Vom verwalteten Anthos Service Mesh unterstützte Features

Auf dieser Seite werden die unterstützten Features und Einschränkungen für verwaltetes Anthos Service Mesh beschrieben. Eine Liste der von Anthos Service Mesh unterstützten Features für Anthos Service Mesh mit clusterinterner Steuerungsebene finden Sie unter Clusterinterne Steuerungsebene.

Beschränkungen

Es gelten folgende Einschränkungen:

GKE-Cluster müssen sich in einer der unterstützten Regionen befinden.
Die GKE-Version muss eine unterstützte Version sein.
Nur die unter Umgebungen aufgeführten Plattformen werden unterstützt.
Das Ändern der Release-Versionen wird nicht unterstützt.
Migrationen von verwaltetem Anthos Service Mesh mit asmcli zu Anthos Service Mesh mit Flotten-API werden nicht unterstützt. Ebenso wird die Bereitstellung von verwaltetem Anthos Service Mesh mit der Fleet API von --management manual bis --management automatic nicht unterstützt.
Migrationen und Upgrades werden nur von Anthos Service Mesh-Versionen ab Cluster 1.9 unterstützt, die mit Mesh CA installiert sind. Installationen mit Istio CA (ehemals Citadel) müssen zuerst zu Mesh CA migriert werden.
Die Skalierung ist auf 1.000 Dienste und 5.000 Arbeitslasten pro Cluster beschränkt.
Nur die Multi-Primary-Bereitstellungsoption für Multi-Cluster wird unterstützt, die Primary-Remote-Bereitstellungsoption für Multi-Cluster nicht.
istioctl ps wird nicht unterstützt. Stattdessen können Sie istioctl x ps --xds-via-agents verwenden, um alle Arbeitslasten aufzulisten. Darüber hinaus können Sie istioctl pc mit dem Pod-Namen und Namespace verwenden, um detaillierte Informationen zum Pod abzurufen.
Nicht unterstützte Istio APIs:
- Envoy-Filter
- IstioOperator API
Hinweis: Sie können weiterhin optionale Features aktivieren, ohne die IstioOperator API zu verwenden. Weitere Informationen finden Sie unter Optionale Features in verwaltetem Anthos Service Mesh aktivieren. Mit dem in asmcli enthaltenen Migrationstool können Sie außerdem andere optionale IstioOperator-Features automatisch konvertieren, damit sie mit der von Google verwalteten Steuerungsebene kompatibel sind. Weitere Informationen finden Sie unter Von IstioOperator migrieren.
Sie können die verwaltete Steuerungsebene ohne GKE Enterprise-Abo verwenden. Bestimmte UI-Elemente und Features in der Google Cloud Console sind jedoch nur für GKE Enterprise-Abonnenten verfügbar. Informationen dazu, was Abonnenten und Nicht-Abonnenten zur Verfügung steht, finden Sie unter Unterschiede zwischen GKE Enterprise und Anthos Service Mesh.
Während des Bereitstellungsprozesses für eine verwaltete Steuerungsebene werden Istio-CRDs, die dem ausgewählten Kanal entsprechen, im angegebenen Cluster installiert. Wenn im Cluster vorhandene Istio-CRDs vorhanden sind, werden sie überschrieben
Managed Anthos Service Mesh unterstützt nur die Standard-DNS-Domain .cluster.local.
Seit dem 14. November 2023 rufen neue Installationen von verwaltetem Anthos Service Mesh auf dem schnellen Release-Channel JWKS nur mit Envoys ab. Dies entspricht der Istio-Option PILOT_JWT_ENABLE_REMOTE_JWKS=envoy. Im Vergleich zu Installationen auf den Release-Versionen regular und stable oder Installationen auf der schnellen Release-Version vor dem 14. November 2023 benötigen Sie möglicherweise zusätzliche ServiceEntry- und DestinationRule-Konfigurationen. Ein Beispiel findest du in der requestauthn-with-se.yaml.tmpl.

Nach der Bereitstellung von Anthos Service Mesh müssen Sie den Support kontaktieren, bevor Sie die IP-Rotation oder die Rotation von Zertifikatanmeldedaten initiieren.

Versionsunterschiede

Es gibt Unterschiede bei den unterstützten Features von Releaseversionen.

– gibt an, dass das Feature verfügbar und standardmäßig aktiviert ist.
* gibt an, dass das Feature für die Plattform unterstützt wird und, wie unter Optionale Features aktivieren oder in dem in der Feature-Tabelle verlinkten Leitfaden beschrieben, aktiviert werden kann.
– gibt an, dass das Feature nicht verfügbar ist oder nicht unterstützt wird.

Die standardmäßigen und optionalen Features werden vom Google Cloud-Support vollständig unterstützt. Features, die nicht explizit in den Tabellen aufgeführt sind, erhalten bestmöglichen Support.

