Version 1.10

Vom verwalteten Anthos Service Mesh unterstützte Features

Auf dieser Seite werden die unterstützten Features und Einschränkungen für verwaltetes Anthos Service Mesh beschrieben. Eine Liste der von Anthos Service Mesh unterstützten Features für Anthos Service Mesh mit clusterinterner Steuerungsebene finden Sie unter Clusterinterne Steuerungsebene.

Es gelten folgende Einschränkungen:

  • GKE-Cluster müssen sich in einer der unterstützten Regionen befinden.
  • Die GKE-Version muss eine unterstützte Version sein.
  • Nur die unter Umgebungen aufgeführten Plattformen werden unterstützt.
  • Migrationen/Upgrades werden nur von Anthos Service Mesh-Versionen ab 1.9 unterstützt, die mit Mesh CA installiert wurden. Installationen mit Istio CA (ehemals Citadel) müssen zuerst zu Mesh CA migriert werden.
  • Die Skalierung ist auf 1.000 Dienste und 5.000 Arbeitslasten pro Cluster beschränkt.
  • Nur die Multi-Primary-Bereitstellungsoption für Multi-Cluster wird unterstützt, die Primary-Remote-Bereitstellungsoption für Multi-Cluster nicht.
  • istioctl ps wird nicht unterstützt. Sie können stattdessen jedoch istioctl pc mit dem Pod-Namen und dem Namespace verwenden.
  • Nicht unterstützte Istio APIs:

    • Envoy-Filter

    • IstioOperator API

  • Sie können die von Google verwaltete Steuerungsebene ohne Anthos-Abo verwenden. Bestimmte UI-Elemente und Features in der Google Cloud Console sind jedoch nur für Anthos-Abonnenten verfügbar. Informationen dazu, welche Features Abonnenten und Nicht-Abonnenten zur Verfügung stehen, finden Sie unter Unterschiede zwischen Anthos und Anthos Service Mesh in der Benutzeroberfläche.

Unterstützte Features von der Google verwalteten Steuerungsebene

Installieren, aktualisieren und Rollback ausführen

Feature Unterstützt?
Installation auf neuen GKE-Clustern – die resultierende Installation verwendet Stackdriver und Mesh CA
Upgrades von ASM 1.9-Versionen mit Mesh CA
Direkte Upgrades von Anthos Service Mesh-Versionen vor 1.9 (siehe Hinweise für indirekte Upgrades)
Direkte Upgrades von Istio OSS (siehe Hinweise für indirekte Upgrades)
Direkte Upgrades von Istio-on-GKE-Add-on (siehe Hinweise für indirekte Upgrades)
Optionale Features aktivieren

Umgebungen

Feature Unterstützt?
GKE 1.18 und höher in einer der unterstützten Regionen
GKE-Cluster mit Autopilot
Private GKE-Cluster mit öffentlichem Endpunktzugriff mit oder ohne aktiviertes MAN (Master Authorized Network). In privaten Clustern hat die GKE-Steuerungsebene (Master) einen privaten und einen öffentlichen Endpunkt. Es gibt drei Konfigurationskombinationen, um den Zugriff auf die Clusterendpunkte zu steuern:
  • Zugriff auf öffentliche Endpunkte deaktiviert: Erstellt einen privaten Cluster ohne Clientzugriff auf den öffentlichen Endpunkt.
  • Zugriff auf öffentliche Endpunkte aktiviert; autorisierte Netzwerke aktiviert: Erstellt einen privaten Cluster mit beschränktem Zugriff auf den öffentlichen Endpunkt.
  • Zugriff auf öffentliche Endpunkte aktiviert; autorisierte Netzwerke deaktiviert: Erstellt einen privaten Cluster mit unbeschränktem Zugriff auf den öffentlichen Endpunkt.
Für die von Google verwaltete Steuerungsebene muss der Zugriff auf die öffentlichen Endpunkte aktiviert sein. Dies bedeutet jedoch nicht, dass der öffentliche Endpunkt extern zugänglich ist. Weitere Informationen finden Sie unter Endpunkte in privaten Clustern.
Compute Engine-VMs
Umgebungen außerhalb von Google Cloud (lokale Anthos, Anthos in anderen öffentlichen Clouds, Amazon EKS, Microsoft AKS oder andere Kubernetes-Cluster)

Skalieren

Feature Unterstützt?
1.000 Dienste und 5.000 Arbeitslasten pro Cluster

Plattformumgebung

Feature Unterstützt?
Einzelnes Netzwerk
Multinetzwerk
Einzelprojekt
Multiprojekt

Bereitstellungsmodell

Feature Unterstützt?
Multiprimär
Primäre Fernbedienung

Hinweise zur Terminologie

  • Bei einer Multi-Primary-Konfiguration muss die Konfiguration in allen Clustern repliziert werden.

  • Eine Primary-Remote-Konfiguration bedeutet, dass ein einzelner Cluster die Konfiguration enthält und als Source of Truth gilt.

  • Anthos Service Mesh verwendet eine vereinfachte Definition von Netzwerken auf der Grundlage allgemeiner Konnektivität. Arbeitslastinstanzen befinden sich im selben Netzwerk, wenn sie direkt ohne Gateway direkt kommunizieren können.

