Recursos compatíveis do plano de controle no cluster
Nesta página, descrevemos os recursos compatíveis com o Cloud Service Mesh 1.23.3 com um plano de controle no cluster. Para conferir os recursos compatíveis com o Cloud Service Mesh 1.23.3 com um plano de controle gerenciado, consulte Plano de controle gerenciado.
Versões compatíveis
O suporte para o Cloud Service Mesh segue a Política de suporte de versão do GKE Enterprise.
Para o Cloud Service Mesh gerenciado com uma implementação de plano de controle TRAFFIC_DIRECTOR
, o Google sempre oferece suporte a esse plano de controle.
Para o Cloud Service Mesh gerenciado com uma implementação de plano de controle ISTIOD
, o Google oferece suporte às versões atuais do Cloud Service Mesh
disponíveis em cada
canal de lançamento.
Para o Cloud Service Mesh com instalação automática no cluster, o Google é compatível com as duas versões secundárias atuais e anteriores (n-2) do Cloud Service Mesh.
A tabela a seguir mostra as versões compatíveis da Cloud Service Mesh com instalação automática no cluster e a data de fim da vida útil (EOL, na sigla em inglês) mais antiga de uma versão.
Versão de lançamento | Data de lançamento | Data de fim da vida útil mais antiga |
---|---|---|
1.23 | 19 de setembro de 2024 | 19 de junho de 2025 |
1.22 | 25 de julho de 2024 | 25 de abril de 2025 |
1.21 | 4 de junho de 2024 | 4 de março de 2025 |
Se você estiver em uma versão não compatível do Cloud Service Mesh, faça upgrade para o 1.21 ou uma versão mais recente do Cloud Service Mesh. Para saber como fazer upgrade, consulte Fazer upgrade do Cloud Service Mesh.
A tabela a seguir mostra as versões não compatíveis do Cloud Service Mesh e a data de fim da vida útil (EOL, na sigla em inglês) delas.
Versão de lançamento | Data de lançamento | Data de fim da vida útil |
---|---|---|
1.20 | 8 de fevereiro de 2024 | Incompatível (12 de novembro de 2024) |
1.19 | 31 de outubro de 2023 | Sem suporte (31 de julho de 2024) |
1.18 | 3 de agosto de 2023 | Sem suporte (4 de junho de 2024) |
1.17 | 4 de abril de 2023 | Sem suporte (8 de fevereiro de 2024) |
1.16 | 21 de fevereiro de 2023 | Incompatível (11 de dezembro de 2023) |
1.15 | 25 de outubro de 2022 | Incompatível (4 de agosto de 2023) |
1.14 | 20 de julho de 2022 | Sem suporte (20 de abril de 2023) |
1.13 | 30 de março de 2022 | Não compatíveis (8 de fevereiro de 2023) |
1.12 | 9 de dezembro de 2021 . | Sem suporte (25 de outubro de 2022) |
1.11 | 6 de outubro de 2021 | Incompatível (20 de julho de 2022) |
1.10 | 24 de junho de 2021 | Não compatível (30 de março de 2022) |
1.9 | 4 de março de 2021 | Incompatível (14 de dezembro de 2021) |
1,8 | 15 de dezembro de 2020 | Incompatível (14 de dezembro de 2021) |
1,7 | 3 de novembro de 2020 | Incompatível (14 de dezembro de 2021) |
1.6 | 30 de junho de 2020 | Não compatível (30 de março de 2021) |
1.5 | 20 de maio de 2020 | Não compatíveis (17 de fevereiro de 2021) |
1.4 | 20 de dezembro de 2019 | Não compatível (18 de setembro de 2020) |
Para mais informações sobre nossas políticas de suporte, consulte Como receber suporte.
Diferenças de plataforma
Há diferenças nos recursos compatíveis entre as plataformas compatíveis.
