Características admitidas de Anthos Service Mesh administrado

En esta página, se describen las funciones y limitaciones admitidas para Anthos Service Mesh administrado. Para obtener una lista de las funciones admitidas de Anthos Service Mesh con un plano de control en el clúster, consulta Plano de control en el clúster.

Limitaciones

Se aplica la siguiente limitación:

Los clústeres de GKE deben estar en una de las regiones admitidas.
La versión de GKE debe ser una versión compatible.
Solo se admiten las plataformas que se mencionan en Entornos.
No se admite el cambio de los canales de versiones.
No se admiten las migraciones de Anthos Service Mesh administrado con asmcli a Anthos Service Mesh con la API de flota. Del mismo modo, no se admite el aprovisionamiento de Anthos Service Mesh administrado con la API de flota de --management manual a --management automatic.
Las migraciones y las actualizaciones solo son compatibles con las versiones 1.9 o posteriores de Anthos Service Mesh en el clúster instaladas con la CA de Mesh. Las instalaciones con la CA de Istio (antes conocida como Citadel) primero se deben migrar a la CA de Mesh.
El escalamiento se limita a 1,000 servicios y 5,000 cargas de trabajo por clúster.
Solo se admite la opción de implementación de varias instancias para varios clústeres; no se admite la opción de implementación principal remota para varios clústeres.
istioctl ps no es compatible. En su lugar, puedes usar istioctl x ps --xds-via-agents para enumerar todas las cargas de trabajo. Además, puedes usar istioctl pc con el nombre del Pod y el espacio de nombres para obtener información detallada del Pod.
API de Istio que no son compatibles:
- Filtros de Envoy
- API IstioOperator
Nota: Puedes habilitar las funciones opcionales sin usar la API de IstioOperator. Consulta Habilita funciones opcionales en Anthos Service Mesh administrado. También puedes usar la herramienta de migración incluida con asmcli para convertir automáticamente otras funciones opcionales de IstioOperator a fin de que sean compatibles con el plano de control administrado. Si quieres obtener más información, consulta la documentación para migrar desde IstioOperator.
Puedes usar el plano de control administrado sin una suscripción a GKE Enterprise, pero ciertos elementos y funciones de la IU en Google Cloud Console solo están disponibles para los suscriptores de GKE Enterprise. Si deseas obtener información sobre lo que está disponible para suscriptores y no suscritos, consulta las diferencias en la IU de GKE Enterprise y Anthos Service Mesh.
Durante el proceso de aprovisionamiento de un plano de control administrado, las CRD de Istio correspondientes al canal seleccionado se instalan en el clúster especificado. Si hay CRD de Istio existentes en el clúster, se reemplazarán.
Anthos Service Mesh administrado solo admite el dominio DNS predeterminado .cluster.local.
A partir del 14 de noviembre de 2023, las instalaciones nuevas de Anthos Service Mesh administrado en el canal de versiones rápido recuperan JWKS solo mediante Envoy. Esto equivale a la opción PILOT_JWT_ENABLE_REMOTE_JWKS=envoy de Istio. En comparación con las instalaciones en los canales de versiones normales y estable, o las del canal de versiones rápido antes del 14 de noviembre de 2023, es posible que necesites parámetros de configuración adicionales de ServiceEntry y DestinationRule. Para ver un ejemplo, consulta requestauthn-with-se.yaml.tmpl.

Después de aprovisionar Anthos Service Mesh, debes comunicarte con el equipo de asistencia antes de iniciar la rotación de IP o la rotación de certificados de credenciales.

Diferencias de canal

Existen diferencias en las funciones compatibles entre los canales de versiones.

: Indica que la función está disponible y habilitada de forma predeterminada.
*: Indica que la función es compatible con la plataforma y se puede habilitar, como se describe en Habilita funciones opcionales o la guía de función vinculada en la tabla de funciones.
: Indica que la función no está disponible o no se admite.

Las funciones predeterminadas y opcionales tienen una compatibilidad total con la asistencia de Google Cloud. Las funciones que no aparecen en las tablas de manera explícita reciben la mejor asistencia posible.

