Versi 1.20

Versi yang tersedia

1.20 (terbaru)
1.19
1.18
1.17
1.16
1.15
1.14
1.13
1.12
1.12

219}

Halaman ini diterjemahkan oleh Cloud Translation API.

Fitur yang didukung menggunakan Istio API (bidang kontrol yang dikelola)

Halaman ini menjelaskan fitur yang didukung dan batasan untuk Cloud Service Mesh menggunakan TRAFFIC_DIRECTOR atau ISTIOD sebagai bidang kontrol dan perbedaan di antara setiap penerapan. Perhatikan bahwa ini bukan opsi yang dapat Anda pilih. Implementasi ISTIOD hanya tersedia untuk pengguna yang sudah ada. Penginstalan baru menggunakan implementasi TRAFFIC_DIRECTOR jika memungkinkan.

Untuk daftar fitur yang didukung Cloud Service Mesh untuk bidang kontrol dalam cluster, lihat Menggunakan Istio API (bidang kontrol istiod dalam cluster). Jika tidak yakin bidang kontrol Cloud Service Mesh mana yang digunakan, Anda dapat memeriksa penerapan bidang kontrol menggunakan petunjuk di Mengidentifikasi penerapan bidang kontrol

Batasan

Batasan berikut berlaku:

Cluster GKE harus berada di salah satu region yang didukung.
Versi GKE harus berupa versi yang didukung.
Hanya platform yang tercantum di Lingkungan yang didukung.
Mengubah saluran rilis adalah tidak didukung.
Migrasi dari Cloud Service Mesh terkelola dengan asmcli dapat Cloud Service Mesh dengan fleet API tidak didukung. Demikian pula, menyediakan Cloud Service Mesh terkelola dengan fleet API dari --management manual hingga --management automatic tidak didukung.
Migrasi dan upgrade hanya didukung dari Cloud Service Mesh dalam cluster versi 1.9+ yang diinstal dengan Mesh CA. Penginstalan dengan Istio CA (sebelumnya (dikenal sebagai Benteng) harus terlebih dahulu bermigrasi ke Mesh CA.
Skala dibatasi hingga 1.000 layanan dan 5.000 workload per cluster.
Hanya opsi deployment multi-utama untuk multi-cluster yang didukung: opsi deployment primer-jarak jauh untuk multi-cluster tidak demikian.
istioctl ps tidak didukung. Sebagai gantinya, Anda dapat menggunakan perintah gcloud beta container fleet mesh debug seperti yang dijelaskan dalam Pemecahan Masalah.
API yang tidak didukung:
- EnvoyFilter API
- WasmPlugin API
- IstioOperator API
- Kubernetes Ingress API
Catatan: Anda tetap dapat mengaktifkan fitur opsional tanpa menggunakan IstioOperator API. lihat Mengaktifkan fitur opsional pada Cloud Service Mesh terkelola. Anda juga dapat menggunakan alat migrasi yang disertakan dengan asmcli untuk mengonversi fitur opsional IstioOperator lain secara otomatis agar kompatibel dengan panel kontrol terkelola. Untuk selengkapnya informasi selengkapnya, lihat Bermigrasi dari IstioOperator.
Anda dapat menggunakan bidang kontrol terkelola tanpa langganan GKE Enterprise, tetapi elemen dan fitur UI tertentu di Konsol Google Cloud hanya tersedia kepada pelanggan GKE Enterprise. Untuk informasi tentang apa saja yang tersedia kepada pelanggan dan non-pelanggan, lihat Perbedaan UI GKE Enterprise dan Cloud Service Mesh.
Selama proses penyediaan untuk bidang kontrol yang dikelola, Istio CRD yang sesuai dengan saluran yang dipilih akan diinstal di cluster yang ditentukan. Jika ada CRD Istio yang ada di cluster, CRD tersebut akan ditimpa.
Mesh Layanan Cloud Terkelola hanya mendukung domain DNS default .cluster.local.
Mulai 14 November 2023, penginstalan baru untuk Cloud Service Mesh terkelola di saluran rilis cepat mengambil JWKS hanya menggunakan Envoys. Ini setara dengan opsi Istio PILOT_JWT_ENABLE_REMOTE_JWKS=envoy. Dibandingkan dengan instalasi pada saluran rilis reguler dan stabil, atau penginstalan di yang cepat sebelum 14 November 2023, Anda mungkin perlu Konfigurasi ServiceEntry dan DestinationRule. Misalnya, lihat requestauthn-with-se.yaml.tmpl

Perbedaan bidang kontrol

Terdapat perbedaan antara fitur yang didukung antara ISTIOD dan TRAFFIC_DIRECTOR implementasi bidang kontrol. Untuk memeriksa implementasi yang Anda gunakan, lihat Mengidentifikasi implementasi bidang kontrol.

