Version 1.10

Fonctionnalités compatibles avec le plan de contrôle géré par Google

Cette page décrit les fonctionnalités et les limites d'Anthos Service Mesh avec un plan de contrôle géré par Google. Pour obtenir la liste des fonctionnalités d'Anthos Service Mesh compatibles avec un plan de contrôle au sein du cluster, consultez la section Plan de contrôle au sein du cluster.

Les limites suivantes s'appliquent :

  • Les clusters GKE doivent se trouver dans l'une des régions disponibles.
  • La version de GKE doit être compatible avec Anthos Service Mesh 1.9 : GKE 1.16 à 1.20.
  • Les clusters GKE avec Autopilot ne sont pas acceptés.
  • Les environnements autres que GKE (Compute Engine, VM, Kubernetes ou Anthos On-Prem) ne sont pas acceptés.
  • Les migrations/mises à niveau ne sont compatibles qu'avec les versions d'Anthos Service Mesh 1.9 (ou versions ultérieures) installées avec l'autorité de certification Mesh. Les installations utilisant Istio CA (anciennement Citadel) doivent d'abord migrer vers Mesh CA.
  • Le scaling est limité à 1 000 services et 5 000 charges de travail par cluster.
  • Seule l'option de déploiement multi-niveau pour les clusters multiples est compatible : l'option de déploiement principal à distance n'est pas acceptée.
  • istioctl ps n'est pas compatible, mais vous pouvez utiliser istioctl pc avec le nom et l'espace de noms du pod.
  • API Istio non compatibles :
    • Filtres Envoy
    • API Istio Operator
  • Vous pouvez utiliser le plan de contrôle géré par Google sans abonnement Anthos, mais certains éléments d'UI et certaines fonctionnalités de Google Cloud Console ne sont disponibles que pour les abonnés Anthos. Pour en savoir plus sur ce qui est disponible pour les abonnés et les non-abonnés, consultez la section Différences entre les interfaces utilisateur Anthos et Anthos Service Mesh.

Fonctionnalités compatibles avec le plan de contrôle géré par Google

Installer, mettre à niveau et effectuer un rollback

Caractéristique Compatibilité
Installation sur les nouveaux clusters GKE. L'installation obtenue utilise Stackdriver et l'autorité de certification Mesh
Mises à niveau à partir de versions ASM 1.9 utilisant l'autorité de certification Mesh
Mises à niveau directes à partir de versions d'Anthos Service Mesh antérieures à la version 1.9 (voir les notes pour les mises à niveau indirectes)
Mises à niveau directes d'Istio OSS (voir les notes pour les mises à niveau indirectes)
Mises à niveau directes du module complémentaire Istio-on-GKE (voir les notes pour les mises à niveau indirectes)
Activer les fonctionnalités facultatives

Environnements

Caractéristique Compatibilité
GKE 1.16 à 1.20 dans l'une des régions disponibles.
GKE 1.14
Clusters privés GKE avec accès public aux points de terminaison activé, avec ou sans réseau principal autorisé (MAN). Dans les clusters privés, le plan de contrôle (maître) GKE possède un point de terminaison privé et un point de terminaison public. Il existe trois combinaisons de configuration permettant de contrôler l'accès aux points de terminaison du cluster :
  • Accès au point de terminaison public désactivé : crée un cluster privé sans accès client au point de terminaison public.
  • Accès au point de terminaison public activé, réseaux autorisés activés : crée un cluster privé avec un accès limité au point de terminaison public.
  • Accès au point de terminaison public activé, réseaux autorisés désactivés : crée un cluster privé avec un accès illimité au point de terminaison public.
Le plan de contrôle géré par Google nécessite l'activation de l'accès au point de terminaison public. Notez que cela ne signifie pas que le point de terminaison public est accessible en externe. Pour plus d'informations, consultez la page Points de terminaison dans les clusters privés.
Environnements autres que GKE (Compute Engine, VM, Kubernetes ou Anthos On-Prem, Amazon EKS, Microsoft AKS)

Effectuer le scaling

Caractéristique Compatibilité
1 000 services et 5 000 charges de travail par cluster

Environnement de plate-forme

Caractéristique Compatibilité
Réseau unique
Plusieurs réseaux
Projet unique
Plusieurs projets

Modèle de déploiement

Caractéristique Compatibilité
Plusieurs serveurs principaux
Serveurs principaux à distance

Remarques sur la terminologie

  • Une configuration avec plusieurs déploiements principaux signifie que la configuration doit être répliquée dans tous les clusters.

  • Une configuration de déploiement principal à distance signifie qu'un cluster unique contient la configuration et qu'elle est considérée comme source fiable.

  • Anthos Service Mesh utilise une définition simplifiée du réseau basée sur la connectivité générale. Les instances de charge de travail se trouvent sur le même réseau si elles peuvent communiquer directement, sans passerelle.