As colunas Outros clusters do GKE Enterprise se referem a clusters que estão fora do Google Cloud, por exemplo:
Google Distributed Cloud:
- Google Distributed Cloud
- Google Distributed Cloud (somente software) em bare metal
Nesta página, usamos o Google Distributed Cloud, em que o mesmo suporte está disponível no Google Distributed Cloud (somente software) para VMware e no Google Distributed Cloud (somente software) para bare metal, além da plataforma específica em que há diferenças entre as plataformas.
GKE Enterprise em outras nuvens públicas:
Clusters anexados do GKE: clusters de terceiros do Kubernetes que foram registrados em uma frota. O Cloud Service Mesh é compatível com os seguintes tipos de cluster:
- Clusters do Amazon EKS
- Clusters do Microsoft AKS
Nas tabelas a seguir:
- : indica que o recurso está ativado por padrão.
- *: indica que o recurso é compatível com a plataforma e pode ser ativado, conforme descrito em Como ativar recursos opcionais ou no guia de recurso vinculado à tabela de recursos.
- Compatível: indica que o recurso ou a ferramenta de terceiros se integra ou funciona com o Cloud Service Mesh, mas não tem suporte total do suporte do Google Cloud e um guia de recursos não está disponível.
- : indica que o recurso não está disponível ou não é compatível com o Cloud Service Mesh 1.23.3.
Os recursos padrão e opcionais são totalmente compatíveis com o suporte do Google Cloud. Recursos não listados explicitamente nas tabelas recebem suporte de melhor esforço.
Imagens de base
Recurso | Clusters do GKE no Google Cloud | Outros clusters do GKE Enterprise |
---|---|---|
Imagem proxy distroless |
Segurança
Mecanismos de distribuição/rotação de certificados
Recurso | Clusters do GKE no Google Cloud | Outros clusters do GKE Enterprise |
---|---|---|
Gerenciamento de certificados de carga de trabalho | ||
Gerenciamento de certificados externos nos gateways de entrada e de saída. |
Suporte para autoridade de certificação (CA)
Recurso | Clusters do GKE no Google Cloud | Clusters do GKE Enterprise no local | Outros clusters do GKE Enterprise |
---|---|---|---|
Autoridade de certificação do Cloud Service Mesh | |||
Certificate Authority Service | * | * | |
CA do Istio (anteriormente conhecida como Citadel) | * | * | |
Conectar seus próprios certificados de CA | Compatível com o serviço de CA e o Istio CA | Compatível com o serviço de CA e o Istio CA | Compatível com a CA do Istio |
Recursos de segurança do Cloud Service Mesh
Além de oferecer suporte aos recursos de segurança do Istio, o Cloud Service Mesh oferece ainda mais recursos para proteger seus aplicativos.
Recurso | Clusters do GKE no Google Cloud | Nuvem distribuída | GKE Multi-cloud | Outros clusters do GKE Enterprise |
---|---|---|---|---|
Integração com o IAP | ||||
Autenticação de usuário final | ||||
Políticas de auditoria (prévia) | * | |||
Modo de teste | ||||
Registro de negação |
Política de autorização
Recurso | Clusters do GKE no Google Cloud | Outros clusters do GKE Enterprise |
---|---|---|
Política de autorização v1beta1 | ||
Modelos de caminho |
Política de autenticação
Autenticação de mesmo nível
Recurso | Clusters do GKE no Google Cloud | Outros clusters do GKE Enterprise |
---|---|---|
Auto-mTLS | ||
Modo mTLS PERMISSIVE |
Para informações sobre como ativar o modo mTLS STRICT, consulte Como configurar a segurança de transporte.
Autenticação de solicitações
Recurso | Clusters do GKE no Google Cloud | Outros clusters do GKE Enterprise |
---|---|---|
Autenticação JWT (Observação 1) |
Observações:
- O JWT de terceiros é ativado por padrão.
