このページでは、Google が管理するコントロール プレーンを使用する場合に Anthos Service Mesh でサポートされる機能と制限事項について説明します。クラスタ内コントロール プレーンがある Anthos Service Mesh 用に Anthos Service Mesh でサポートされている機能の一覧については、クラスタ内コントロール プレーンをご覧ください。
次の制限が適用されます。
- GKE クラスタは、使用可能な Cloud Run のロケーションのいずれかに存在する必要があります。
- GKE のバージョン(GKE 1.16~1.20)は Anthos Service Mesh 1.9 と互換性があります。
- Autopilot を使用した GKE クラスタはサポートされていません。
- GKE(Compute Engine、VM、Kubernetes または Anthos On-Prem)以外の環境はサポートされていません。
- 移行 / アップグレードは、Mesh CA と一緒にインストールされた Anthos Service Mesh バージョン 1.9 以降のみ行うことができます。Istio CA(旧称 Citadel)を使用してインストールする場合は、先に Mesh CA に移行する必要があります。
- スケールはクラスタあたり 1,000 個のサービスと 5,000 個のワークロードに制限されています。
- マルチクラスタの場合、マルチプライマリ デプロイ オプションのみがサポートされています。マルチクラスタのプライマリリモート デプロイ オプションはサポートされていません。
istioctl ps はサポートされていませんが、代わりに Pod 名と名前空間を指定して istioctl pc を使用できます。- Istio API はサポートされていません。
- Envoy フィルタ
- Istio Operator API
- Anthos に登録しなくても Google が管理するコントロール プレーンを使用できますが、Google Cloud Console の一部の UI 要素と機能は、Anthos のサブスクライバーのみが使用できます。サブスクライバーと非サブスクライバーが使用できる機能については、Anthos と Anthos Service Mesh の UI の違いをご覧ください。
Google が管理するコントロール プレーンでサポートされる機能
インストール、アップグレード、ロールバック
| 機能 |
サポート状況 |
| 新しい GKE クラスタへのインストール - インストール後の環境では Stackdriver と Mesh CA が使用されます。 |
|
| Mesh CA を使用する ASM 1.9 バージョンからアップグレード |
|
| 1.9 より前のバージョンの Anthos Service Mesh から直接(スキップレベル)アップグレード(間接的なアップグレードに関する注意事項を参照) |
|
| Istio OSS からの直接(スキップレベル)アップグレード(間接アップグレードに関する注意事項を参照) |
|
| Istio-on-GKE アドオンから直接(スキップレベル)アップグレード(間接アップグレードに関する注意事項を参照) |
|
| オプション機能の有効化 |
|
環境
| 機能 |
サポート状況 |
| 使用可能ないずれかの Cloud Run ロケーションに存在する GKE 1.16~1.20。 |
|
| GKE 1.14 |
|
| パブリック エンドポイント アクセスを備えた GKE 限定公開クラスタ、Master Authorized Network(MAN)が有効かどうかにはよらない |
|
| GKE 以外の環境(Compute Engine、VM、Kubernetes または Anthos On-Prem、Amazon EKS、Microsoft AKS) |
|
スケーリング
| 機能 |
サポート状況 |
| クラスタあたり 1,000 個のサービスと 5,000 個のワークロード |
|
| 機能 |
サポート状況 |
| 単一ネットワーク |
|
| マルチネットワーク |
|
| 単一プロジェクト |
|
| マルチ プロジェクト |
|
デプロイモデル
| 機能 |
サポート状況 |
| マルチプライマリ |
|
| プライマリリモート |
|
用語に関する注意事項
マルチプライマリ構成とは、すべてのクラスタでその構成を複製する必要があることを意味います。
プライマリリモート構成とは、単一のクラスタにその構成が含まれ、信頼できる送信元と見なされることを意味します。
Anthos Service Mesh では、一般的な接続に基づいて、簡素化されたネットワーク定義を使用しています。ワークロード インスタンスは、ゲートウェイなしで直接通信できる場合は同じネットワーク上に存在します。
セキュリティ
証明書の配布 / ローテーション メカニズム
認証局(CA)のサポート
| 機能 |
サポート状況 |
| Anthos Service Mesh 認証局(Mesh CA) |
|
| Istio CA |
|
| カスタム CA との統合 |
|
認証ポリシー
| 機能 |
サポート状況 |