Sécurité

Mécanismes de distribution/rotation des certificats

Caractéristique Compatibilité
Gestion des certificats de charge de travail avec Envoy SDS
Gestion des certificats externes sur la passerelle d'entrée avec Envoy SDS

Compatibilité avec l'autorité de certification (CA)

Caractéristique Compatibilité
Autorité de certification Anthos Service Mesh (Mesh CA)
Istio CA
Intégration aux autorités de certification personnalisées

Règle d'autorisation

Caractéristique Compatibilité
Règle d'autorisation v1beta1

Stratégie d'authentification

Caractéristique Compatibilité
mTLS automatique
mTLS en mode PERMISSIVE
mTLS en mode STRICT Compatible, facultatif

Authentification des requêtes

Caractéristique Compatibilité
Authentification JWT

Télémétrie

Métriques

Caractéristique Compatibilité
Cloud Monitoring (métriques HTTP dans le proxy)
Cloud Monitoring (métriques TCP dans le proxy)
Télémétrie du maillage (données en périphérie dans le proxy)
Exportation des métriques Prometheus vers Grafana et Kiali (métriques Envoy uniquement) Compatible, facultatif
Adaptateurs/Backends personnalisés, via un processus ou hors processus
Backends de télémétrie et de journalisation arbitraires

Journalisation des accès

Caractéristique Compatibilité
Cloud Logging
Redirection d'Envoy vers stdout Compatible, facultatif

Traçage

Caractéristique Compatibilité
Cloud Trace Compatible, facultatif
Traçage Jaeger (permet l'utilisation de Jaeger géré par le client)
Traçage Zipkin (permet d'utiliser Zipkin géré par le client)

Notez que l'assistance Cloud ne peut pas vous aider à gérer des produits de télémétrie tiers.

Mise en réseau

Mécanisme de direction/redirection du trafic

Caractéristique Compatibilité
Utilisation classique de iptables à l'aide de conteneurs init avec CAP_NET_ADMIN
CNI (Container Network Interface) Istio
Side-car de type "boîte blanche"

Compatibilité avec le protocole

Caractéristique Compatibilité
IPv4
HTTP/1.1
HTTP/2
Flux d'octets TCP (Remarque 1)
gRPC
IPv6

Remarques :

  1. Bien que TCP soit un protocole compatible pour la mise en réseau, les métriques TCP ne sont ni collectées, ni signalées. Les métriques ne sont affichées que pour les services HTTP dans Cloud Console.
  2. Les services configurés avec des fonctionnalités de couche 7 pour les protocoles suivants ne sont pas compatibles : WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ, Cloud SQL. Vous pourrez peut-être rendre le protocole opérationnel grâce à la prise en charge du flux d'octets TCP. Si le flux d'octets TCP ne peut pas prendre en charge le protocole (par exemple, Kafka envoie une adresse de redirection dans une réponse spécifique au protocole, et cette redirection n'est pas compatible avec la logique de routage d'Anthos Service Mesh), le protocole n'est pas compatible.

Déploiements Envoy

Caractéristique Compatibilité
Side-cars
Passerelle d'entrée
Sortie directe à partir des side-cars
Sortie à l'aide de passerelles de sortie Compatible, facultatif

Compatibilité des CRD

Caractéristique Compatibilité
Ressource side-car
Ressource d'entrée de service
Pourcentage, injection de pannes, mise en correspondance des chemins d'accès, redirections, nouvelles tentatives, réécriture, délai avant expiration, nouvelle tentative, mise en miroir, manipulation des en-têtes et règles de routage CORS
Filtres Envoy personnalisés
Opérateur Istio

Équilibreur de charge pour la passerelle d'entrée Istio

Caractéristique Compatibilité
Équilibreur de charge public
Équilibreur de charge interne Google Cloud Compatible, facultatif

Règles d'équilibrage de charge

Caractéristique Compatibilité
round robin (à tour de rôle)
connexions minimales
random
pass-through
Hachage cohérent
pondéré par la localité

Régions

Les clusters GKE doivent se trouver dans l'une des régions suivantes ou dans n'importe quelle zone des régions suivantes.

Région Emplacement
asia-east1 Taïwan
asia-east2 Hong Kong
asia-northeast1 Tokyo
asia-northeast2 Osaka
asia-northeast3 Séoul, Corée du Sud
asia-southeast1 Singapour
asia-southeast2 Jakarta
asia-south1 Mumbai, Inde
asia-south2 Delhi, Inde
australia-southeast1 Sydney
australia-southeast2 Melbourne
europe-central2 Varsovie, Pologne
europe-north1 Finlande
europe-west1 Belgique
europe-west2 Londres, Royaume-Uni
europe-west3 Francfort, Allemagne
europe-west6 Zurich, Suisse
europe-west4 Pays-Bas
northamerica-northeast1 Montréal
southamerica-east1 São Paulo, Brésil
us-central1 Iowa
us-east1 Caroline du Sud
us-east4 Virginie du Nord
us-west1 Oregon
us-west2 Los Angeles
us-west3 Las Vegas
us-west4 Salt Lake City

Interface utilisateur

Caractéristique Compatibilité
Tableaux de bord Anthos Service Mesh dans Cloud Console
Cloud Monitoring
Cloud Logging
Grafana
Kiali

L'installation des composants complémentaires Zipkin et Kiali ne peut plus être effectuée à l'aide de istioctl install. Si vous activez l'exportation de métriques Envoy vers Prometheus, vous pouvez installer votre propre instance de Grafana et Kiali, mais l'assistance Cloud ne peut pas vous aider à gérer ces produits tiers.

Outils

Caractéristique Compatibilité
Compatible avec istioctl avec Anthos Service Mesh 1.9.x
istioctl ps