Telemetria
Métrica
Recurso | Clusters do GKE no Google Cloud | Clusters do GKE Enterprise no local | Outros clusters do GKE Enterprise |
---|---|---|---|
Cloud Monitoring (métricas HTTP no proxy) | |||
Cloud Monitoring (métricas TCP no proxy) | |||
API Istio Telemetry | |||
Adaptadores/back-ends personalizados, dentro ou fora do processo | |||
Back-ends de telemetria arbitrária e registro | |||
Exportação de métricas do Prometheus para painéis do Prometheus, Grafana e Kiali instalados pelo cliente | Compatível | Compatível | Compatível |
Google Cloud Managed Service para Prometheus, sem incluir o painel do Cloud Service Mesh | |||
O gráfico de topologia no Console do Google Cloud não usa mais o serviço de telemetria do Mesh como fonte de dados. Embora a fonte de dados do gráfico de topologia tenha sido alterada, a IU permanece igual. |
Geração de registros de solicitação do proxy
Seleção de | Clusters do GKE no Google Cloud | Clusters do GKE Enterprise no local | Outros clusters do GKE Enterprise |
---|---|---|---|
Registros de tráfego | |||
Registros de acesso | * | * | * |
Cloud Trace
Recurso | Clusters do GKE no Google Cloud | Clusters do GKE Enterprise no local | Outros clusters do GKE Enterprise |
---|---|---|---|
Cloud Trace | * | * | |
Rastreamento do Jaeger (permite o uso de Jaeger gerenciado pelo cliente) | Compatível | Compatível | Compatível |
Rastreamento de Zipkin (permite o uso de Zipkin gerenciado pelo cliente) | Compatível | Compatível | Compatível |
Rede
Regra de destino
Recurso | Clusters do GKE no Google Cloud | Outros clusters do GKE Enterprise |
---|---|---|
credentialName |
Mecanismo de interceptação e redirecionamento de tráfego
Recurso | Clusters do GKE no Google Cloud | Outros clusters do GKE Enterprise |
---|---|---|
Uso tradicional de iptables usando contêineres init
com CAP_NET_ADMIN |
||
Interface de rede de contêiner (CNI) | * | * |
Suporte a protocolo
Os serviços configurados com os recursos de Camada 7 para os seguintes protocolos não são compatíveis: WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ e Cloud SQL. É possível fazer o protocolo funcionar usando o suporte ao stream de bytes TCP. Se o fluxo de bytes TCP não for compatível com o protocolo, o protocolo não será compatível. Um exemplo disso é quando o Kafka envia um endereço de redirecionamento em uma resposta específica do protocolo e esse redirecionamento é incompatível com a lógica de roteamento do Cloud Service Mesh.
Recurso | Clusters do GKE no Google Cloud | Outros clusters do GKE Enterprise |
---|---|---|
IPv4 | ||
HTTP/1.1 | ||
HTTP/2 | ||
Streams de bytes TCP (Observação 1) | ||
gRPC | ||
IPv6 |
Observações:
- Embora o TCP seja um protocolo compatível com rede, as métricas TCP não são coletadas nem relatadas. As métricas são exibidas apenas para serviços HTTP no console do Google Cloud.
Implantações do Envoy
Recurso | Clusters do GKE no Google Cloud | Outros clusters do GKE Enterprise |
---|---|---|
Sidecars | ||
Gateway de entrada | ||
Saída diretamente dos sidecars | ||
Saída usando gateways de saída | * | * |
Compatibilidade com CRD
Recurso | Clusters do GKE no Google Cloud | Outros clusters do GKE Enterprise |
---|---|---|
Compatibilidade com a API Istio (exceções abaixo) | ||
Filtros personalizados do Envoy |
Balanceador de carga para o gateway de entrada do Istio
Recurso | Clusters do GKE no Google Cloud | Outros clusters do GKE Enterprise |
---|---|---|
Balanceador de carga externo de terceiros | ||
google-cloud-internal-load-balancer | * | Incompatível. Veja os links abaixo. |
Para informações sobre como configurar balanceadores de carga, consulte o seguinte:
- Como configurar o balanceador de carga para o Google Distributed Cloud (somente software) para VMware
- GKE na AWS: Como criar um balanceador de carga
- Expor um gateway de entrada usando um balanceador de carga externo
API Kubernetes Gateway (pré-lançamento)
Na Cloud Service Mesh v1.20, a API Kubernetes Gateway está disponível como uma prévia pública.
