Versión 1.9

Funciones compatibles del plano de control administrado por Google

En esta página, se describen las limitaciones y funciones admitidas para Anthos Service Mesh con un plano de control administrado por Google. Para obtener una lista de las funciones admitidas de Anthos Service Mesh con un plano de control en el clúster, consulta Plano de control en el clúster.

Se aplica la siguiente limitación:

  • Los clústeres de GKE deben estar en una de las ubicaciones de Cloud Run disponibles.
  • La versión de GKE debe ser compatible con Anthos Service Mesh 1.9: GKE 1.16 a 1.20.
  • Los clústeres de GKE con Autopilot no son compatibles.
  • No se admiten entornos distintos de GKE (Compute Engine, VM, Kubernetes o Anthos On-Prem).
  • Las migraciones y actualizaciones solo son compatibles con las versiones de Anthos Service Mesh 1.9 o versiones posteriores instaladas con la CA de Mesh. Las instalaciones con la CA de Istio (antes conocida como Citadel) primero deben migrar a la CA de Mesh.
  • El escalamiento se limita a 1,000 servicios y 3,000 cargas de trabajo por clúster.
  • Solo se admite la opción de implementación de varias instancias para varios clústeres; no se admite la opción de implementación principal remota para varios clústeres.
  • istioctl ps no es compatible; sin embargo, puedes usar istioctl pc con el nombre del Pod y el espacio de nombres.
  • No se admiten las API de Istio:
    • Filtros de Envoy
    • API de operador de Istio
  • Puedes usar el plano de control administrado por Google sin una suscripción a Anthos, pero ciertos elementos de la IU y las funciones de Google Cloud Console solo están disponibles para los suscriptores de Anthos. Si quieres obtener información sobre lo que está disponible para suscriptores y no suscriptores, consulta las diferencias en la IU de Anthos Service Mesh y Anthos.

Funciones compatibles del plano de control administrado por Google

Instala, actualiza y revierte

Función Estado de compatibilidad
Instalación en clústeres nuevos de GKE: la instalación resultante usa Stackdriver y la CA de Mesh
Actualizaciones de las versiones de ASM 1.9 que usan CA de Mesh
Actualizaciones directas (nivel de omisión) de las versiones de Anthos Service Mesh anteriores a 1.9 (consulta las notas para las actualizaciones indirectas)
Actualizaciones directas (nivel de omisión) de Istio OSS (consulta las notas para las actualizaciones indirectas)
Actualizaciones directas (nivel de omisión) del complemento Istio-on-GKE (consulta las notas para las actualizaciones indirectas)
Habilita funciones opcionales

Entornos

Función Estado de compatibilidad
De GKE 1.16 a 1.20 en una de las [ubicaciones de Cloud Run](/run/docs/locations) disponibles.
GKE 1.14
Clústeres privados de GKE con acceso al extremo público, con o sin la red autorizada principal (MAN) habilitada
Entornos que no sean de GKE (Compute Engine, VM, Kubernetes o Anthos On-Prem, Amazon EKS y Microsoft AKS)

Escala

Función Estado de compatibilidad
1,000 servicios y 3,000 cargas de trabajo por clúster

Entorno de plataforma

Función Estado de compatibilidad
Una sola red
Varias redes
Un solo proyecto
Varios proyectos

Modelo de implementación

Función Estado de compatibilidad
Principales múltiples
Control principal

Notas sobre la terminología

  • Una configuración de varias instancias significa que la configuración se debe replicar en todos los clústeres.

  • Una configuración principal remota significa que un clúster único contiene la configuración y que se considera la fuente de información.

  • Anthos Service Mesh usa una definición simplificada de la red basada en la conectividad general. Las instancias de carga de trabajo están en la misma red si pueden comunicarse de forma directa, sin una puerta de enlace.

