Unterstützte Features, die Istio APIs verwenden (verwaltete Steuerungsebene)
Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Auf dieser Seite werden die unterstützten Features und Einschränkungen für Cloud Service Mesh mit Cloud Service Mesh oder istiod als Steuerungsebene sowie die Unterschiede zwischen den einzelnen Implementierungen beschrieben. Beachten Sie, dass diese Optionen nicht zur Auswahl stehen. Die Implementierung von istiod ist nur für bestehende Nutzer verfügbar.
Neuinstallationen verwenden die Cloud Service Mesh-Implementierung.
Migrationen und Upgrades werden nur von clusterinternen Cloud Service Mesh-Versionen ab 1.9 unterstützt, die mit Mesh CA installiert sind. Installationen mit Istio CA (ehemals Citadel) müssen zuerst zu Mesh CA migriert werden.
Die Skalierung ist auf 1.000 Dienste und 5.000 Arbeitslasten pro Cluster beschränkt.
Nur die Multi-Primary-Bereitstellungsoption für Multi-Cluster wird unterstützt, die Primary-Remote-Bereitstellungsoption für Multi-Cluster nicht.
istioctl ps wird nicht unterstützt. Stattdessen können Sie die gcloud beta container fleet mesh debug-Befehle verwenden, wie unter Fehlerbehebung beschrieben.
Nicht unterstützte APIs:
EnvoyFilter API
WasmPlugin API
IstioOperator API
Kubernetes Ingress API
Kubernetes Gateway API
Sie können die verwaltete Steuerungsebene ohne GKE Enterprise-Abo verwenden. Bestimmte UI-Elemente und Features in der Google Cloud Console sind jedoch nur für GKE Enterprise-Abonnenten verfügbar. Informationen dazu, was Abonnenten und Nicht-Abonnenten zur Verfügung steht, finden Sie unter Unterschiede zwischen GKE Enterprise und Cloud Service Mesh.
Während des Bereitstellungsprozesses für eine verwaltete Steuerungsebene werden Istio-CRDs, die dem ausgewählten Kanal entsprechen, im angegebenen Cluster installiert. Wenn im Cluster vorhandene Istio-CRDs vorhanden sind, werden sie überschrieben
Managed Cloud Service Mesh unterstützt nur die Standard-DNS-Domain .cluster.local.
Seit dem 14. November 2023 rufen neue Installationen von verwaltetem Cloud Service Mesh auf dem schnellen Releasekanal JWKS nur mit Envoys ab. Dies entspricht der Istio-Option PILOT_JWT_ENABLE_REMOTE_JWKS=envoy. Im Vergleich zu Installationen auf den Release-Versionen regular und stable oder Installationen auf der schnellen Release-Version vor dem 14. November 2023 benötigen Sie möglicherweise zusätzliche ServiceEntry- und DestinationRule-Konfigurationen. Ein Beispiel findest du in der requestauthn-with-se.yaml.tmpl.
Unterschiede der Steuerungsebene
Die unterstützten Features der Implementierungen der istiod und der Cloud Service Mesh-Steuerungsebene unterscheiden sich. Informationen zur Prüfung, welche Implementierung Sie verwenden, finden Sie unter Implementierung der Steuerungsebene identifizieren.
– gibt an, dass das Feature verfügbar und standardmäßig aktiviert ist.
†: Gibt an, dass es bei Feature APIs auf verschiedenen Plattformen Unterschiede geben kann.
*: Gibt an, dass das Feature für die Plattform unterstützt wird und aktiviert werden kann, wie unter Optionale Features aktivieren oder im Funktionsleitfaden, den Sie in der Featuretabelle verlinkt haben, beschrieben.
– gibt an, dass das Feature nicht verfügbar ist oder nicht unterstützt wird.
Die standardmäßigen und optionalen Features werden vom Google Cloud-Support vollständig unterstützt. Features, die nicht explizit in den Tabellen aufgeführt sind, erhalten bestmöglichen Support.
Wie wird die Implementierung der Steuerungsebene bestimmt?
Wenn Sie ein verwaltetes Cloud Service Mesh zum ersten Mal in einer Flotte bereitstellen, bestimmen wir, welche Implementierung der Steuerungsebene verwendet werden soll. Für alle Cluster, die in dieser Flotte verwaltete Cloud Service Mesh bereitstellen, wird dieselbe Implementierung verwendet.
Neue Flotten, die im verwalteten Cloud Service Mesh eingerichtet werden, erhalten mit einigen Ausnahmen die Implementierung der Steuerungsebene TRAFFIC_DIRECTOR:
Wenn Sie bereits ein verwaltetes Cloud Service Mesh-Nutzer sind, erhalten Sie die Implementierung der ISTIOD-Steuerungsebene mindestens bis zum 24. Juni 2024, wenn Sie eine neue Flotte in derselben Google Cloud-Organisation für das verwaltete Cloud Service Mesh einrichten.