Von der verwaltete Steuerungsebene unterstützte Features

Installieren, aktualisieren und Rollback ausführen

Funktion	Stabile Version	Regulär	Schnell
Installation auf GKE-Clustern mit der Fleet Feature API
Upgrades von ASM 1.9-Versionen mit Mesh CA
Direkte Upgrades von Anthos Service Mesh-Versionen vor 1.9 (siehe Hinweise für indirekte Upgrades)
Direkte Upgrades von Istio OSS (siehe Hinweise für indirekte Upgrades)
Direkte Upgrades von Istio-on-GKE-Add-on (siehe Hinweise für indirekte Upgrades)
Optionale Features aktivieren

Umgebungen

Feature	Stabile Version	Regulär	Schnell
GKE 1.25–1.27 in einer der unterstützten Regionen
GKE 1.25–1.27-Cluster mit Autopilot
Umgebungen außerhalb von Google Cloud (lokale GKE Enterprise, GKE Enterprise in anderen öffentlichen Clouds, Amazon EKS, Microsoft AKS oder andere Kubernetes-Cluster)

Skalieren

Feature	Stabile Version	Regulär	Rapid
1.000 Dienste und 5.000 Arbeitslasten pro Cluster

Plattformumgebung

Funktion	Stabile Version	Regulär	Rapid
Einzelnes Netzwerk
Multinetzwerk
Einzelprojekt
Mehrere Projekte mit freigegebener VPC

Bereitstellungsmodell

Funktion	Stabile Version	Regulär	Rapid
Multiprimär
Primäre Fernbedienung

Hinweise zur Terminologie

Bei einer Multi-Primary-Konfiguration muss die Konfiguration in allen Clustern repliziert werden.
Eine Primary-Remote-Konfiguration bedeutet, dass ein einzelner Cluster die Konfiguration enthält und als Source of Truth gilt.
Anthos Service Mesh verwendet eine vereinfachte Definition von Netzwerken auf der Grundlage allgemeiner Konnektivität. Arbeitslastinstanzen befinden sich im selben Netzwerk, wenn sie direkt ohne Gateway direkt kommunizieren können.

Sicherheit

VPC Service Controls

Funktion	Stabile Version	Regulär	Rapid
VPC Service Control (VPC-SC)-Vorschau
VPC Service Control (VPC-SC) GA

Mechanismen zur Zertifikatsverteilung und Rotation

Funktion	Stabile Version	Regulär	Rapid
Verwaltung von Arbeitslastzertifikaten
Externe Zertifikatsverwaltung auf Eingangs- und Ausgangs-Gateways.

Unterstützung von Zertifizierungsstellen (CA)

Funktion	Stabile Version	Regulär	Rapid
Anthos Service Mesh-Zertifizierungsstelle (Mesh CA)
Certificate Authority Service
Istio CA
Integration in benutzerdefinierte Zertifizierungsstellen

Sicherheitsfeatures von Anthos Service Mesh

Anthos Service Mesh unterstützt nicht nur die Sicherheitsfunktionen von Istio, sondern bietet auch weitere Funktionen, mit denen Sie Ihre Anwendungen schützen können.

Funktion	Stabile Version	Regulär	Rapid
IAP-Einbindung
Endnutzerauthentifizierung
Probelaufmodus
Logging der Ablehnung
Audit-Richtlinien

Autorisierungsrichtlinie

Funktion	Stabile Version	Regulär	Rapid
Autorisierungs-v1beta1-Richtlinie

Authentifizierungsrichtlinie

Funktion	Stabile Version	Regulär	Rapid
Auto-mTLS
mTLS-PERMISSIVE-Modus
mTLS-STRICT-Modus	*	*	*

Authentifizierung anfordern

Funktion	Stabile Version	Regulär	Rapid
JWT-Authentifizierung^{(Hinweis 1)}

Hinweise:

JWT von Drittanbietern ist standardmäßig aktiviert.

Basis-Images

Funktion	Stabile Version	Regulär	Rapid
Distroless-Proxy-Image

Telemetrie

Messwerte

Funktion	Stabile Version	Regulär	Rapid
Cloud Monitoring (HTTP-In-Proxy-Messwerte)
Cloud Monitoring (TCP-In-Proxy-Messwerte)
Export von Prometheus-Messwerten nach Grafana (nur Envoy-Messwerte)	*	*	*
Exportieren von Prometheus-Messwerten in Kiali
Google Cloud Managed Service for Prometheus ohne Anthos Service Mesh-Dashboard	*	*	*
Looker Telemetry API
Benutzerdefinierte Adapter/Back-Ends, In- oder Out-of-Process
Beliebige Telemetrie- und Logging-Back-Ends

Logging von Proxy-Anfragen

Funktion	Stabile Version	Regulär	Schnell
Traffic-Logs
Zugriffslogs	*	*	*

Tracing

Funktion	Stabile Version	Regulär	Rapid
Cloud Trace	*	*	*
Jaeger-Tracing (ermöglicht die Verwendung des vom Kunden verwalteten Jaeger)	Kompatibel	Kompatibel	Kompatibel
Zipkin-Tracing (ermöglicht die Verwendung des vom Kunden verwalteten Zipkin)	Kompatibel	Kompatibel	Kompatibel