Seguridad

Mecanismos de distribución y rotación de certificados

Función Estado de compatibilidad
Administración de certificados de cargas de trabajo mediante el SDS de Envoy
Administración de certificados externos en la puerta de enlace de entrada mediante el SDS de Envoy

Compatibilidad con autoridad certificada (CA)

Función Estado de compatibilidad
Autoridad certificada de Anthos Service Mesh (CA de Mesh)
CA de Istio
Integración con CA personalizadas

Política de autorización

Función Estado de compatibilidad
Política de autorización de v1beta1

Política de autenticación

Función Estado de compatibilidad
Auto-mTLS
Modo PERMISSIVE de mTLS
Modo STRICT de mTLS Función opcional admitida

Autenticación de solicitudes

Función Estado de compatibilidad
Autenticación de JWT

Telemetría

Métricas

Función Estado de compatibilidad
Cloud Monitoring (métricas en el proxy de HTTP)
Cloud Monitoring (métricas en el proxy de TCP)
Telemetría de la malla (datos perimetrales en el proxy)
Exportación de métricas de Prometheus a Grafana y Kiali (solo métricas de Envoy) Función opcional admitida
Adaptadores y backends personalizados, dentro o fuera del proceso
Telemetría arbitraria y backends de registro

Registro de acceso

Función Estado de compatibilidad
Cloud Logging
Direccionamiento de Envoy a stdout Función opcional admitida

Seguimiento

Función Estado de compatibilidad
Cloud Trace Función opcional admitida
Seguimiento de Jaeger (permite el uso de Jaeger administrado por el cliente)
Seguimiento de Zipkin (permite el uso de Zipkin administrado por el cliente)

Ten en cuenta que la Asistencia de Cloud no puede proporcionar ayuda para administrar productos de telemetría de terceros.

Redes

Mecanismo de intercepción y direccionamiento de tráfico

Función Estado de compatibilidad
Uso tradicional de iptables mediante contenedores init con CAP_NET_ADMIN
Interfaz de red de contenedor (CNI) de Istio
Sidecar de caja blanca

Compatibilidad con protocolos

Función Estado de compatibilidad
IPv4
HTTP/1.1
HTTP/2
Transmisiones de bytes de TCP (Nota 1)
gRPC
IPv6

Notas:

  1. A pesar de que TCP es un protocolo que se admite para las redes, las métricas de TCP no se recopilan ni se informan. Las métricas solo se muestran para los servicios de HTTP en Cloud Console.
  2. No se admiten los servicios configurados con funciones de la capa 7 para los siguientes protocolos: WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ y Cloud SQL. Es posible que puedas hacer que el protocolo funcione mediante la compatibilidad con la transmisión de bytes de TCP. Si la transmisión de bytes de TCP no admite el protocolo (por ejemplo, Kafka envía una dirección de redireccionamiento en una respuesta específica del protocolo, y este redireccionamiento no es compatible con la lógica de enrutamiento de Anthos Service Mesh), el protocolo no es compatible.

Implementaciones de Envoy

Función Estado de compatibilidad
Sidecars
Puerta de enlace de entrada
Salida directa desde sidecars
Salida mediante puertas de enlace de salida Función opcional admitida

Compatibilidad con CRD

Función Estado de compatibilidad
Recurso de sidecar
Recurso de entrada del servicio
Porcentajes, inserción de errores, coincidencias de rutas de acceso, redireccionamientos, reintentos, reescrituras, tiempo de espera, reintentos, duplicaciones, manipulación de encabezados y reglas de enrutamiento de CORS
Filtros personalizados de Envoy
Operador de Istio

Balanceador de cargas para la puerta de enlace de entrada de Istio

Función Estado de compatibilidad
Balanceador de cargas público
Balanceador de cargas interno de Google Cloud Función opcional admitida

Políticas de balanceo de cargas

Función Estado de compatibilidad
Round robin
Conexiones mínimas
Aleatorio
Transferencia
Hash coherente
Ponderado según la localidad

Interfaz de usuario

Función Estado de compatibilidad
Paneles de Anthos Service Mesh en Cloud Console
Cloud Monitoring
Cloud Logging
Grafana
Kiali

La instalación de los componentes de Zipkin y Kiali ya no se puede realizar con istioctl install. Si habilitas la exportación de métricas de Envoy a Prometheus, puedes instalar tu propia instancia de Grafana y Kiali, pero la Asistencia de Cloud no puede proporcionar ayuda para administrar estos productos de terceros.

Herramientas

Función Estado de compatibilidad
istioctl compatible con Anthos Service Mesh 1.9.x
istioctl ps