관리형 Anthos Service Mesh 지원 기능

이 페이지에서는 관리형 Anthos Service Mesh에 지원되는 기능과 제한사항에 대해 설명합니다. 클러스터 내 제어 영역이 있는 Anthos Service Mesh에 지원되는 기능 목록은 클러스터 내 제어 영역을 참조하세요.

제한사항

다음과 같은 제한사항이 적용됩니다.

  • GKE 클러스터는 지원되는 리전 중 하나에 있어야 합니다.
  • GKE 버전은 지원되는 버전이어야 합니다.
  • 환경에 나열된 플랫폼만 지원됩니다.
  • 출시 채널 변경은 지원되지 않습니다.
  • 관리형 Anthos Service Mesh는 기본 DNS 도메인인 cluster.local만 지원합니다. 하지만 GKE에서 커스텀 클러스터 도메인을 사용할 수 있습니다.
  • asmcli가 포함된 관리형 Anthos Service Mesh에서 Fleet API가 있는 Anthos Service Mesh로 마이그레이션할 수 없습니다. 마찬가지로 --management manual에서 --management automatic까지의 Fleet API를 사용하여 관리형 Anthos Service Mesh를 프로비저닝할 수 없습니다.
  • 마이그레이션 및 업그레이드는 Mesh CA와 함께 설치된 클러스터 내 Anthos Service Mesh 버전 1.9 이상에서만 지원됩니다. Istio CA(이전 명칭: Citadel)를 사용하여 설치하는 경우 먼저 Mesh CA로 마이그레이션해야 합니다.
  • 확장은 클러스터당 1,000개 서비스 및 5,000개 워크로드로 제한됩니다.
  • 멀티 클러스터에 대해서는 다중 기본 배포 옵션만 지원되며, 멀티 클러스터에 대해 기본 원격 배포 옵션은 지원되지 않습니다.
  • istioctl ps는 지원되지 않습니다. 대신 istioctl x ps --xds-via-agents를 사용하여 모든 워크로드를 나열할 수 있습니다. 또한 istioctl pc를 포드 이름 및 네임스페이스와 함께 사용하여 포드의 자세한 정보를 가져올 수 있습니다.
  • 지원되지 않는 Istio API:

    • Envoy 필터

    • IstioOperator API

  • GKE Enterprise를 구독하지 않고도 관리형 제어 영역을 사용할 수 있지만 Google Cloud 콘솔의 특정 UI 요소와 기능은 GKE Enterprise 구독자에게만 제공됩니다. 구독자와 비구독자가 사용할 수 있는 항목에 대한 자세한 내용은 GKE Enterprise 및 Anthos Service Mesh UI 차이점을 참조하세요.

  • 관리형 제어 영역의 프로비저닝 프로세스 중에 선택한 채널에 해당하는 Istio CRD가 지정된 클러스터에 설치됩니다. 클러스터에 기존 Istio CRD가 있으면 덮어씁니다.

  • 관리형 Anthos Service Mesh는 기본 DNS 도메인인 .cluster.local만 지원합니다.

  • 2023년 11월 14일부터는 빠른 출시 채널에서 관리형 Anthos Service Mesh를 새로 설치하면 Envoy만 사용하여 JWKS를 가져옵니다. 이는 PILOT_JWT_ENABLE_REMOTE_JWKS=envoy Istio 옵션과 동일합니다. 규칙적이고 안정적인 출시 채널에 설치된 것과 비교하거나 2023년 11월 14일 이전에 신속한 출시 채널에 설치된 것과 비교하면 추가 ServiceEntryDestinationRule 구성이 필요할 수 있습니다. 이에 관한 예시는 requestauthn-with-se.yaml.tmpl을 참조하세요.

채널 차이점

출시 채널마다 지원되는 기능이 다릅니다.

  • – 기능이 제공되며 기본적으로 사용 설정되어 있음을 나타냅니다.
  • * – 선택적 기능 사용 설정 또는 기능 테이블에 링크된 기능 가이드에 설명된 대로 해당 기능이 플랫폼에 지원되고 사용 설정될 수 있음을 나타냅니다.
  • – 기능이 제공되지 않거나 지원되지 않음을 나타냅니다.

기본 기능 및 선택적 기능은 Google Cloud 지원팀에서 완전하게 지원됩니다. 표에 명시적으로 나열되지 않은 기능은 최선의 지원을 받습니다.

관리형 제어 영역 지원 기능

설치, 업그레이드, 롤백

기능 정식 일반 신속
Fleet 기능 API를 사용하여 GKE 클러스터에 설치
Mesh CA를 사용하는 ASM 1.9 버전에서 업그레이드
1.9 이전의 Anthos Service Mesh 버전에서 직접(건너뛰기 수준) 업그레이드(간접 업그레이드 설명 참조)
Istio OSS에서 직접(건너뛰기 수준) 업그레이드(간접 업그레이드 설명 참조)
Istio-on-GKE 부가기능에서 직접(건너뛰기 수준) 업그레이드(간접 업그레이드 설명 참조)
선택 기능 사용 설정

환경

기능 정식 일반 신속
지원되는 리전 중 하나에서 1.25-1.27
Autopilot을 사용한 GKE 1.25-1.27 클러스터
Google Cloud 외부 환경(GKE Enterprise 온프레미스, 기타 퍼블릭 클라우드의 GKE Enterprise, Amazon EKS, Microsoft AKS, 기타 Kubernetes 클러스터)

확장

기능 정식 일반 신속
클러스터당 1,000개 서비스 및 5,000개 워크로드

플랫폼 환경

기능 정식 일반 신속
단일 네트워크
다중 네트워크
단일 프로젝트
공유 VPC가 포함된 다중 프로젝트

배포 모델

기능 정식 일반 신속
다중 기본
기본 원격

용어에 대한 참고사항

  • 다중 기본 구성은 해당 구성을 모든 클러스터에 복제해야 함을 의미합니다.

  • 기본 원격 구성의 경우 단일 클러스터가 구성을 포함하고 정보 소스로 고려됩니다.

  • Anthos Service Mesh는 일반 연결을 기준으로 단순화된 네트워크 정의를 사용합니다. 워크로드 인스턴스는 게이트웨이 없이 직접 통신할 수 있는 경우 동일한 네트워크에 있습니다.

보안

VPC 서비스 제어

기능 정식 일반 신속
VPC 서비스 제어(VPC-SC) 미리보기
VPC 서비스 제어(VPC-SC) GA

인증서 배포/순환 메커니즘

기능 정식 일반 신속
워크로드 인증서 관리
인그레스이그레스 게이트웨이의 외부 인증서 관리

인증 기관(CA) 지원

기능 정식 일반 신속
Anthos Service Mesh 인증 기관(Mesh CA)
Certificate Authority Service
Istio CA
커스텀 CA와 통합

Anthos Service Mesh 보안 기능

Istio 보안 기능 지원 외에도 Anthos Service Mesh는 애플리케이션 보안을 위해 더 많은 기능을 제공합니다.

기능 정식 일반 신속
IAP 통합
최종 사용자 인증
연습 실행 모드
거부 로깅
감사 정책

승인 정책

기능 정식 일반 신속
승인 v1beta1 정책

인증 정책

기능 정식 일반 신속
자동 mTLS
mTLS PERMISSIVE 모드
mTLS STRICT 모드 * * *

인증 요청

기능 정식 일반 신속
JWT 인증(참고 1)

참고:

  1. 제3자 JWT는 기본적으로 사용 설정됩니다.

기본 이미지

기능 정식 일반 신속
Distroless 프록시 이미지

원격 분석

측정항목

기능 정식 일반 신속
Cloud Monitoring(HTTP 프록시 내 측정항목)
Cloud Monitoring(TCP 프록시 내 측정항목)
Grafana로 Prometheus 측정항목 내보내기(Envoy 측정항목만 해당) * * *
Kiali로 Prometheus 측정항목 내보내기
Anthos Service Mesh 대시보드를 포함하지 않는 Google Cloud Managed Service for Prometheus * * *
Istio Telemetry API
프로세스 내부 또는 외부의 커스텀 어댑터/백엔드
임의 원격 분석 및 로깅 백엔드

프록시 요청 로깅

기능 정식 일반 신속
트래픽 로그
액세스 로그 * * *

추적

기능 정식 일반 신속
Cloud Trace * * *
Jaeger 추적(고객 관리형 Jaeger 사용 가능) 호환 가능 호환 가능 호환 가능
Zipkin 추적(고객 관리형 Zipkin 사용 가능) 호환 가능 호환 가능 호환 가능

네트워킹

트래픽 가로채기/리디렉션 메커니즘

기능 정식 일반 신속
CAP_NET_ADMIN과 함께 init 컨테이너를 사용하는 iptables의 기존 사용
Istio 컨테이너 네트워크 인터페이스(CNI)
화이트박스 사이드카

프로토콜 지원

기능 정식 일반 신속
IPv4
HTTP/1.1
HTTP/2
TCP 바이트 스트림(참고 1)
gRPC
IPv6

참고:

  1. TCP는 네트워킹 및 TCP 측정항목 수집에 지원되는 프로토콜이지만 보고되지는 않습니다. 측정항목은 Google Cloud 콘솔의 HTTP 서비스에만 표시됩니다.
  2. WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ, Cloud SQL 등의 프로토콜을 위한 레이어 7 기능으로 구성된 서비스는 지원되지 않습니다. TCP 바이트 스트림 지원을 사용하여 프로토콜을 작동시킬 수 있습니다. TCP 바이트 스트림이 프로토콜을 지원할 수 없는 경우(예: Kafka가 프로토콜별 응답에서 리디렉션 주소를 전송하고 이 리디렉션이 Anthos Service Mesh의 라우팅 로직과 호환되지 않는 경우) 프로토콜이 지원되지 않습니다.

Envoy 배포

기능 정식 일반 신속
사이드카
인그레스 게이트웨이
사이드카에서 직접 이그레스
이그레스 게이트웨이를 사용한 이그레스 * * *

CRD 지원

기능 정식 일반 신속
사이드카 리소스
서비스 항목 리소스
비율, 결함 삽입, 경로 일치, 리디렉션, 재시도, 재작성, 제한 시간, 재시도, 미러링, 헤더 조작, CORS 라우팅 규칙
커스텀 Envoy 필터
Istio Operator

Istio 인그레스 게이트웨이용 부하 분산기

기능 정식 일반 신속
서드 파티 외부 부하 분산기
Google Cloud 내부 부하 분산기 * * *

서비스 메시 클라우드 게이트웨이

기능 정식 일반 신속
서비스 메시 클라우드 게이트웨이

부하 분산 정책

기능 정식 일반 신속
라운드 로빈
최소 연결 수
무작위
패스 스루
일관된 해시
지역

리전

GKE 클러스터는 다음 리전 중 하나에 또는 다음 리전 중 하나의 영역에 있어야 합니다.

리전 위치
asia-east1 타이완
asia-east2 홍콩
asia-northeast1 일본 도쿄
asia-northeast2 일본 오사카
asia-northeast3 대한민국
asia-south1 인도 뭄바이
asia-south2 인도 델리
asia-southeast1 싱가포르
asia-southeast2 자카르타
australia-southeast1 오스트레일리아 시드니
australia-southeast2 오스트레일리아 멜버른
europe-central2 폴란드
europe-north1 핀란드
europe-southwest1 스페인
europe-west1 벨기에
europe-west2 잉글랜드
europe-west3 독일
europe-west4 네덜란드
europe-west6 스위스
europe-west8 이탈리아
europe-west9 프랑스
me-central1 도하
me-central2 사우디아라비아 담맘
me-west1 텔아비브
northamerica-northeast1 캐나다 몬트리올
northamerica-northeast2 캐나다 토론토
southamerica-east1 브라질
southamerica-west1 칠레
us-central1 아이오와
us-east1 사우스캐롤라이나
us-east4 북버지니아
us-east5 오하이오
us-south1 댈러스
us-west1 오리건
us-west2 로스앤젤레스
us-west3 솔트레이크시티
us-west4 라스베이거스

사용자 인터페이스

기능 정식 일반 신속
Google Cloud 콘솔의 Anthos Service Mesh 대시보드
Cloud Monitoring
Cloud Logging

도구

기능 정식 일반 신속
Anthos Service Mesh 1.9.x와 호환되는 istioctl
istioctl ps
istioctl x ps(--xds-via-agents 플래그 사용)