– menunjukkan bahwa fitur tersedia dan diaktifkan secara default.
† - menunjukkan bahwa API fitur mungkin memiliki perbedaan di antara berbagai platform.
* – menunjukkan bahwa fitur didukung untuk platform dan dapat diaktifkan, seperti yang dijelaskan dalam Mengaktifkan fitur opsional atau panduan fitur yang ditautkan dalam tabel fitur.
§ – menunjukkan bahwa fitur tersebut didukung oleh daftar yang diizinkan. Pengguna Anthos Service Mesh terkelola sebelumnya diizinkan secara otomatis di tingkat organisasi. Hubungi Dukungan Google Cloud untuk meminta akses atau memeriksa status daftar yang diizinkan.
– menunjukkan bahwa fitur tidak atau tidak didukung.

Fitur default dan opsional didukung sepenuhnya oleh Google Cloud. Dukungan. Fitur yang tidak tercantum secara eksplisit dalam tabel akan mendapatkan upaya terbaik dukungan teknis IT.

Yang menentukan penerapan bidang kontrol

Saat Anda menyediakan Cloud Service Mesh terkelola untuk pertama kalinya dalam fleet, kami menentukan implementasi bidang kontrol yang akan digunakan. Implementasi yang sama adalah dan digunakan untuk semua cluster yang menyediakan Cloud Service Mesh terkelola di fleet tersebut.

Flotte baru yang melakukan aktivasi ke Cloud Service Mesh terkelola menerima implementasi bidang kontrol TRAFFIC_DIRECTOR, dengan pengecualian tertentu:

Jika Anda adalah pengguna Cloud Service Mesh terkelola yang sudah ada, Anda akan menerima penerapan bidang kontrol ISTIOD saat melakukan aktivasi fleet baru di Organisasi Google Cloud yang sama ke Cloud Service Mesh terkelola, hingga setidaknya 30 Juni 2024. Jika Anda adalah salah satu pengguna ini, Anda dapat menghubungi Dukungan untuk menyesuaikan perilaku ini. Pengguna yang penggunaannya yang sudah ada tidak kompatibel dengan TRAFFIC_DIRECTOR implementasi tanpa perubahan akan terus menerima ISTIOD hingga 8 September 2024. (Pengguna ini menerima Pengumuman Layanan.)
Jika ada cluster di armada Anda yang menggunakan Certificate Authority Service saat Anda menyediakan Cloud Service Mesh, Anda akan menerima implementasi bidang kontrol ISTIOD.
Jika ada cluster di fleet Anda yang berisi bidang kontrol Cloud Service Mesh dalam cluster saat Anda menyediakan Cloud Service Mesh terkelola, Anda akan menerima implementasi bidang kontrol ISTIOD.
Jika ada cluster di fleet Anda yang menggunakan GKE Sandbox, saat menyediakan Cloud Service Mesh terkelola, Anda akan menerima ISTIOD implementasi bidang kontrol.

Fitur yang didukung bidang kontrol terkelola

Menginstal, mengupgrade, dan melakukan rollback

Fitur	Terkelola (TD)	Dikelola (istiod)
Penginstalan pada cluster GKE menggunakan API fitur fleet
Upgrade dari versi ASM 1.9 yang menggunakan CA Mesh
Upgrade langsung (skip-level) dari versi Cloud Service Mesh sebelum 1.9 (lihat catatan untuk upgrade tidak langsung)
Upgrade langsung (skip-level) dari Istio OSS (lihat catatan untuk upgrade tidak langsung)
Upgrade langsung (lewati level) dari add-on Istio-on-GKE (lihat catatan untuk upgrade tidak langsung)
Mengaktifkan fitur opsional