Recurso | Clusters do GKE no Google Cloud | Outros clusters do GKE Enterprise |
---|---|---|
Entrada | ||
Gateway com class: istio |
||
HttpRoute usando parentRef |
||
Tráfego de rede mesh | ||
Como configurar CRDs do Istio usando o campo targetRef , incluindo AuthorizationPolicy, RequestAuthentication, Telemetry e WasmPlugin |
Se você estiver usando clusters associados do Microsoft AKS ou GKE em clusters do Azure, defina a seguinte anotação para o recurso de gateway para configurar as verificações de integridade por TCP:
service.beta.kubernetes.io/port_80_health-probe_protocol: tcp
Caso contrário, o tráfego HTTP não será aceito.
Requisitos da visualização da API Kubernetes Gateway
A prévia da API Kubernetes Gateway tem os seguintes requisitos:
Use o comportamento padrão de implantações automatizadas para gateways.
Use o CRD
HttpRoute
para configurações de roteamento. OHttpRoute
precisa ter umparentRef
apontando para um gateway.Não use CRs do Istio Gateway e API Gateway do Kubernetes no mesmo cluster.
Políticas de balanceamento de carga
Recurso | Clusters do GKE no Google Cloud | Outros clusters do GKE Enterprise |
---|---|---|
Round-robin | ||
Menos conexões | ||
Aleatório | ||
Passagem | ||
Hash consistente | ||
Localidade |
Para mais informações sobre políticas de balanceamento de carga, consulte Regras de destino (em inglês).
Plano de dados
Recurso | Clusters do GKE no Google Cloud | Outros clusters do GKE Enterprise |
---|---|---|
Arquivo secundário | ||
Ambiente |
Suporte a vários clusters
Para várias implantações primárias de clusters do GKE em projetos diferentes, todos os clusters precisam estar em uma nuvem privada virtual (VPC) compartilhada.
Rede
Recurso | Clusters do GKE no Google Cloud | Clusters do GKE Enterprise no local | GKE na AWS | GKE no Azure | Clusters anexados |
---|---|---|---|---|---|
Rede única | |||||
Várias redes |
Observações:
- Para clusters anexados, apenas malhas de vários clusters abrangendo uma única plataforma (Microsoft AKS, Amazon EKS) são compatíveis no momento.
Modelo de implantação
Recurso | Clusters do GKE no Google Cloud | Clusters do GKE Enterprise no local | GKE Enterprise em outras nuvens públicas | Clusters anexados |
---|---|---|---|---|
Modo multiprimário | ||||
Principal controle remoto |
Observações sobre a terminologia
Um cluster primário é um cluster com um plano de controle. Uma única malha pode ter mais de um cluster principal para alta disponibilidade ou reduzir a latência. Na documentação do Istio 1.7, uma implantação multiprimária é chamada de plano de controle replicado.
Um cluster remoto é um cluster que se conecta a um plano de controle que reside fora do cluster. Um cluster remoto pode se conectar a um plano de controle em execução em um cluster principal ou a um plano de controle externo.
O Cloud Service Mesh usa uma definição simplificada de rede com base na conectividade geral. Instâncias de carga de trabalho ficam na mesma rede, se puderem se comunicar diretamente, sem um gateway.
Interface do usuário
Recurso | Clusters do GKE no Google Cloud | Google Distributed Cloud | Google Distributed Cloud (somente software) em bare metal | Outros clusters do GKE Enterprise |
---|---|---|---|---|
Painéis do Cloud Service Mesh no console do Google Cloud | * | * | * | |
Cloud Monitoring | * | |||
Cloud Logging | * | |||
Cloud Trace | * |
Observação:os clusters no local exigem o GKE Enterprise versão 1.11 ou mais recente. Para mais informações sobre como fazer upgrade, consulte Como fazer upgrade do Google Distributed Cloud (somente software) para VMware ou Como fazer upgrade do Google Distributed Cloud (somente software) para bare metal.