Version 1.9

Von der von Google verwalteten Steuerungsebene unterstützte Features

Auf dieser Seite werden die unterstützten Features und Einschränkungen für Anthos Service Mesh mit einer von Google verwalteten Steuerungsebene beschrieben. Eine Liste der von Anthos Service Mesh unterstützten Features für Anthos Service Mesh mit einer vom Kunden verwalteten Steuerungsebene finden Sie unter Vom Kunden verwaltete Steuerungsebene.

Es gelten folgende Einschränkungen:

  • GKE-Cluster müssen sich in einer der folgenden vollständig verwalteten Regionen befinden:
    • asia-east1
    • asia-southeast1
    • europe-north1
    • europe-west1
    • europe-west4
    • us-central1
    • us-east1
    • us-east4
    • us-west1
    • us-west2
    • us-west3
    • us-west4
  • Die GKE-Version muss mit Anthos Service Mesh 1.9 kompatibel sein: GKE 1.16 bis 1.20.
  • Private GKE-Cluster werden nicht unterstützt.
  • GKE-Cluster mit Autopilot werden nicht unterstützt.
  • Andere Umgebungen als GKE (Compute Engine, VMs, Kubernetes oder Anthos On-Prem) werden nicht unterstützt.
  • Migrationen/Upgrades werden nur von Anthos Service Mesh-Versionen ab 1.9 unterstützt, die mit Mesh CA installiert wurden. Installationen mit Citadel müssen zuerst zu Mesh CA migriert werden.
  • Die Skalierung ist auf 1.000 Dienste und 3.000 Arbeitslasten pro Cluster beschränkt.
  • Nur die Multi-Primary-Bereitstellungsoption für Multi-Cluster wird unterstützt, die Primary-Remote-Bereitstellungsoption für Multi-Cluster nicht.
  • istioctl ps wird nicht unterstützt. Sie können stattdessen jedoch istioctl pc mit dem Pod-Namen und dem Namespace verwenden.
  • Nicht unterstützte Istio APIs:
    • Envoy-Filter
    • Istio Operator API
  • Sie können die von Google verwaltete Steuerungsebene ohne Anthos-Abo verwenden. Bestimmte UI-Elemente und Features in der Google Cloud Console sind jedoch nur für Anthos-Abonnenten verfügbar. Informationen dazu, welche Features Abonnenten und Nicht-Abonnenten zur Verfügung stehen, finden Sie unter Unterschiede zwischen Anthos und Anthos Service Mesh in der Benutzeroberfläche.

Von der von Google verwalteten Steuerungsebene unterstützte Features

Installieren, aktualisieren und Rollback ausführen

Feature Unterstützt?
Installation auf neuen GKE-Clustern – die resultierende Installation verwendet Stackdriver und Mesh CA
Upgrades von ASM 1.9-Versionen mit Mesh CA
Direkte Upgrades von Anthos Service Mesh-Versionen vor 1.9 (siehe Hinweise für indirekte Upgrades)
Direkte Upgrades von Istio OSS (siehe Hinweise für indirekte Upgrades)
Direkte Upgrades von Istio-on-GKE-Add-on (siehe Hinweise für indirekte Upgrades)
Optionale Features aktivieren

Umgebungen

Feature Unterstützt?
GKE 1.16 bis 1.20 in einer dieser Regionen: asia-east1, asia-southeast1, europe-north1, europe-west1, europe-west4, us-central1, us-east1, us-east4, us -west1, us-west2, us-west3, us-west4
GKE 1.14
Private GKE-Cluster
Andere Umgebungen als GKE (Compute Engine, VMs, Kubernetes oder Anthos On-Prem, Amazon EKS, Microsoft AKS)

Skalieren

Feature Unterstützt?
1.000 Dienste und 3.000 Arbeitslasten pro Cluster

Plattformumgebung

Feature Unterstützt?
Einzelnes Netzwerk
Multinetzwerk
Einzelprojekt
Multiprojekt

Bereitstellungsmodell

Feature Unterstützt?
Multiprimär
Primäre Fernbedienung

Hinweise zur Terminologie

  • Bei einer Multi-Primary-Konfiguration muss die Konfiguration in allen Clustern repliziert werden.

  • Eine Primary-Remote-Konfiguration bedeutet, dass ein einzelner Cluster die Konfiguration enthält und als Source of Truth gilt.

  • Anthos Service Mesh verwendet eine vereinfachte Definition von Netzwerken auf der Grundlage allgemeiner Konnektivität. Arbeitslastinstanzen befinden sich im selben Netzwerk, wenn sie direkt ohne Gateway direkt kommunizieren können.

