, se usa Google Distributed Cloud, en la que la misma asistencia está disponible en Google Distributed Cloud (solo software) para VMware y Google Distributed Cloud (solo software) para Bare Metal, y en la plataforma específica en la que hay diferencias entre las plataformas.
GKE Enterprise en otras nubes públicas:
Clústeres de GKE adjuntos: Son clústeres de Kubernetes de terceros que se registraron en una flota. Cloud Service Mesh es compatible con los siguientes tipos de clústeres:
- Clústeres de Amazon EKS
- Clústeres de Microsoft AKS
Realiza estas acciones en las siguientes tablas:
- : indica que la función está habilitada de forma predeterminada.
- *: Indica que la función es compatible con la plataforma y se puede habilitar, como se describe en Habilita funciones opcionales o la guía de función vinculada en la tabla de funciones.
- Compatible indica que la función o herramienta de terceros se integrará o funcionará con Cloud Service Mesh, pero no es compatible por completo con la Asistencia de Google Cloud y no hay una guía de funciones disponible.
- indica que la función no está disponible o no es compatible con Cloud Service Mesh 1.23.3.
Las funciones predeterminadas y opcionales tienen una compatibilidad total con la asistencia de Google Cloud. Las funciones que no aparecen en las tablas de manera explícita reciben la mejor asistencia posible.
Imágenes base
Función | Clústeres de GKE en Google Cloud. | Otros clústeres de GKE Enterprise |
---|---|---|
Imagen de proxy distroless |
Seguridad
Mecanismos de distribución y rotación de certificados
Función | Clústeres de GKE en Google Cloud. | Otros clústeres de GKE Enterprise |
---|---|---|
Administración de certificados de cargas de trabajo | ||
Administración de certificados externos en puertas de enlace de entrada y salida. |
Compatibilidad con autoridad certificada (CA)
Función | Clústeres de GKE en Google Cloud. | Clústeres de GKE Enterprise de forma local | Otros clústeres de GKE Enterprise |
---|---|---|---|
Autoridad certificadora de Cloud Service Mesh | |||
Certificate Authority Service | * | * | |
CA de Istio (anteriormente conocida como Citadel) | * | * | |
Conecta tus propios certificados de CA | Compatible con el servicio de CA y la CA de Istio | Compatible con el servicio de CA y la CA de Istio | Compatible con la CA de Istio |
Funciones de seguridad de Cloud Service Mesh
Además de admitir funciones de seguridad de Istio, Cloud Service Mesh proporciona aún más capacidades para ayudarte a proteger tus aplicaciones.
Atributo | Clústeres de GKE en Google Cloud. | Distributed Cloud | GKE Multi-Cloud | Otros clústeres de GKE Enterprise |
---|---|---|---|---|
Integración de IAP | ||||
Autenticación del usuario final | ||||
Políticas de auditoría (versión preliminar) | * | |||
Modo de ejecución de prueba | ||||
Registro de denegación |
Política de autorización
Función | Clústeres de GKE en Google Cloud. | Otros clústeres de GKE Enterprise |
---|---|---|
Política de autorización de v1beta1 | ||
Plantillas de ruta |
Política de autenticación
Autenticación entre pares
Función | Clústeres de GKE en Google Cloud. | Otros clústeres de GKE Enterprise |
---|---|---|
Auto-mTLS | ||
Modo PERMISSIVE de mTLS |
Si deseas obtener información para habilitar el modo STRICT de mTLS, consulta Configura la seguridad del transporte.
Autenticación de solicitudes
Función | Clústeres de GKE en Google Cloud. | Otros clústeres de GKE Enterprise |
---|---|---|
Autenticación de JWT (Nota 1) |
Notas:
- JWT de terceros está habilitado de forma predeterminada.