Wenn Sie einer dieser Nutzer sind, können Sie sich an den Support wenden, um dieses Verhalten zu optimieren.
Wenn ein Cluster in Ihrer Flotte bei der Bereitstellung des verwalteten Cloud Service Mesh den Certificate Authority Service verwendet, erhalten Sie die Implementierung der Steuerungsebene ISTIOD.
Wenn ein Cluster in Ihrer Flotte beim Bereitstellen des verwalteten Cloud Service Mesh eine clusterinterne Cloud Service Mesh-Steuerungsebene enthält, erhalten Sie die Implementierung der Steuerungsebene ISTIOD.
Wenn ein Cluster in Ihrer Flotte GKE Sandbox verwendet, erhalten Sie beim Bereitstellen des verwalteten Cloud Service Mesh die Implementierung der ISTIOD-Steuerungsebene.
Implementierung der Steuerungsebene identifizieren
Führen Sie den folgenden Befehl aus, um die Implementierung der Steuerungsebene zu ermitteln:
Umgebungen außerhalb von Google Cloud (lokale GKE Enterprise, GKE Enterprise in anderen öffentlichen Clouds, Amazon EKS, Microsoft AKS oder andere Kubernetes-Cluster)
Skalieren
Feature
Verwaltet (TD)
Verwaltet (istiod)
1.000 Dienste und 5.000 Arbeitslasten pro Cluster
50 ServicePorts pro Mesh und 36 Pods pro ServicePort
Eine Konfiguration mit mehreren primären Instanzen bedeutet, dass die Konfiguration in allen Clustern repliziert werden muss.
Eine Primär-Remote-Konfiguration bedeutet, dass ein einzelner Cluster die Konfiguration enthält und als „Source of Truth“ gilt.
Cloud Service Mesh verwendet eine vereinfachte Definition eines Netzwerks, die auf der allgemeinen Konnektivität basiert. Arbeitslastinstanzen befinden sich im selben Netzwerk, wenn sie ohne Gateway direkt kommunizieren können.
† Cloud Service Mesh mit einer verwalteten Steuerungsebene (TD) unterstützt nur den Image-Typ „Distroless“. Diese Einstellung kann nicht geändert werden.
Da Distroless-Images nur minimale Binärprogramme haben, können Sie die üblichen Befehle wie bash oder curl nicht ausführen, da sie im distroless-Image nicht vorhanden sind.
Sie können jedoch sitzungsspezifische Container verwenden, um sie an einen laufenden Arbeitslast-Pod anzuhängen, um ihn zu prüfen und benutzerdefinierte Befehle auszuführen. Ein Beispiel finden Sie unter Cloud Service Mesh-Logs erfassen.
† Die Implementierung der Cloud Service Mesh-Steuerungsebene unterstützt die Felder rules.from.source.RemoteIp und rules.from.source.NotRemoteIp nicht.
Obwohl TCP ein unterstütztes Protokoll für das Netzwerk ist und TCP-Messwerte erfasst werden, werden sie nicht gemeldet. Messwerte werden nur für HTTP-Dienste in der Google Cloud Console angezeigt.
Dienste, die mit Layer-7-Funktionen für die folgenden Protokolle konfiguriert wurden, werden nicht unterstützt: WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ, Cloud SQL. Unter Umständen können Sie das Protokoll mithilfe der TCP-Bytestream-Unterstützung nutzen. Wenn der TCP-Bytestream das Protokoll nicht unterstützt (z. B. wenn Kafka eine Weiterleitungsadresse in einer protokollspezifischen Antwort sendet und diese Weiterleitung nicht mit der Routinglogik von Cloud Service Mesh kompatibel ist), wird das Protokoll nicht unterstützt.
† Die folgenden Felder und Werte in Feldern werden von der Implementierung der Cloud Service Mesh-Steuerungsebene nicht unterstützt:
Feld workloadSelector
Feld endpoints[].network
Feld endpoints[].locality
Feld endpoints[].weight
Feld endpoints[].serviceAccount
Wert „DNS_ROUND_ROBIN“ im Feld „resolution“
Wert „MESH_INTERNAL“ im Feld „location“
Unix-Domain-Socket-Adresse im Feld endpoints[].address
Zielregel
Feature
Verwaltet (TD)
Verwaltet (istiod)
DestinationRule (v1beta1)
†
† Die Implementierung der Cloud Service Mesh-Steuerungsebene unterstützt die Felder trafficPolicy.loadBalancer.localityLbSetting und trafficPolicy.tunnel nicht.
Darüber hinaus erfordert die Implementierung der Cloud Service Mesh-Steuerungsebene, dass sich die Zielregel, die Teilmengen definiert, im selben Namespace und Cluster wie der Kubernetes-Dienst oder ServiceEntry befindet.
Sidecar
Feature
Verwaltet (TD)
Verwaltet (istiod)
Sidecar v1beta1
†
† Die folgenden Felder und Werte in Feldern werden von der Implementierung der Cloud Service Mesh-Steuerungsebene nicht unterstützt: