Recursos compatíveis do Anthos Service Mesh gerenciado

Nesta página, descrevemos os recursos e as limitações compatíveis com o Anthos Service Mesh gerenciado. Para ver a lista de recursos compatíveis com o Anthos Service Mesh para o Anthos Service Mesh com um plano de controle no cluster, consulte Plano de controle no cluster.

Limitações

Considere as seguintes limitações:

Os clusters do GKE precisam estar em uma das regiões compatíveis.
A versão do GKE precisa ser uma versão compatível.
Apenas as plataformas listadas em Ambientes são compatíveis.
Não é possível alterar canais de lançamento.
As migrações do Anthos Service Mesh gerenciado com asmcli para o Anthos Service Mesh com a API Fleet não são compatíveis. Da mesma forma, não é possível configurar o Anthos Service Mesh gerenciado com a API Fleet de --management manual para --management automatic.
As migrações e os upgrades são compatíveis somente com as versões 1.9 ou mais recentes do Anthos Service Mesh no cluster instaladas com a CA da malha. As instalações com a CA do Istio (antes conhecida como Citadel) precisam migrar para a CA da malha.
A escala é limitada a 1.000 serviços e 5.000 cargas de trabalho por cluster.
Apenas a opção de implantação multiprimária para vários clusters é compatível: a opção de implantação primária remota para vários clusters não é.
istioctl ps não é compatível. Em vez disso, use istioctl x ps --xds-via-agents para listar todas as cargas de trabalho. Além disso, é possível usar istioctl pc com o nome e o namespace do pod para receber informações detalhadas do pod.
APIs do Istio incompatíveis:
- Filtros do Envoy
- API IstioOperator
Observação: Ainda é possível ativar recursos opcionais sem usar a API IstioOperator. Consulte:Como ativar recursos opcionais no Anthos Service Mesh gerenciado. Também é possível usar a ferramenta de migração incluída em asmcli para converter automaticamente outros recursos opcionais do IstioOperator para serem compatíveis com o plano de controle gerenciado. Para mais informações, consulte Migrar de IstioOperator.
É possível usar o plano de controle gerenciado sem uma assinatura do GKE Enterprise, mas alguns elementos e recursos da IU no console do Google Cloud estão disponíveis apenas para assinantes do GKE Enterprise. Para informações sobre o que está disponível para assinantes e não assinantes, consulte Diferenças na IU do GKE Enterprise e do Anthos Service Mesh.
Durante o processo de provisionamento de um plano de controle gerenciado, os CRDs do Istio correspondentes ao canal selecionado são instalados no cluster especificado. Se houver CRDs do Istio no cluster, eles serão substituídos.
O Anthos Service Mesh gerenciado só é compatível com o domínio DNS padrão .cluster.local.
A partir de 14 de novembro de 2023, novas instalações do Anthos Service Mesh gerenciado no canal de lançamento rápido buscam apenas o JWKS usando o Envoys. Isso é equivalente à opção PILOT_JWT_ENABLE_REMOTE_JWKS=envoy do Istio. Em comparação com instalações nos canais de lançamento regulares e estáveis ou instalações no canal de lançamento rápido antes de 14 de novembro de 2023, talvez você precise de mais configurações ServiceEntry e DestinationRule. Para conferir um exemplo, consulte requestauthn-with-se.yaml.tmpl.

Depois de provisionar o Anthos Service Mesh, entre em contato com o suporte antes de iniciar a rotação de IP ou a rotação de credenciais de certificado.

Diferenças de canais

Há diferenças nos recursos compatíveis entre canais de lançamento.

: indica que o recurso está disponível e ativado por padrão.
*: indica que o recurso é compatível com a plataforma e pode ser ativado, conforme descrito em Como ativar recursos opcionais ou no guia de recurso vinculado à tabela de recursos.
: indica que o recurso não está disponível ou é incompatível.

Os recursos padrão e opcionais são totalmente compatíveis com o suporte do Google Cloud. Recursos não listados explicitamente nas tabelas recebem suporte de melhor esforço.

Recursos compatíveis do plano de controle gerenciado

Instalar, fazer upgrade e reverter

Engenharia de	Canal Stable	Normal	Rápido
Instalação em clusters do GKE usando a API do recurso frota
Atualizações das versões ASM 1.9 que usam o Mesh CA
Upgrades diretos (pular nível) das versões do Anthos Service Mesh anteriores a 1.9 (consulte as observações para upgrades indiretos)
Upgrades diretos (pular nível) do Istio OSS (consulte as observações para upgrades indiretos)
Upgrades diretos (pular nível) do complemento Istio-on-GKE (consulte as observações para upgrades indiretos)
Como ativar recursos opcionais

Ambientes

Recurso	Canal Stable	Normal	Rápido
GKE 1.25 a 1.27 em uma das regiões suportadas
Clusters 1.25 a 1.27 do GKE com Autopilot
Ambientes fora do Google Cloud (GKE Enterprise no local, GKE Enterprise em outras nuvens públicas, Amazon EKS, Microsoft AKS ou outros clusters do Kubernetes)

Escala

Recurso	Canal Stable	Normal	Rápido
1.000 serviços e 5.000 cargas de trabalho por cluster

Ambiente de plataforma

Engenharia de	Canal Stable	Normal	Rápido
Rede única
Várias redes
Projeto único
Vários projetos com VPC compartilhada

Modelo de implantação

Engenharia de	Canal Stable	Normal	Rápido
Modo multiprimário
Principal controle remoto

Observações sobre a terminologia

Uma configuração multiprimária significa que a configuração precisa ser replicada em todos os clusters.
Uma configuração primária remota significa que um único cluster contém a configuração e é considerado a fonte da verdade.
O Anthos Service Mesh usa uma definição simplificada de rede com base na conectividade geral. Instâncias de carga de trabalho ficam na mesma rede, se puderem se comunicar diretamente, sem um gateway.

Segurança

VPC Service Controls

Engenharia de	Canal Stable	Normal	Rápido
Versão de pré-lançamento do VPC Service Controls (VPC-SC)
GA do VPC Service Controls (VPC-SC)

Mecanismos de distribuição/rotação de certificados

Engenharia de	Canal Stable	Normal	Rápido
Gerenciamento de certificados de carga de trabalho
Gerenciamento de certificados externos nos gateways de entrada e de saída.

Suporte para autoridade de certificação (CA)

Engenharia de	Canal Stable	Normal	Rápido
Autoridade de certificação do Anthos Service Mesh (CA Mesh)
Certificate Authority Service
CA do Istio
Integração com CAs personalizadas

Recursos de segurança do Anthos Service Mesh

Além de dar suporte aos recursos de segurança do Istio, o Anthos Service Mesh oferece outras maneiras para ajudar a proteger seus aplicativos.

Engenharia de	Canal Stable	Normal	Rápido
Integração com o IAP
Autenticação de usuário final
Modo de teste
Registro de negação
Políticas de auditoria

Política de autorização

Engenharia de	Canal Stable	Normal	Rápido
Política de autorização v1beta1

Política de autenticação

Engenharia de	Canal Stable	Normal	Rápido
Auto-mTLS
Modo mTLS PERMISSIVE
Modo mTLS STRICT	*	*	*

Autenticação de solicitações

Engenharia de	Canal Stable	Normal	Rápido
Autenticação JWT^{(observação 1)}

Observações:

O JWT de terceiros é ativado por padrão.

Imagens de base

Engenharia de	Canal Stable	Normal	Rápido
Imagem proxy distroless

Telemetria

Métricas

Engenharia de	Canal Stable	Normal	Rápido
Cloud Monitoring (métricas HTTP no proxy)
Cloud Monitoring (métricas TCP no proxy)
Exportação de métricas do Prometheus para o Grafana (somente métricas do Envoy)	*	*	*
Exportação de métricas do Prometheus para o Kiali
Google Cloud Managed Service para Prometheus, sem incluir o painel do Anthos Service Mesh	*	*	*
API Istio Telemetry
Adaptadores/back-ends personalizados, dentro ou fora do processo
Back-ends de telemetria arbitrária e registro

Geração de registros de solicitação do proxy

Engenharia de	Canal Stable	Normal	Rápido
Registros de tráfego
Registros de acesso	*	*	*

Cloud Trace

Engenharia de	Canal Stable	Normal	Rápido
Cloud Trace	*	*	*
Rastreamento do Jaeger (permite o uso de Jaeger gerenciado pelo cliente)	Compatível	Compatível	Compatível
Rastreamento de Zipkin (permite o uso de Zipkin gerenciado pelo cliente)	Compatível	Compatível	Compatível

Rede

Mecanismo de interceptação e redirecionamento de tráfego

Engenharia de	Canal Stable	Normal	Rápido
Uso tradicional de `iptables` usando contêineres `init` com `CAP_NET_ADMIN`
Interface de rede de contêineres do Istio (CNI, na sigla em inglês)
Sidecar de caixa baixa

Suporte a protocolo

Engenharia de	Canal Stable	Normal	Rápido
IPv4
HTTP/1.1
HTTP/2
Streams de bytes TCP (Observação 1)
gRPC
IPv6

Observações:

Embora o TCP seja um protocolo compatível com redes e as métricas TCP sejam coletadas, elas não são relatadas. As métricas são exibidas apenas para serviços HTTP no console do Google Cloud.
Os serviços configurados com os recursos de Camada 7 para os seguintes protocolos não são compatíveis: WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ e Cloud SQL. É possível fazer o protocolo funcionar usando o suporte ao stream de bytes TCP. Se o fluxo de bytes TCP não for compatível com o protocolo, o protocolo não será compatível. Um exemplo disso é quando o Kafka envia um endereço de redirecionamento em uma resposta específica do protocolo e esse redirecionamento é incompatível com a lógica de roteamento do Anthos Service Mesh.

Implantações do Envoy

Engenharia de	Canal Stable	Normal	Rápido
Sidecars
Gateway de entrada
Saída diretamente dos sidecars
Saída usando gateways de saída	*	*	*

Compatibilidade com CRD

Engenharia de	Canal Stable	Normal	Rápido
Recurso de sidecar
Recurso de entrada de serviço
Porcentagem, injeção de falhas, correspondência de caminho, redirecionamentos, novas tentativas, regravação, tempo limite, repetição, espelhamento, manipulação de cabeçalho e regras de roteamento CORS
Filtros personalizados do Envoy
Operador do Istio

Balanceador de carga para o gateway de entrada do Istio

Engenharia de	Canal Stable	Normal	Rápido
Balanceador de carga externo de terceiros
google-cloud-internal-load-balancer	*	*	*

Gateway da nuvem da malha de serviço

Engenharia de	Canal Stable	Normal	Rápido
Gateway da nuvem da malha de serviço

Políticas de balanceamento de carga

Engenharia de	Canal Stable	Normal	Rápido
Round-robin
Menos conexões
Aleatório
Passagem
Hash consistente
Localidade

Regiões

Os clusters do GKE precisam estar em uma das regiões ou em qualquer zona dentro das regiões a seguir.

Região	Local
`asia-east1`	Taiwan
`asia-east2`	Hong Kong
`asia-northeast1`	Tóquio, Japão
`asia-northeast2`	Osaka, Japão
`asia-northeast3`	Coreia do Sul
`asia-south1`	Mumbai, Índia
`asia-south2`	Déli, Índia
`asia-southeast1`	Singapura
`asia-southeast2`	Jacarta
`australia-southeast1`	Sydney, Austrália
`australia-southeast2`	Melbourne, Austrália
`europe-central2`	Polônia
`europe-north1`	Finlândia
`europe-southwest1`	Espanha
`europe-west1`	Bélgica
`europe-west2`	Inglaterra
`europe-west3`	Alemanha
`europe-west4`	Países Baixos
`europe-west6`	Suíça
`europe-west8`	Itália
`europe-west9`	França
`me-central1`	Doha
`me-central2`	Damã, Arábia Saudita
`me-west1`	Tel Aviv
`northamerica-northeast1`	Montreal, Canadá
`northamerica-northeast2`	Toronto, Canadá
`southamerica-east1`	Brasil
`southamerica-west1`	Chile
`us-central1`	Iowa
`us-east1`	Carolina do Sul
`us-east4`	Norte da Virgínia
`us-east5`	Ohio
`us-south1`	Dallas
`us-west1`	Oregon
`us-west2`	Los Angeles
`us-west3`	Salt Lake City
`us-west4`	Las Vegas

Interface do usuário

Engenharia de	Canal Stable	Normal	Rápido
Painéis do Anthos Service Mesh no console do Google Cloud
Cloud Monitoring
Cloud Logging

Ferramentas

Engenharia de	Canal Stable	Normal	Rápido
`istioctl`compatível com o istioctl com o Anthos Service Mesh 1.9.x
`istioctl ps`
`istioctl x ps` (com sinalização `--xds-via-agents`)