Lingkungan

Fitur	Terkelola (TD)	Terkelola (istiod)
GKE 1.25-1.27 di salah satu region yang didukung
Cluster GKE 1.25-1.27 dengan Autopilot
Lingkungan di luar Google Cloud (GKE Enterprise di infrastruktur lokal, GKE Enterprise di cloud publik lainnya, Amazon EKS, Microsoft AKS, atau cluster Kubernetes lainnya)

Skala

Fitur	Terkelola (TD)	Dikelola (istiod)
1.000 layanan dan 5.000 workload per cluster
50 Port Layanan Headless per mesh dan 36 pod per ServicePort Headless

Lingkungan platform

Fitur	Terkelola (TD)	Terkelola (istiod)
Jaringan tunggal
Multi-jaringan
Satu project
Multi-project dengan VPC Bersama

Deployment multi-cluster

Fitur	Terkelola (TD)	Terkelola (istiod)
Multi-primary
Utama-jarak jauh
Penemuan endpoint multi-cluster dengan API deklaratif
Penemuan endpoint multi-cluster dengan rahasia jarak jauh

Catatan tentang terminologi

Konfigurasi multi-utama berarti bahwa konfigurasi harus direplikasi dalam semua klaster.
Konfigurasi utama-jarak jauh berarti bahwa satu cluster berisi konfigurasi dan dianggap sebagai sumber kebenaran.
Cloud Service Mesh menggunakan definisi jaringan yang disederhanakan berdasarkan konektivitas pribadi. Instance workload berada di jaringan yang sama jika instance berkomunikasi secara langsung, tanpa {i>gateway<i}.

Image Dasar

Fitur	Terkelola (TD)	Terkelola (istiod)
Gambar proxy distroless	†

† Cloud Service Mesh dengan bidang kontrol terkelola (TD) hanya mendukung jenis image distroless. Anda tidak dapat mengubahnya.

Perhatikan bahwa image distroless memiliki biner minimal, sehingga Anda tidak dapat menjalankan perintah biasa seperti bash atau curl karena tidak ada dalam image distroless. Namun, Anda dapat menggunakan container ephemeral untuk dipasang ke Pod workload yang sedang berjalan untuk dapat memeriksanya dan menjalankan perintah khusus. Misalnya, lihat Mengumpulkan log Cloud Service Mesh.

Keamanan

Kontrol Layanan VPC

Fitur	Terkelola (TD)	Dikelola (istiod)
Pratinjau Kontrol Layanan VPC
GA Kontrol Layanan VPC

Mekanisme rotasi dan distribusi sertifikat

Fitur	Terkelola (TD)	Terkelola (istiod)
Pengelolaan sertifikat workload
Pengelolaan sertifikat eksternal aktif traffic masuk dan keluar.

Dukungan certificate authority (CA)

Fitur	Terkelola (TD)	Terkelola (istiod)
Certificate authority Cloud Service Mesh
Certificate Authority Service
Istio CA
Integrasi dengan CA kustom

Fitur keamanan

Selain mendukung fitur keamanan Istio, Cloud Service Mesh menyediakan lebih banyak lagi kemampuan untuk membantu Anda mengamankan aplikasi.

Fitur	Terkelola (TD)	Terkelola (istiod)
Integrasi IAP
Autentikasi pengguna akhir
Mode uji coba
Logging penolakan
Kebijakan audit (tidak didukung)

Kebijakan otorisasi

Fitur	Terkelola (TD)	Dikelola (istiod)
Kebijakan otorisasi v1beta1	†
Kebijakan Otorisasi KHUSUS	§

† Implementasi bidang kontrol TRAFFIC_DIRECTOR tidak mendukung Kolom rules.from.source.RemoteIp dan rules.from.source.NotRemoteIp.

Autentikasi peer

Fitur	Terkelola (TD)	Terkelola (istiod)
mTLS otomatis
Mode PERMISSIVE mTLS
Mode mTLS STRICT	*	*
Mode NONAKTIFKAN mTLS

Minta autentikasi

Fitur	Terkelola (TD)	Terkelola (istiod)
Autentikasi JWT^{(Catatan 1)}
Pemilihan Rute Berbasis Klaim JWT
JWT Copy Claim to Headers

Catatan:

JWT pihak ketiga diaktifkan secara default.
Tambahkan fqdn/nama host lengkap di JWKSURI saat menentukan RequestAuthentication API.
Bidang kontrol terkelola menerapkan Envoy untuk mengambil JWKS saat menentukan URI JWKS.

