Questa pagina è stata tradotta dall'API Cloud Translation.

Funzionalità supportate da Anthos Service Mesh gestito

Questa pagina descrive le funzionalità e le limitazioni supportate per Anthos Service Mesh gestito. Per l'elenco delle funzionalità supportate da Anthos Service Mesh per Anthos Service Mesh con un piano di controllo in-cluster, vedi Piano di controllo in-cluster.

Limitazioni

Si applicano le seguenti limitazioni:

I cluster GKE devono trovarsi in una delle regioni supportate.
La versione di GKE deve essere una versione supportata.
Sono supportate solo le piattaforme elencate in Ambienti.
La modifica dei canali di rilascio non è supportata.
Le migrazioni da Anthos Service Mesh gestito con asmcli a Anthos Service Mesh con API del parco risorse non sono supportate. Allo stesso modo, il provisioning di Anthos Service Mesh gestito con l'API del parco risorse da --management manual a --management automatic non è supportato.
Le migrazioni e gli upgrade sono supportati solo da Anthos Service Mesh 1.9 e versioni successive nel cluster installate con Mesh CA. Le installazioni con Istio CA (precedentemente nota come Citadel) devono prima eseguire la migrazione a Mesh CA.
La scalabilità è limitata a 1000 servizi e 5000 carichi di lavoro per cluster.
È supportata solo l'opzione di deployment multi-primaria per il cluster multi-cluster; l'opzione di deployment principale-remoto non lo è.
L'istioctl ps non è supportato. Puoi invece utilizzare istioctl x ps --xds-via-agents per elencare tutti i carichi di lavoro. Inoltre, puoi utilizzare istioctl pc con il nome del pod e lo spazio dei nomi per ottenere informazioni dettagliate sul pod.
API Istio non supportate:
- Filtri Envoy
- IstioOperator API
Nota: puoi comunque abilitare le funzionalità facoltative senza utilizzare l'API IstioOperator, consulta Abilitare le funzionalità facoltative su Anthos Service Mesh gestito. Puoi anche utilizzare lo strumento di migrazione incluso in asmcli per convertire automaticamente altre funzionalità facoltative di IstioOperator in modo che siano compatibili con il piano di controllo gestito. Per saperne di più, consulta Eseguire la migrazione da IstioOperator.
Puoi utilizzare il piano di controllo gestito senza un abbonamento a GKE Enterprise, ma alcuni elementi dell'interfaccia utente e funzionalità della console Google Cloud sono disponibili solo per gli abbonati a GKE Enterprise. Per informazioni su cosa è disponibile per gli abbonati e i non abbonati, consulta Differenze tra le UI di GKE Enterprise e Anthos Service Mesh.
Durante il processo di provisioning per un piano di controllo gestito, i CRD Istio corrispondenti al canale selezionato vengono installati nel cluster specificato. Se nel cluster esistono CRD Istio, verranno sovrascritti
Anthos Service Mesh gestito supporta solo il dominio DNS predefinito .cluster.local.
A partire dal 14 novembre 2023, le nuove installazioni di Anthos Service Mesh gestito sul canale di rilascio rapido recuperano JWKS solo utilizzando Envoy. Equivale all'opzione PILOT_JWT_ENABLE_REMOTE_JWKS=envoy Istio. Rispetto alle installazioni sui canali di rilascio regolari e stabili o sulle installazioni sul canale di rilascio rapido prima del 14 novembre 2023, potrebbero essere necessarie ulteriori configurazioni ServiceEntry e DestinationRule. Per un esempio, consulta requestauthn-with-se.yaml.tmpl.

Dopo il provisioning di Anthos Service Mesh, devi contattare l'assistenza prima di avviare la rotazione IP o la rotazione delle credenziali del certificato.

Differenze di canale

Esistono alcune differenze nelle funzionalità supportate tra i canali di rilascio.

: indica che la funzionalità è disponibile e abilitata per impostazione predefinita.
*: indica che la funzionalità è supportata per la piattaforma e può essere abilitata, come descritto in Abilitazione delle funzionalità facoltative o nella guida alle funzionalità collegata nella tabella delle funzionalità.
– Indica che la funzionalità non è disponibile o non è supportata.

Le funzionalità predefinite e facoltative sono completamente supportate dall'Assistenza Google Cloud. Le funzionalità non elencate esplicitamente nelle tabelle ricevono l'assistenza secondo il criterio del "best effort".