Telemetría
Métricas
Función | Clústeres de GKE en Google Cloud. | Clústeres de GKE Enterprise de forma local | Otros clústeres de GKE Enterprise |
---|---|---|---|
Cloud Monitoring (métricas en el proxy de HTTP) | |||
Cloud Monitoring (métricas en el proxy de TCP) | |||
API de Istio Telemetry | |||
Adaptadores y backends personalizados, dentro o fuera del proceso | |||
Telemetría arbitraria y backends de registro | |||
Exportación de métricas de Prometheus a los paneles de Prometheus, Grafana y Kiali instalados por el cliente | Compatible | Compatible | Compatible |
Google Cloud Managed Service para Prometheus, sin incluir el panel de Cloud Service Mesh | |||
En el gráfico de topología de la consola de Google Cloud, ya no se usa el servicio de telemetría de malla como fuente de datos. Aunque cambió la fuente de datos para el gráfico de topología, la IU permanece igual. |
Registro de solicitudes de proxy
Atributo | Clústeres de GKE en Google Cloud. | Clústeres de GKE Enterprise de forma local | Otros clústeres de GKE Enterprise |
---|---|---|---|
Registros de tráfico | |||
Registros de acceso | * | * | * |
Trace
Función | Clústeres de GKE en Google Cloud. | Clústeres de GKE Enterprise de forma local | Otros clústeres de GKE Enterprise |
---|---|---|---|
Cloud Trace | * | * | |
Seguimiento de Jaeger (permite el uso de Jaeger administrado por el cliente) | Compatible | Compatible | Compatible |
Seguimiento de Zipkin (permite el uso de Zipkin administrado por el cliente) | Compatible | Compatible | Compatible |
Redes
Regla de destino
Atributo | Clústeres de GKE en Google Cloud. | Otros clústeres de GKE Enterprise |
---|---|---|
credentialName |
Mecanismo de intercepción y direccionamiento de tráfico
Función | Clústeres de GKE en Google Cloud. | Otros clústeres de GKE Enterprise |
---|---|---|
Uso tradicional de iptables mediante contenedores init con CAP_NET_ADMIN |
||
Interfaz de red de contenedor (CNI) | * | * |
Compatibilidad con protocolos
No se admiten los servicios configurados con funciones de la capa 7 para los siguientes protocolos: WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ y Cloud SQL. Es posible que puedas hacer que el protocolo funcione mediante la compatibilidad con la transmisión de bytes de TCP. Si la transmisión de bytes de TCP no admite el protocolo (por ejemplo, Kafka envía una dirección de redireccionamiento en una respuesta específica del protocolo, y este redireccionamiento no es compatible con la lógica de enrutamiento de Cloud Service Mesh), el protocolo no es compatible.
Atributo | Clústeres de GKE en Google Cloud. | Otros clústeres de GKE Enterprise |
---|---|---|
IPv4 | ||
HTTP/1.1 | ||
HTTP/2 | ||
Transmisiones de bytes de TCP (Nota 1) | ||
gRPC | ||
IPv6 |
Notas:
- A pesar de que TCP es un protocolo que se admite para las redes, las métricas de TCP no se recopilan ni se informan. Las métricas solo se muestran para los servicios de HTTP en la consola de Google Cloud.
Implementaciones de Envoy
Función | Clústeres de GKE en Google Cloud. | Otros clústeres de GKE Enterprise |
---|---|---|
Sidecars | ||
Puerta de enlace de entrada | ||
Salida directa desde sidecars | ||
Salida mediante puertas de enlace de salida | * | * |
Compatibilidad con CRD
Función | Clústeres de GKE en Google Cloud. | Otros clústeres de GKE Enterprise |
---|---|---|
Compatibilidad con la API de Istio (excepciones a continuación) | ||
Filtros personalizados de Envoy |
Balanceador de cargas para la puerta de enlace de entrada de Istio
Función | Clústeres de GKE en Google Cloud. | Otros clústeres de GKE Enterprise |
---|---|---|
Balanceador de cargas externo de terceros | ||
Balanceador de cargas interno de Google Cloud | * | No compatible. Consulta los vínculos a continuación. |
Para obtener información sobre la configuración de los balanceadores de cargas, consulta los siguientes vínculos:
- Configura el balanceador de cargas para Google Distributed Cloud (solo software) para VMware
- GKE en AWS: Crea un balanceador de cargas
- Expón una puerta de enlace de entrada con un balanceador de cargas externo
API de Kubernetes Gateway (versión preliminar)
En Cloud Service Mesh v1.20, la API de Kubernetes Gateway está disponible como versión preliminar pública.