Sicherheit

Mechanismen zur Zertifikatsverteilung und Rotation

Feature Unterstützt?
Arbeitslast-Zertifikatsverwaltung mit Envoy SDS
Externe Zertifikatsverwaltung auf Ingress-Gateway mit Envoy SDS

Unterstützung von Zertifizierungsstellen (CA)

Feature Unterstützt?
Anthos Service Mesh-Zertifizierungsstelle (Mesh CA)
Citadel CA
Integration in benutzerdefinierte Zertifizierungsstellen

Autorisierungsrichtlinie

Feature Unterstützt?
Autorisierungs-v1beta1-Richtlinie

Authentifizierungsrichtlinie

Feature Unterstützt?
Auto-mTLS
mTLS-PERMISSIVE-Modus
mTLS-STRICT-Modus Unterstützt optional

Authentifizierung anfordern

Feature Unterstützt?
JWT-Authentifizierung

Telemetrie

Messwerte

Feature Unterstützt?
Cloud Monitoring (HTTP-In-Proxy-Messwerte)
Cloud Monitoring (TCP-In-Proxy-Messwerte)
Mesh-Telemetrie (In-Proxy-Edge-Daten)
Prometheus-Messwerte werden in Grafana und Kiali exportiert (nur Envoy-Messwerte) Unterstützt optional
Benutzerdefinierte Adapter/Back-Ends, In- oder Out-of-Process
Beliebige Telemetrie- und Logging-Back-Ends

Zugriffs-Logging

Feature Unterstützt?
Cloud Logging
Envoy an stdout weiterleiten Unterstützt optional

Tracing

Feature Unterstützt?
Cloud Trace Unterstützt optional
Jaeger-Tracing (ermöglicht die Verwendung des vom Kunden verwalteten Jaeger)
Zipkin-Tracing (ermöglicht die Verwendung des vom Kunden verwalteten Zipkin)

Beachten Sie, dass der Cloud-Support keine Unterstützung bei der Verwaltung von Telemetrieprodukten von Drittanbietern bietet.

Netzwerk

Mechanismus zum Abfangen/Umleiten von Traffic

Feature Unterstützt?
Traditionelle Verwendung von iptables mit init-Containern über CAP_NET_ADMIN
Istio Container Network Interface (CNI)
Whitebox-Sidecar

Protokollunterstützung

Feature Unterstützt?
IPv4
HTTP/1.1
HTTP/2
TCP-Byte-Streams (Hinweis 1)
gRPC
IPv6

Hinweise:

  1. Obwohl TCP ein unterstütztes Protokoll für das Netzwerk ist, werden TCP-Messwerte weder erfasst noch gemeldet. Messwerte werden nur für HTTP-Dienste in der Cloud Console angezeigt.
  2. Dienste, die mit Layer-7-Funktionen für die folgenden Protokolle konfiguriert wurden, werden nicht unterstützt: WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ, Cloud SQL. Unter Umständen können Sie das Protokoll mithilfe der TCP-Bytestream-Unterstützung nutzen. Wenn der TCP-Bytestream das Protokoll nicht unterstützt (z. B. wenn Kafka eine Weiterleitungsadresse in einer protokollspezifischen Antwort sendet und diese Weiterleitung nicht mit der Routinglogik von Anthos Service Mesh kompatibel ist), wird das Protokoll nicht unterstützt.

Envoy-Bereitstellungen

Feature Unterstützt?
Sidecar-Dateien
Ingress-Gateway
Ausgehender Traffic direkt von Sidecars
Ausgehender Traffic über Egress-Gateways Unterstützt optional

CRD-Support

Feature Unterstützt?
Sidecar-Ressource
Diensteintragsressource
Prozentwert, Fehlerinjektion, Pfadabgleich, Weiterleitungen, Wiederholungsversuche, Umschreibungen, Zeitüberschreitung, Wiederholungsversuch, Header-Bearbeitung und CORS-Routingregeln
Benutzerdefinierte Envoy-Filter
Istio-Operator

Load-Balancer für das Istio-Ingress-Gateway

Feature Unterstützt?
Öffentlicher Load-Balancer
Interner Google Cloud-Load-Balancer Unterstützt optional

Load-Balancing-Richtlinien

Feature Unterstützt?
Round Robin
Mindestverbindungen
random (Zufallswert)
Pass-Through
Konsistenter Hash
nach Ort gewichtet

Benutzeroberfläche

Feature Unterstützt?
Anthos Service Mesh-Dashboards in der Cloud Console
Cloud Monitoring
Cloud Logging
Grafana
Kiali

Die Installation der Zipkin- und Kiali-Add-On-Komponenten kann nicht mehr mit istioctl install durchgeführt werden. Wenn Sie den Export von Envoy-Messwerten in Prometheus aktivieren, können Sie eine eigene Instanz von Grafana und Kiali installieren. Der Cloud-Support kann jedoch keine Unterstützung für diese Drittanbieterprodukte bieten.

Tools

Feature Unterstützt?
istioctl (mit Anthos Service Mesh 1.9.x kompatibel)
istioctl ps