バージョン 1.10

マネージド Anthos Service Mesh でサポートされている機能

このページでは、マネージド Anthos Service Mesh でサポートされている機能と制限事項について説明します。クラスタ内コントロール プレーンの Anthos Service Mesh 用に Anthos Service Mesh でサポートされている機能の一覧については、クラスタ内コントロール プレーンをご覧ください。

次の制限が適用されます。

  • GKE クラスタは、サポートされているリージョンのいずれかに存在する必要があります。
  • GKE のバージョンは、サポートされているバージョンである必要があります。
  • 環境に記載されているプラットフォームのみがサポートされています。
  • 移行 / アップグレードは、Mesh CA と一緒にインストールされた Anthos Service Mesh バージョン 1.9 以降のみ行うことができます。Istio CA(旧称 Citadel)を使用してインストールする場合は、先に Mesh CA に移行する必要があります。
  • スケールはクラスタあたり 1,000 個のサービスと 5,000 個のワークロードに制限されています。
  • マルチクラスタの場合、マルチプライマリ デプロイ オプションのみがサポートされています。マルチクラスタのプライマリリモート デプロイ オプションはサポートされていません。
  • istioctl ps はサポートされていませんが、代わりに Pod 名と名前空間を指定して istioctl pc を使用できます。
  • サポートされていない Istio API:

    • Envoy フィルタ

    • IstioOperator API

  • Anthos に登録しなくても Google 管理のコントロール プレーンを使用できますが、Google Cloud Console の一部の UI 要素と機能は、Anthos のサブスクライバーのみが使用できます。サブスクライバーと非サブスクライバーが使用できる機能については、Anthos と Anthos Service Mesh の UI の違いをご覧ください。

Google が管理するコントロール プレーンでサポートされる機能

インストール、アップグレード、ロールバック

機能 サポート状況
新しい GKE クラスタへのインストール - インストール後の環境では Stackdriver と Mesh CA が使用されます。
Mesh CA を使用する ASM 1.9 バージョンからアップグレード
1.9 より前のバージョンの Anthos Service Mesh から直接(スキップレベル)アップグレード(間接的なアップグレードに関する注意事項を参照)
Istio OSS からの直接(スキップレベル)アップグレード(間接アップグレードに関する注意事項を参照)
Istio-on-GKE アドオンから直接(スキップレベル)アップグレード(間接アップグレードに関する注意事項を参照)
オプション機能の有効化

環境

機能 サポート状況
サポート対象のいずれかのリージョンの GKE 1.18 以降
Autopilot の GKE クラスタ
パブリック エンドポイント アクセスを備えた GKE 限定公開クラスタ。Master Authorized Network(MAN)が有効かどうかは関係ありません。限定公開クラスタでは、GKE コントロール プレーン(マスター)にプライベート エンドポイントとパブリック エンドポイントがあります。クラスタ エンドポイントへのアクセスを制御するための構成の組み合わせが 3 つあります。
  • パブリック エンドポイント アクセスが無効: パブリック エンドポイントへのクライアント アクセスのない限定公開クラスタを作成します。
  • パブリック エンドポイント アクセスが有効、承認済みネットワークが有効: パブリック エンドポイントへのアクセスが制限された限定公開クラスタを作成します。
  • パブリック エンドポイント アクセスが有効、承認済みネットワークが無効: パブリック エンドポイントに無制限にアクセスできる限定公開クラスタを作成します。
Google が管理するコントロール プレーンでは、パブリック エンドポイント アクセスを有効にする必要があります。これは、パブリック エンドポイントに外部からアクセスできることを意味するわけではありません。詳細については、限定公開クラスタ内のエンドポイントをご覧ください。
Compute Engine VM
Google Cloud 以外の環境(Anthos オンプレミス、他のパブリック クラウドの Anthos、Amazon EKS、Microsoft AKS、その他の Kubernetes クラスタ)

規模

機能 サポート状況
クラスタあたり 1,000 個のサービスと 5,000 個のワークロード

プラットフォーム環境

機能 サポート状況
単一ネットワーク
マルチネットワーク
単一プロジェクト
マルチ プロジェクト

デプロイモデル

機能 サポート状況
マルチプライマリ
プライマリリモート

用語に関する注意事項

  • マルチプライマリ構成とは、すべてのクラスタでその構成を複製する必要があることを意味います。

  • プライマリリモート構成とは、単一のクラスタにその構成が含まれ、信頼できる送信元と見なされることを意味します。

  • Anthos Service Mesh では、一般的な接続に基づいて、簡素化されたネットワーク定義を使用しています。ワークロード インスタンスは、ゲートウェイなしで直接通信できる場合は同じネットワーク上に存在します。