Atributo | Clústeres de GKE en Google Cloud. | Otros clústeres de GKE Enterprise |
---|---|---|
Entrada | ||
Puerta de enlace con class: istio |
||
HttpRoute con parentRef |
||
Tráfico de malla | ||
Configura las CRD de Istio con el campo targetRef , incluidos AuthorizationPolicy, RequestAuthentication, Telemetry y WasmPlugin |
Si usas clústeres adjuntos de Microsoft AKS o GKE en clústeres de Azure, debes establecer la siguiente anotación para el recurso de puerta de enlace para configurar las verificaciones de estado a través de TCP:
service.beta.kubernetes.io/port_80_health-probe_protocol: tcp
De lo contrario, no se aceptará el tráfico HTTP.
Requisitos de la versión preliminar de la API de Kubernetes Gateway
La versión preliminar de la API de Kubernetes Gateway tiene los siguientes requisitos:
Usa el comportamiento predeterminado de las implementaciones automatizadas para las puertas de enlace.
Usa la CRD
HttpRoute
para las configuraciones de enrutamiento. ElHttpRoute
debe tener unparentRef
que dirija a una puerta de enlace.No uses CRD de Istio Gateway ni de la API de Kubernetes Gateway en el mismo clúster.
Políticas de balanceo de cargas
Función | Clústeres de GKE en Google Cloud. | Otros clústeres de GKE Enterprise |
---|---|---|
Round robin | ||
Conexiones mínimas | ||
Aleatorio | ||
Transferencia | ||
Hash coherente | ||
Localidad |
Para obtener más información sobre las políticas de balanceo de cargas, consulta Reglas de destino.
Plano de datos
Atributo | Clústeres de GKE en Google Cloud. | Otros clústeres de GKE Enterprise |
---|---|---|
Sidecar | ||
Ambiente |
Compatibilidad con varios clústeres
Para varias implementaciones múltiples de clústeres de GKE en proyectos diferentes, todos los clústeres deben estar en una nube privada virtual (VPC) compartida.
Red
Función | Clústeres de GKE en Google Cloud. | Clústeres de GKE Enterprise de forma local | GKE en AWS | GKE en Azure | Clústeres adjuntos |
---|---|---|---|---|---|
Una sola red | |||||
Varias redes |
Notas:
- En el caso de los clústeres adjuntos, por el momento, solo se admiten mallas de varios clústeres que abarcan una sola plataforma (Microsoft AKS, Amazon EKS).
Modelo de implementación
Función | Clústeres de GKE en Google Cloud. | Clústeres de GKE Enterprise de forma local | GKE Enterprise en otras nubes públicas | Clústeres adjuntos |
---|---|---|---|---|
Principales múltiples | ||||
Control principal |
Notas sobre la terminología:
Un clúster principal es un clúster con un plano de control. Una malla única puede tener más de un clúster principal para alta disponibilidad o reducir la latencia. En la documentación de Istio 1.7, una implementación de varias instancias se conoce como un plano de control replicado.
Un clúster remoto es un clúster que se conecta a un plano de control que reside fuera del clúster. Un clúster remoto puede conectarse a un plano de control que se ejecuta en un clúster principal o en un plano de control externo.
Cloud Service Mesh usa una definición simplificada de la red basada en la conectividad general. Las instancias de carga de trabajo están en la misma red si pueden comunicarse de forma directa, sin una puerta de enlace.
Interfaz de usuario
Función | Clústeres de GKE en Google Cloud. | Google Distributed Cloud | Google Distributed Cloud (solo software) para Bare Metal | Otros clústeres de GKE Enterprise |
---|---|---|---|---|
Paneles de Cloud Service Mesh en la consola de Google Cloud | * | * | * | |
Cloud Monitoring | * | |||
Cloud Logging | * | |||
Cloud Trace | * |
Nota: Los clústeres locales requieren la versión 1.11 o posterior de GKE Enterprise. Para obtener más información sobre la actualización, consulta Cómo actualizar Google Distributed Cloud (solo software) para VMware o Cómo actualizar Google Distributed Cloud (solo software) para Bare Metal.