Funciones admitidas por el plano de control administrado

Instala, actualiza y revierte

Ingeniería	Estable	Normal	Rápido
Instalación en clústeres de GKE mediante la API de la función de flota
Actualizaciones de las versiones de ASM 1.9 que usan CA de Mesh
Actualizaciones directas (nivel de omisión) de las versiones de Anthos Service Mesh anteriores a 1.9 (consulta las notas para las actualizaciones indirectas)
Actualizaciones directas (nivel de omisión) de Istio OSS (consulta las notas para las actualizaciones indirectas)
Actualizaciones directas (nivel de omisión) del complemento Istio-on-GKE (consulta las notas para las actualizaciones indirectas)
Habilita funciones opcionales

Entornos

Función	Estable	Normal	Rápido
GKE 1.25 a 1.27 en una de las regiones compatibles
Clústeres de GKE 1.25-1.27 con Autopilot
Entornos fuera de Google Cloud (GKE Enterprise local, GKE Enterprise en otras nubes públicas, Amazon EKS, Microsoft AKS y otros clústeres de Kubernetes)

Escalar

Función	Estable	Normal	Rápido
1,000 servicios y 5,000 cargas de trabajo por clúster

Entorno de plataforma

Ingeniería	Estable	Normal	Rápido
Una sola red
Varias redes
Un solo proyecto
Varios proyectos con VPC compartida

Modelo de implementación

Ingeniería	Estable	Normal	Rápido
Principales múltiples
Control principal

Notas sobre la terminología

Una configuración de varias instancias significa que la configuración se debe replicar en todos los clústeres.
Una configuración principal remota significa que un clúster único contiene la configuración y que se considera la fuente de información.
Anthos Service Mesh usa una definición simplificada de la red basada en la conectividad general. Las instancias de carga de trabajo están en la misma red si pueden comunicarse de forma directa, sin una puerta de enlace.

Seguridad

Controles del servicio de VPC

Ingeniería	Estable	Normal	Elasticidad
Vista previa del Control del servicio de VPC (VPC-SC)
DG del Control del servicio de VPC (VPC-SC)

Mecanismos de distribución y rotación de certificados

Ingeniería	Estable	Normal	Rápido
Administración de certificados de cargas de trabajo
Administración de certificados externos en puertas de enlace de entrada y salida.

Compatibilidad con autoridad certificada (CA)

Ingeniería	Estable	Normal	Rápido
Autoridad certificada de Anthos Service Mesh (CA de Mesh)
Certificate Authority Service
CA de Istio
Integración con CA personalizadas

Funciones de seguridad de Anthos Service Mesh

Además de admitir funciones de seguridad de Istio, Anthos Service Mesh proporciona aún más capacidades para ayudarte a proteger tus aplicaciones.

Ingeniería	Estable	Normal	Elasticidad
Integración de IAP
Autenticación del usuario final
Modo de ejecución de prueba
Registro de denegación
Políticas de auditoría

Política de autorización

Ingeniería	Estable	Normal	Rápido
Política de autorización de v1beta1

Política de autenticación

Ingeniería	Estable	Normal	Rápido
Auto-mTLS
Modo PERMISSIVE de mTLS
Modo STRICT de mTLS	*	*	*

Autenticación de solicitudes

Ingeniería	Estable	Normal	Elasticidad
Autenticación de JWT ^{(Nota 1)}

Notas:

JWT de terceros está habilitado de forma predeterminada.

Imágenes base

Ingeniería	Estable	Normal	Elasticidad
Imagen de proxy distroless

Telemetría

Métricas

Ingeniería	Estable	Normal	Rápido
Cloud Monitoring (métricas en el proxy de HTTP)
Cloud Monitoring (métricas en el proxy de TCP)
Exportación de métricas de Prometheus a Grafana (solo métricas de Envoy)	*	*	*
Exportación de métricas de Prometheus a Kiali
Google Cloud Managed Service para Prometheus, sin incluir el panel de Anthos Service Mesh	*	*	*
API de telemetría de Istio
Adaptadores y backends personalizados, dentro o fuera del proceso
Telemetría arbitraria y backends de registro

Registro de solicitudes de proxy

Ingeniería	Estable	Normal	Rápido
Registros de tráfico
Registros de acceso	*	*	*

Trace

Ingeniería	Estable	Normal	Rápido
Cloud Trace	*	*	*
Seguimiento de Jaeger (permite el uso de Jaeger administrado por el cliente)	Compatible	Compatible	Compatible
Seguimiento de Zipkin (permite el uso de Zipkin administrado por el cliente)	Compatible	Compatible	Compatible