Telemetri

Metrik

Fitur	Terkelola (TD)	Terkelola (istiod)
Cloud Monitoring (metrik dalam proxy HTTP)
Cloud Monitoring (metrik dalam proxy TCP)
Ekspor metrik Prometheus ke Grafana (khusus metrik Envoy)	*	*
Ekspor metrik Prometheus ke Kiali
Google Cloud Managed Service for Prometheus, tidak termasuk dasbor Cloud Service Mesh	*	*
Istio Telemetry API	†
Adaptor/backend kustom, dalam atau luar proses
Backend logging dan telemetri arbitrer

† Bidang kontrol TRAFFIC_DIRECTOR mendukung subset API telemetri Istio digunakan untuk mengonfigurasi log akses dan trace.

Logging permintaan proxy

Fitur	Terkelola (TD)	Dikelola (istiod)
Log traffic
Log akses	*	*

Pelacakan

Fitur	Terkelola (TD)	Dikelola (istiod)
Cloud Trace	*	*
Pelacakan Jaeger (memungkinkan penggunaan Jaeger yang dikelola pelanggan)		Kompatibel
Pelacakan Zipkin (memungkinkan penggunaan Zipkin yang dikelola pelanggan)		Kompatibel

Jaringan

Mekanisme intersepsi dan pengalihan traffic

Fitur	Terkelola (TD)	Terkelola (istiod)
Penggunaan tradisional `iptables` menggunakan penampung `init` dengan `CAP_NET_ADMIN`
Antarmuka Jaringan Container (CNI) Istio
File bantuan kotak putih

Dukungan protokol

Fitur	Terkelola (TD)	Terkelola (istiod)
IPv4
HTTP/1.1
HTTP/2
Streaming byte TCP (Catatan 1)
gRPC
IPv6

Catatan:

Meskipun TCP adalah protokol yang didukung untuk jaringan dan TCP metrik dikumpulkan, tetapi tidak dilaporkan. Metrik hanya ditampilkan untuk layanan HTTP di Konsol Google Cloud.
Layanan yang dikonfigurasi dengan kemampuan Lapisan 7 untuk protokol berikut tidak didukung: WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ, Cloud SQL. Anda mungkin dapat membuat protokol berfungsi dengan menggunakan dukungan byte stream TCP. Jika streaming byte TCP tidak dapat mendukung protokol (misalnya, Kafka mengirimkan alamat pengalihan dalam balasan spesifik per protokol dan pengalihan ini tidak kompatibel dengan logika perutean Cloud Service Mesh), maka protokol ini tidak didukung.

Deployment Envoy

Fitur	Terkelola (TD)	Terkelola (istiod)
File bantuan
Gateway masuk
Traffic keluar langsung dari file bantuan
Traffic keluar menggunakan gateway keluar	*	*

Dukungan CRD

Fitur	Terkelola (TD)	Terkelola (istiod)
Resource file bantuan
Resource entri layanan
Persentase, injeksi kesalahan, pencocokan jalur, pengalihan, percobaan ulang, penulisan ulang, waktu tunggu, coba lagi, pencerminan, manipulasi header, dan aturan pemilihan rute CORS
API`EnvoyFilter`	§
`WasmPlugin` API
Operator Istio

Load balancer untuk gateway masuk Istio

Fitur	Terkelola (TD)	Terkelola (istiod)
Load balancer eksternal pihak ketiga
Load balancer Internal Google Cloud	*	*

Gateway cloud mesh layanan

Fitur	Terkelola (TD)	Dikelola (istiod)
Gateway cloud mesh layanan

API Gateway Kubernetes

Fitur	Terkelola (TD)	Terkelola (istiod)
API Gateway Kubernetes

Kebijakan load balancing

Fitur	Terkelola (TD)	Terkelola (istiod)
Panggilan acak
Koneksi paling sedikit
Acak
Masuk
Hash konsisten
Locality