セキュリティ

証明書の配布 / ローテーション メカニズム

機能 サポート状況
ワークロード証明書の管理
Ingress ゲートウェイの外部証明書の管理

認証局(CA)のサポート

機能 サポート状況
Anthos Service Mesh 認証局(Mesh CA)
Istio CA
カスタム CA との統合

認証ポリシー

機能 サポート状況
認証 v1beta1 ポリシー

認証ポリシー

機能 サポート状況
自動 mTLS
mTLS PERMISSIVE モード
mTLS の STRICT モード サポートされるオプション

認証のリクエスト

機能 サポート状況
JWT 認証

テレメトリー

指標

機能 サポート状況
Cloud Monitoring(HTTP プロキシ内指標)
Cloud Monitoring(TCP プロキシ内指標)
Prometheus 指標の Grafana と Kiali へのエクスポート(Envoy 指標のみ) サポートされるオプション
カスタム アダプタ / バックエンド(プロセス内またはプロセス外)
任意のテレメトリーとロギング バックエンド

アクセス ロギング

機能 サポート状況
Cloud Logging
Envoy の stdout への誘導 サポートされるオプション

トレース

機能 サポート状況
Cloud Trace
Jaeger トレース(顧客管理の Jaeger の使用を許可する)
Zipkin トレース(顧客管理の Zipkin の使用を許可する)

Cloud サポートでは、サードパーティのテレメトリー プロダクトの管理はサポートできません。

ネットワーキング

トラフィックのインターセプト / リダイレクト メカニズム

機能 サポート状況
CAP_NET_ADMINinit コンテナを使用する iptables の従来の使用
Istio Container Network Interface(CNI)
ホワイトボックス サイドカー

プロトコル サポート

機能 サポート状況
IPv4
HTTP/1.1
HTTP/2
TCP バイト ストリーム(注 1)
gRPC
IPv6

注:

  1. TCP はネットワーキング用のプロトコルですが、TCP 指標は収集または報告されません。指標は、Cloud Console 内の HTTP サービスにのみ表示されます。
  2. レイヤ 7 機能で WebSocket、MongoDB、Redis、Kafka、Cassandra、RabbitMQ、Cloud SQL のプロトコル向けに構成されているサービスはサポートされません。TCP バイト ストリームのサポートを使用して、プロトコルを機能させることができます。TCP バイト ストリームがプロトコルをサポートできない場合(たとえば、Kafka がプロトコル固有の応答でリダイレクト アドレスを送信し、このリダイレクトが Anthos Service Mesh のルーティング ロジックと互換性がない場合)、プロトコルはサポートされません。

Envoy のデプロイ

機能 サポート状況
サイドカー
Ingress ゲートウェイ
サイドカーから直接の下り(外向き)
Egress ゲートウェイを使用した下り(外向き) サポートされるオプション

CRD サポート

機能 サポート状況
サイドカー リソース
サービス エントリ リソース
割合、フォールト インジェクション、パスマッチング、リダイレクト、再試行、書き換え、タイムアウト、再試行、ミラーリング、ヘッダー操作、CORS ルーティング ルール
カスタム Envoy フィルタ
Istio Operator

Istio Ingress ゲートウェイのロードバランサ

機能 サポート状況
パブリック ロードバランサ
Google Cloud Internal load balancer サポートされるオプション

負荷分散ポリシー

機能 サポート状況
ラウンドロビン
最小接続
ランダム
パススルー
コンシステント ハッシュ
局所加重

リージョン

GKE クラスタは、次のいずれかのリージョンに存在するか、次のリージョン内の任意のゾーンに存在する必要があります。

リージョン ロケーション
asia-east1 台湾
asia-east2 香港
asia-northeast1 東京
asia-northeast2 大阪
asia-northeast3 ソウル(韓国)
asia-southeast1 シンガポール
asia-southeast2 ジャカルタ
asia-south1 ムンバイ(インド)
asia-south2 デリー(インド)
australia-southeast1 シドニー
australia-southeast2 メルボルン
europe-central2 ワルシャワ(ポーランド)
europe-north1 フィンランド
europe-west1 ベルギー
europe-west2 ロンドン(イギリス)
europe-west3 フランクフルト(ドイツ)
europe-west6 チューリッヒ(スイス)
europe-west4 オランダ
northamerica-northeast1 モントリオール
southamerica-east1 サンパウロ(ブラジル)
us-central1 アイオワ
us-east1 サウスカロライナ
us-east4 北バージニア
us-west1 オレゴン
us-west2 ロサンゼルス
us-west3 ラスベガス
us-west4 ソルトレイクシティ

ユーザー インターフェース

機能 サポート状況
Cloud Console での Anthos Service Mesh ダッシュボード
Cloud Monitoring
Cloud Logging

Zipkin と Kiali のアドオン コンポーネントを istioctl install でインストールすることはできなくなりました。Prometheus への Envoy 指標のエクスポートを有効にする場合、Grafana と Kiali の独自のインスタンスもインストールできますが、Cloud サポートではこれらのサードパーティ製品の管理に関するヘルプは提供できません。

ツール

機能 サポート状況
Anthos Service Mesh 1.9.x と互換性のある istioctl
istioctl ps