Funzionalità supportate dal piano di controllo gestito

Installazione, upgrade e rollback

Selezione delle	Stabile	Normale	Rapida
Installazione sui cluster GKE utilizzando l'API della funzionalità fleet
Upgrade dalle versioni di ASM 1.9 che utilizzano Mesh CA
Upgrade diretti (a livello di salto) da versioni di Anthos Service Mesh precedenti alla 1.9 (consulta le note per gli upgrade indiretti)
Upgrade diretti (a livello di salto) da Istio OSS (consulta le note per gli upgrade indiretti)
Upgrade diretti (a livello di salto) dal componente aggiuntivo Istio-on-GKE (consulta le note per gli upgrade indiretti)
Attivazione delle funzionalità facoltative.

Ambienti

Selezione delle	Stabile	Normale	Rapida
GKE 1.25-1.27 in una delle regioni supportate
Cluster GKE 1.25-1.27 con Autopilot
Ambienti esterni a Google Cloud (GKE Enterprise on-premise, GKE Enterprise su altri cloud pubblici, Amazon EKS, Microsoft AKS o altri cluster Kubernetes)

Scalabilità

Selezione delle	Stabile	Normale	Rapida
1000 servizi e 5000 carichi di lavoro per cluster

Ambiente della piattaforma

Selezione delle	Stabile	Normale	Rapida
Rete singola
Più reti
Progetto singolo
Multiprogetto con VPC condiviso

Modello di deployment

Selezione delle	Stabile	Normale	Rapida
Multi-primaria
Telecomando principale

Note sulla terminologia

Una configurazione multi-primaria significa che la configurazione deve essere replicata in tutti i cluster.
Una configurazione principale-remota indica che un singolo cluster contiene la configurazione ed è considerato la fonte di riferimento.
Anthos Service Mesh utilizza una definizione semplificata di rete basata sulla connettività generale. Le istanze di carico di lavoro si trovano sulla stessa rete se sono in grado di comunicare direttamente, senza un gateway.

Sicurezza

Controlli di servizio VPC

Selezione delle	Stabile	Normale	Rapida
Anteprima di Controllo di servizio VPC (VPC-SC)
Controllo di servizio VPC (VPC-SC) GA

Meccanismi di distribuzione/rotazione dei certificati

Selezione delle	Stabile	Normale	Rapida
Gestione dei certificati dei carichi di lavoro
Gestione esterna dei certificati sui gateway in entrata ed in uscita.

Supporto delle autorità di certificazione (CA)

Selezione delle	Stabile	Normale	Rapida
Autorità di certificazione Anthos Service Mesh (Mesh CA)
Certificate Authority Service
CA Istio
Integrazione con CA personalizzate

Funzionalità di sicurezza di Anthos Service Mesh

Oltre a supportare le funzionalità di sicurezza Istio, Anthos Service Mesh fornisce ulteriori funzionalità per aiutarti a proteggere le tue applicazioni.

Selezione delle	Stabile	Normale	Rapida
Integrazione IAP
Autenticazione dell'utente finale
Modalità di prova
Logging dei rifiuti
Criteri di audit

Criterio di autorizzazione

Selezione delle	Stabile	Normale	Rapida
Criterio di autorizzazione v1beta1

Criteri di autenticazione

Selezione delle	Stabile	Normale	Rapida
mTLS automatico
Modalità mTLS PERMISSIVA
Modalità mTLS STRICT	*	*	*

Richiedi autenticazione

Selezione delle	Stabile	Normale	Rapida
Autenticazione JWT^{(nota 1)}

Note:

JWT di terze parti è attivo per impostazione predefinita.

Immagini di base

Selezione delle	Stabile	Normale	Rapida
Immagine proxy senza distribuzione

Telemetria

Metriche

Selezione delle	Stabile	Normale	Rapida
Cloud Monitoring (metriche HTTP in-proxy)
Cloud Monitoring (metriche in-proxy TCP)
Esportazione delle metriche di Prometheus in Grafana (solo metriche di Envoy)	*	*	*
Esportazione delle metriche di Prometheus in Kiali
Google Cloud Managed Service per Prometheus, esclusa la dashboard di Anthos Service Mesh	*	*	*
API Istio Telemetry
Adattatori/backend personalizzati, in corso o fuori processo
Backend di telemetria arbitraria e logging

Logging delle richieste proxy

Selezione delle	Stabile	Normale	Rapida
Log sul traffico
Log degli accessi	*	*	*

Tracciamento

Selezione delle	Stabile	Normale	Rapida
Cloud Trace	*	*	*
Tracciamento Jaeger (consente l'utilizzo di Jaeger gestito dal cliente)	Compatibile	Compatibile	Compatibile
Zipkin tracciamento (consente l'utilizzo di Zipkin gestito dal cliente)	Compatibile	Compatibile	Compatibile