Sicherheit

Mechanismen zur Zertifikatsverteilung und Rotation

Feature Unterstützt?
Arbeitslast-Zertifikatsverwaltung
Externe Zertifikatsverwaltung auf Ingress-Gateway

Unterstützung von Zertifizierungsstellen (CA)

Feature Unterstützt?
Anthos Service Mesh-Zertifizierungsstelle (Mesh CA)
Istio CA
Integration in benutzerdefinierte Zertifizierungsstellen

Autorisierungsrichtlinie

Feature Unterstützt?
Autorisierungs-v1beta1-Richtlinie

Authentifizierungsrichtlinie

Feature Unterstützt?
Auto-mTLS
mTLS-PERMISSIVE-Modus
mTLS-STRICT-Modus Unterstützt optional

Authentifizierung anfordern

Feature Unterstützt?
JWT-Authentifizierung

Telemetrie

Messwerte

Feature Unterstützt?
Cloud Monitoring (HTTP-In-Proxy-Messwerte)
Cloud Monitoring (TCP-In-Proxy-Messwerte)
Prometheus-Messwerte werden in Grafana und Kiali exportiert (nur Envoy-Messwerte) Unterstützt optional
Benutzerdefinierte Adapter/Back-Ends, In- oder Out-of-Process
Beliebige Telemetrie- und Logging-Back-Ends

Zugriffs-Logging

Feature Unterstützt?
Cloud Logging
Envoy an stdout weiterleiten Unterstützt optional

Tracing

Feature Unterstützt?
Cloud Trace
Jaeger-Tracing (ermöglicht die Verwendung des vom Kunden verwalteten Jaeger)
Zipkin-Tracing (ermöglicht die Verwendung des vom Kunden verwalteten Zipkin)

Beachten Sie, dass der Cloud-Support keine Unterstützung bei der Verwaltung von Telemetrieprodukten von Drittanbietern bietet.

Netzwerk

Mechanismus zum Abfangen/Umleiten von Traffic

Feature Unterstützt?
Traditionelle Verwendung von iptables mit init-Containern über CAP_NET_ADMIN
Istio Container Network Interface (CNI)
Whitebox-Sidecar

Protokollunterstützung

Feature Unterstützt?
IPv4
HTTP/1.1
HTTP/2
TCP-Byte-Streams (Hinweis 1)
gRPC
IPv6

Hinweise:

  1. Obwohl TCP ein unterstütztes Protokoll für das Netzwerk ist, werden TCP-Messwerte weder erfasst noch gemeldet. Messwerte werden nur für HTTP-Dienste in der Cloud Console angezeigt.
  2. Dienste, die mit Layer-7-Funktionen für die folgenden Protokolle konfiguriert wurden, werden nicht unterstützt: WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ, Cloud SQL. Unter Umständen können Sie das Protokoll mithilfe der TCP-Bytestream-Unterstützung nutzen. Wenn der TCP-Bytestream das Protokoll nicht unterstützt (z. B. wenn Kafka eine Weiterleitungsadresse in einer protokollspezifischen Antwort sendet und diese Weiterleitung nicht mit der Routinglogik von Anthos Service Mesh kompatibel ist), wird das Protokoll nicht unterstützt.

Envoy-Bereitstellungen

Feature Unterstützt?
Sidecar-Dateien
Ingress-Gateway
Ausgehender Traffic direkt von Sidecars
Ausgehender Traffic über Egress-Gateways Unterstützt optional

CRD-Support

Feature Unterstützt?
Sidecar-Ressource
Diensteintragsressource
Prozentwert, Fehlerinjektion, Pfadabgleich, Weiterleitungen, Wiederholungsversuche, Umschreibungen, Zeitüberschreitung, Wiederholungsversuch, Header-Bearbeitung und CORS-Routingregeln
Benutzerdefinierte Envoy-Filter
Istio-Operator

Load-Balancer für das Istio-Ingress-Gateway

Feature Unterstützt?
Öffentlicher Load-Balancer
Interner Google Cloud-Load-Balancer Unterstützt optional

Load-Balancing-Richtlinien

Feature Unterstützt?
Round Robin
Mindestverbindungen
random (Zufallswert)
Pass-Through
Konsistenter Hash
nach Ort gewichtet

Regionen

GKE-Cluster müssen sich in einer der folgenden Regionen oder in einer beliebigen Zone innerhalb der folgenden Regionen befinden.

Region Ort
asia-east1 Taiwan
asia-east2 Hongkong
asia-northeast1 Tokio
asia-northeast2 Osaka
asia-northeast3 Seoul, Südkorea
asia-southeast1 Singapur
asia-southeast2 Jakarta
asia-south1 Mumbai, Indien
asia-south2 Delhi, Indien
australia-southeast1 Sydney
australia-southeast2 Melbourne
europe-central2 Warschau, Polen
europe-north1 Finnland
europe-west1 Belgien
europe-west2 London, Vereinigtes Königreich
europe-west3 Frankfurt, Deutschland
europe-west6 Zürich, Schweiz
europe-west4 Niederlande
northamerica-northeast1 Montreal
southamerica-east1 São Paulo, Brasilien
us-central1 Iowa
us-east1 South Carolina
us-east4 Northern Virginia
us-west1 Oregon
us-west2 Los Angeles
us-west3 Las Vegas
us-west4 Salt Lake City

Benutzeroberfläche

Feature Unterstützt?
Anthos Service Mesh-Dashboards in der Cloud Console
Cloud Monitoring
Cloud Logging

Die Installation der Zipkin- und Kiali-Add-On-Komponenten kann nicht mehr mit istioctl install durchgeführt werden. Wenn Sie den Export von Envoy-Messwerten in Prometheus aktivieren, können Sie eine eigene Instanz von Grafana und Kiali installieren. Der Cloud-Support kann jedoch keine Unterstützung für diese Drittanbieterprodukte bieten.

Tools

Feature Unterstützt?
istioctl (mit Anthos Service Mesh 1.9.x kompatibel)
istioctl ps