Redes

Mecanismo de intercepción y direccionamiento de tráfico

Ingeniería	Estable	Normal	Rápido
Uso tradicional de `iptables` mediante contenedores `init` con `CAP_NET_ADMIN`
Interfaz de red de contenedor (CNI) de Istio
Sidecar de caja blanca

Compatibilidad con protocolos

Ingeniería	Estable	Normal	Rápido
IPv4
HTTP/1.1
HTTP/2
Transmisiones de bytes de TCP (Nota 1)
gRPC
IPv6

Notas:

Aunque TCP es un protocolo compatible con redes y se recopilan métricas de TCP, no se informan. Las métricas solo se muestran para los servicios HTTP en la consola de Google Cloud.
No se admiten los servicios configurados con funciones de la capa 7 para los siguientes protocolos: WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ y Cloud SQL. Es posible que puedas hacer que el protocolo funcione mediante la compatibilidad con la transmisión de bytes de TCP. Si la transmisión de bytes de TCP no admite el protocolo (por ejemplo, Kafka envía una dirección de redireccionamiento en una respuesta específica del protocolo, y este redireccionamiento no es compatible con la lógica de enrutamiento de Anthos Service Mesh), el protocolo no es compatible.

Implementaciones de Envoy

Ingeniería	Estable	Normal	Rápido
Sidecars
Puerta de enlace de entrada
Salida directa desde sidecars
Salida mediante puertas de enlace de salida	*	*	*

Compatibilidad con CRD

Ingeniería	Estable	Normal	Rápido
Recurso de sidecar
Recurso de entrada del servicio
Porcentajes, inserción de errores, coincidencias de rutas de acceso, redireccionamientos, reintentos, reescrituras, tiempo de espera, reintentos, duplicaciones, manipulación de encabezados y reglas de enrutamiento de CORS
Filtros personalizados de Envoy
Operador de Istio

Balanceador de cargas para la puerta de enlace de entrada de Istio

Ingeniería	Estable	Normal	Rápido
Balanceador de cargas externo de terceros
Balanceador de cargas interno de Google Cloud	*	*	*

Puerta de enlace de Cloud de la malla de servicios

Ingeniería	Estable	Normal	Rápido
Puerta de enlace de Cloud de la malla de servicios

Políticas de balanceo de cargas

Ingeniería	Estable	Normal	Elasticidad
Round robin
Conexiones mínimas
Aleatorio
Transferencia
Hash coherente
Localidad

Regiones

Los clústeres de GKE deben estar en una de las siguientes regiones o en cualquier zona de las siguientes regiones.

Región	Ubicación
`asia-east1`	Taiwán
`asia-east2`	Hong Kong
`asia-northeast1`	Tokio, Japón
`asia-northeast2`	Osaka, Japón
`asia-northeast3`	Corea del Sur
`asia-south1`	Bombay, India
`asia-south2`	Delhi, India
`asia-southeast1`	Singapur
`asia-southeast2`	Yakarta
`australia-southeast1`	Sídney, Australia
`australia-southeast2`	Melbourne, Australia
`europe-central2`	Polonia
`europe-north1`	Finlandia
`europe-southwest1`	España
`europe-west1`	Bélgica
`europe-west2`	Inglaterra
`europe-west3`	Alemania
`europe-west4`	Países Bajos
`europe-west6`	Suiza
`europe-west8`	Italia
`europe-west9`	Francia
`me-central1`	Doha
`me-central2`	Dammam, Arabia Saudita
`me-west1`	Tel Aviv
`northamerica-northeast1`	Montreal, Canadá
`northamerica-northeast2`	Toronto, Canadá
`southamerica-east1`	Brasil
`southamerica-west1`	Chile
`us-central1`	Iowa
`us-east1`	Carolina del Sur
`us-east4`	Virginia del Norte
`us-east5`	Ohio
`us-south1`	Dallas
`us-west1`	Oregón
`us-west2`	Los Ángeles
`us-west3`	Salt Lake City
`us-west4`	Las Vegas

Interfaz de usuario

Ingeniería	Estable	Normal	Elasticidad
Paneles de Anthos Service Mesh en la consola de Google Cloud
Cloud Monitoring
Cloud Logging

Herramientas

Ingeniería	Estable	Normal	Rápido
`istioctl` compatible con Anthos Service Mesh 1.9.x
`istioctl ps`
`istioctl x ps` (con la marca `--xds-via-agents`)