Networking

Meccanismo di intercettazione/reindirizzamento del traffico

Selezione delle	Stabile	Normale	Rapida
Utilizzo tradizionale di `iptables` con container `init` con `CAP_NET_ADMIN`
Interfaccia di rete del container Istio (CNI)
Sidecar whitebox

Supporto dei protocolli

Selezione delle	Stabile	Normale	Rapida
IPv4
HTTP/1.1
HTTP/2
Flussi di byte TCP (nota 1)
gRPC
IPv6

Note:

Sebbene TCP sia un protocollo supportato per il networking e le metriche TCP vengono raccolte, non vengono segnalate. Le metriche vengono visualizzate solo per i servizi HTTP nella console Google Cloud.
I servizi configurati con funzionalità di livello 7 per i seguenti protocolli non sono supportati: WebSocket, MongoDB, Redis, Kafka,Cassandra, RabbitMQ, Cloud SQL. Potresti riuscire a far funzionare il protocollo utilizzando il supporto per il flusso di byte TCP. Se il flusso di byte TCP non supporta il protocollo (ad esempio, Kafka invia un indirizzo di reindirizzamento in una risposta specifica per protocollo e questo reindirizzamento non è compatibile con la logica di routing di Anthos Service Mesh), il protocollo non è supportato.

Deployment di Envoy

Selezione delle	Stabile	Normale	Rapida
Sidecar
Gateway in entrata
In uscita direttamente dai file collaterali
In uscita utilizzando i gateway in uscita	*	*	*

Assistenza CRD

Selezione delle	Stabile	Normale	Rapida
Risorsa collaterale
Risorsa voce di servizio
Percentuale, fault injection, corrispondenza dei percorsi, reindirizzamenti, nuovi tentativi, riscrittura, timeout, nuovi tentativi, mirroring, manipolazione dell'intestazione e regole di routing CORS
Filtri Envoy personalizzati
Operatore Istio

Bilanciatore del carico per il gateway in entrata Istio

Selezione delle	Stabile	Normale	Rapida
Bilanciatore del carico esterno di terze parti
Bilanciatore del carico interno di Google Cloud	*	*	*

Gateway cloud mesh di servizi

Selezione delle	Stabile	Normale	Rapida
Gateway cloud mesh di servizi

Criteri di bilanciamento del carico

Selezione delle	Stabile	Normale	Rapida
Round robin
Numero minimo di connessioni
Casuale
Passthrough
Hash coerente
Località

Regioni

I cluster GKE devono trovarsi in una delle seguenti regioni o in una qualsiasi zona all'interno delle regioni seguenti.

Regione	Località
`asia-east1`	Taiwan
`asia-east2`	Hong Kong
`asia-northeast1`	Tokyo, Giappone
`asia-northeast2`	Osaka, Giappone
`asia-northeast3`	Corea del Sud
`asia-south1`	Mumbai, India
`asia-south2`	Delhi, India
`asia-southeast1`	Singapore
`asia-southeast2`	Giacarta
`australia-southeast1`	Sydney, Australia
`australia-southeast2`	Melbourne, Australia
`europe-central2`	Polonia
`europe-north1`	Finlandia
`europe-southwest1`	Spagna
`europe-west1`	Belgio
`europe-west2`	Inghilterra
`europe-west3`	Germania
`europe-west4`	Paesi Bassi
`europe-west6`	Svizzera
`europe-west8`	Italia
`europe-west9`	Francia
`me-central1`	Doha
`me-central2`	Dammam, Arabia Saudita
`me-west1`	Tel Aviv
`northamerica-northeast1`	Montreal, Canada
`northamerica-northeast2`	Toronto, Canada
`southamerica-east1`	Brasile
`southamerica-west1`	Cile
`us-central1`	Iowa
`us-east1`	Carolina del Sud
`us-east4`	Virginia del Nord
`us-east5`	Ohio
`us-south1`	Dallas
`us-west1`	Oregon
`us-west2`	Los Angeles
`us-west3`	Salt Lake City
`us-west4`	Las Vegas

Interfaccia utente

Selezione delle	Stabile	Normale	Rapida
Dashboard di Anthos Service Mesh nella console Google Cloud
Cloud Monitoring
Cloud Logging

Utensili

Selezione delle	Stabile	Normale	Rapida
`istioctl` compatibile con Anthos Service Mesh 1.9.x
`istioctl ps`
`istioctl x ps` (con flag `--xds-via-agents`)