| 認証 v1beta1 ポリシー |
|
認証ポリシー
| 機能 |
サポート状況 |
| 自動 mTLS |
|
| mTLS PERMISSIVE モード |
|
| mTLS の STRICT モード |
サポートされるオプション |
認証のリクエスト
テレメトリー
指標
| 機能 |
サポート状況 |
| Cloud Monitoring(HTTP プロキシ内指標) |
|
| Cloud Monitoring(TCP プロキシ内指標) |
|
| メッシュ テレメトリー(プロキシ内エッジデータ) |
|
| Prometheus 指標の Grafana と Kiali へのエクスポート(Envoy 指標のみ) |
サポートされるオプション |
| カスタム アダプタ / バックエンド(プロセス内またはプロセス外) |
|
| 任意のテレメトリーとロギング バックエンド |
|
アクセス ロギング
| 機能 |
サポート状況 |
| Cloud Logging |
|
Envoy の stdout への誘導 |
サポートされるオプション |
トレース
| 機能 |
サポート状況 |
| Cloud Trace |
サポートされるオプション |
|
| Jaeger トレース(顧客管理の Jaeger の使用を許可する) |
|
| Zipkin トレース(顧客管理の Zipkin の使用を許可する) |
|
Cloud サポートでは、サードパーティのテレメトリー プロダクトの管理はサポートできません。
ネットワーキング
トラフィックのインターセプト / リダイレクト メカニズム
| 機能 |
サポート状況 |
CAP_NET_ADMIN と init コンテナを使用する iptables の従来の使用 |
|
| Istio Container Network Interface(CNI) |
|
| ホワイトボックス サイドカー |
|
プロトコル サポート
| 機能 |
サポート状況 |
| IPv4 |
|
| HTTP/1.1 |
|
| HTTP/2 |
|
| TCP バイト ストリーム(注 1) |
|
| gRPC |
|
| IPv6 |
|
注:
- TCP はネットワーキング用のプロトコルですが、TCP 指標は収集または報告されません。指標は、Cloud Console 内の HTTP サービスにのみ表示されます。
- レイヤ 7 機能で WebSocket、MongoDB、Redis、Kafka、Cassandra、RabbitMQ、Cloud SQL のプロトコル向けに構成されているサービスはサポートされません。TCP バイト ストリームのサポートを使用して、プロトコルを機能させることができます。TCP バイト ストリームがプロトコルをサポートできない場合(たとえば、Kafka がプロトコル固有の応答でリダイレクト アドレスを送信し、このリダイレクトが Anthos Service Mesh のルーティング ロジックと互換性がない場合)、プロトコルはサポートされません。
Envoy のデプロイ
| 機能 |
サポート状況 |
| サイドカー |
|
| Ingress ゲートウェイ |
|
| サイドカーから直接の下り(外向き) |
|
| Egress ゲートウェイを使用した下り(外向き) |
サポートされるオプション |
CRD サポート
| 機能 |
サポート状況 |
| サイドカー リソース |
|
| サービス エントリ リソース |
|
| 割合、フォールト インジェクション、パスマッチング、リダイレクト、再試行、書き換え、タイムアウト、再試行、ミラーリング、ヘッダー操作、CORS ルーティング ルール |
|
| カスタム Envoy フィルタ |
|
| Istio Operator |
|
Istio Ingress ゲートウェイのロードバランサ
| 機能 |
サポート状況 |
| パブリック ロードバランサ |
|
| Google Cloud Internal load balancer |
サポートされるオプション |
負荷分散ポリシー
| 機能 |
サポート状況 |
| ラウンドロビン |
|
| 最小接続 |
|
| ランダム |
|
| パススルー |
|
| コンシステント ハッシュ |
|
| 局所加重 |
|
ユーザー インターフェース
| 機能 |
サポート状況 |
| Cloud Console での Anthos Service Mesh ダッシュボード |
|
| Cloud Monitoring |
|
| Cloud Logging |
|
| Grafana |
|
| Kiali |
|
Zipkin と Kiali のアドオン コンポーネントを istioctl install でインストールすることはできなくなりました。Prometheus への Envoy 指標のエクスポートを有効にする場合、Grafana と Kiali の独自のインスタンスもインストールできますが、Cloud サポートではこれらのサードパーティ製品の管理に関するヘルプは提供できません。
| 機能 |
サポート状況 |
| Anthos Service Mesh 1.9.x と互換性のある istioctl |
|
| istioctl ps |
|