Netzwerk

Mechanismus zum Abfangen/Umleiten von Traffic

Funktion	Stabile Version	Regulär	Rapid
Traditionelle Verwendung von `iptables` mit `init`-Containern über `CAP_NET_ADMIN`
Istio Container Network Interface (CNI)
Whitebox-Sidecar

Protokollunterstützung

Funktion	Stabile Version	Regulär	Rapid
IPv4
HTTP/1.1
HTTP/2
TCP-Byte-Streams (Hinweis 1)
gRPC
IPv6

Hinweise:

Obwohl TCP ein unterstütztes Protokoll für das Netzwerk ist und TCP-Messwerte erfasst werden, werden sie nicht gemeldet. Messwerte werden nur für HTTP-Dienste in der Google Cloud Console angezeigt.
Dienste, die mit Layer-7-Funktionen für die folgenden Protokolle konfiguriert wurden, werden nicht unterstützt: WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ, Cloud SQL. Unter Umständen können Sie das Protokoll mithilfe der TCP-Bytestream-Unterstützung nutzen. Wenn der TCP-Bytestream das Protokoll nicht unterstützt (z. B. wenn Kafka eine Weiterleitungsadresse in einer protokollspezifischen Antwort sendet und diese Weiterleitung nicht mit der Routinglogik von Anthos Service Mesh kompatibel ist), wird das Protokoll nicht unterstützt.

Envoy-Bereitstellungen

Funktion	Stabile Version	Regulär	Rapid
Sidecar-Dateien
Ingress-Gateway
Ausgehender Traffic direkt von Sidecars
Ausgehender Traffic über Egress-Gateways	*	*	*

CRD-Support

Funktion	Stabile Version	Regulär	Rapid
Sidecar-Ressource
Diensteintragsressource
Prozentwert, Fehlerinjektion, Pfadabgleich, Weiterleitungen, Wiederholungsversuche, Umschreibungen, Zeitüberschreitung, Wiederholungsversuch, Header-Bearbeitung und CORS-Routingregeln
Benutzerdefinierte Envoy-Filter
Istio-Operator

Load-Balancer für das Istio-Ingress-Gateway

Funktion	Stabile Version	Regulär	Schnell
Externer Load-Balancer eines Drittanbieters
Interner Google Cloud-Load-Balancer	*	*	*

Service Mesh-Cloud-Gateway

Funktion	Stabile Version	Regulär	Schnell
Service Mesh-Cloud-Gateway

Load-Balancing-Richtlinien

Funktion	Stabile Version	Regulär	Rapid
Round-Robin
Mindestverbindungen
Zufällig
Passthrough
Konsistenter Hash
Ort

Regionen

GKE-Cluster müssen sich in einer der folgenden Regionen oder in einer beliebigen Zone innerhalb der folgenden Regionen befinden.

Region	Standort
`asia-east1`	Taiwan
`asia-east2`	Hongkong
`asia-northeast1`	Tokio, Japan
`asia-northeast2`	Osaka, Japan
`asia-northeast3`	Südkorea
`asia-south1`	Mumbai, Indien
`asia-south2`	Delhi, Indien
`asia-southeast1`	Singapur
`asia-southeast2`	Jakarta
`australia-southeast1`	Sydney, Australien
`australia-southeast2`	Melbourne, Australien
`europe-central2`	Polen
`europe-north1`	Finnland
`europe-southwest1`	Spanien
`europe-west1`	Belgien
`europe-west2`	England
`europe-west3`	Deutschland
`europe-west4`	Niederlande
`europe-west6`	Schweiz
`europe-west8`	Italien
`europe-west9`	Frankreich
`me-central1`	Doha
`me-central2`	Dammam, Saudi-Arabien
`me-west1`	Tel Aviv
`northamerica-northeast1`	Montreal, Kanada
`northamerica-northeast2`	Toronto, Kanada
`southamerica-east1`	Brasilien
`southamerica-west1`	Chile
`us-central1`	Iowa
`us-east1`	South Carolina
`us-east4`	Northern Virginia
`us-east5`	Ohio
`us-south1`	Dallas
`us-west1`	Oregon
`us-west2`	Los Angeles
`us-west3`	Salt Lake City
`us-west4`	Las Vegas

Benutzeroberfläche

Funktion	Stabile Version	Regulär	Rapid
Anthos Service Mesh-Dashboards in der Google Cloud Console
Cloud Monitoring
Cloud Logging

Tools

Funktion	Stabile Version	Regulär	Schnell
`istioctl` kompatibel mit Anthos Service Mesh 1.9.x
`istioctl ps`
`istioctl x ps` (mit dem Flag `--xds-via-agents`)