Entri layanan

Fitur	Terkelola (TD)	Dikelola (istiod)
ServiceEntry v1beta1	†

† Implementasi bidang kontrol TRAFFIC_DIRECTOR tidak mendukung tindakan berikut {i>field<i} dan nilai dalam {i>field<i}:

Kolom workloadSelector
Kolom endpoints[].network
Kolom endpoints[].locality
Kolom endpoints[].weight
Kolom endpoints[].serviceAccount
Nilai DNS_ROUND_ROBIN di kolom resolution
Nilai MESH_INTERNAL di kolom location
Alamat soket domain unix di kolom endpoints[].address
Kolom subjectAltNames

Aturan tujuan

Fitur	Terkelola (TD)	Terkelola (istiod)
DestinationRule v1beta1	†

† Implementasi bidang kontrol TRAFFIC_DIRECTOR tidak mendukung Kolom trafficPolicy.loadBalancer.localityLbSetting dan trafficPolicy.tunnel kolom tersebut. Selain itu, penerapan bidang kontrol TRAFFIC_DIRECTOR mengharuskan aturan tujuan yang menentukan subset berada di namespace dan cluster yang sama dengan layanan Kubernetes atau ServiceEntry.

Sidecar

Fitur	Terkelola (TD)	Terkelola (istiod)
File bantuan v1beta1	†

† Implementasi bidang kontrol TRAFFIC_DIRECTOR tidak mendukung tindakan berikut {i>field<i} dan nilai dalam {i>field<i}:

Kolom ingress
Kolom egress.port
Kolom egress.bind
Kolom egress.captureMode
Kolom inboundConnectionPool

MeshConfig

Fitur	Terkelola (TD)	Terkelola (istiod)
LocalityLB	§
ExtensionProviders	§
CACert
ImageType - distroless	§
OutboundTrafficPolicy	§
defaultProviders.accessLogging
defaultProviders.tracing
defaultConfig.tracing.stackdriver	§
accessLogFile	§

ProxyConfig

Fitur	Terkelola (TD)	Terkelola (istiod)
Proxy DNS (ISTIO_META_DNS_CAPTURE, ISTIO_META_DNS_AUTO_ALLOCATE)
Dukungan HTTP/1.0 (ISTIO_META_NETWORK)
Pemilihan gambar (gambar dasar atau tanpa distro)	†

† Image distroless digunakan untuk injeksi.

Region

Cluster GKE harus berada di salah satu region berikut atau zona mana pun dalam region berikut.

Wilayah	Lokasi
`asia-east1`	Taiwan
`asia-east2`	Hong Kong
`asia-northeast1`	Tokyo, Jepang
`asia-northeast2`	Osaka, Jepang
`asia-northeast3`	Korea Selatan
`asia-south1`	Mumbai, India
`asia-south2`	Delhi, India
`asia-southeast1`	Singapura
`asia-southeast2`	Jakarta
`australia-southeast1`	Sydney, Australia
`australia-southeast2`	Melbourne, Australia
`europe-central2`	Polandia
`europe-north1`	Finlandia
`europe-southwest1`	Spanyol
`europe-west1`	Belgia
`europe-west2`	Inggris
`europe-west3`	Frankfurt, Jerman
`europe-west4`	Belanda
`europe-west6`	Swiss
`europe-west8`	Milan, Italia
`europe-west9`	Prancis
`europe-west10`	Berlin, Jerman
`europe-west12`	Turin, Italia
`me-central1`	Doha
`me-central2`	Dammam, Arab Saudi
`me-west1`	Tel Aviv
`northamerica-northeast1`	Montreal, Kanada
`northamerica-northeast2`	Toronto, Kanada
`southamerica-east1`	Brasil
`southamerica-west1`	Cile
`us-central1`	Iowa
`us-east1`	South Carolina
`us-east4`	Northern Virginia
`us-east5`	Ohio
`us-south1`	Dallas
`us-west1`	Oregon
`us-west2`	Los Angeles
`us-west3`	Salt Lake City
`us-west4`	Las Vegas

Antarmuka pengguna

Fitur	Terkelola (TD)	Terkelola (istiod)
Dasbor Cloud Service Mesh di Konsol Google Cloud
Cloud Monitoring
Cloud Logging

Alat

Fitur	Terkelola (TD)	Terkelola (istiod)
Alat `gcloud beta container fleet mesh debug`