Recursos compatíveis do Anthos Service Mesh gerenciado

Nesta página, descrevemos os recursos e as limitações compatíveis com o Anthos Service Mesh gerenciado. Para ver a lista de recursos compatíveis com o Anthos Service Mesh para o Anthos Service Mesh com um plano de controle no cluster, consulte Plano de controle no cluster.

Limitações

Considere as seguintes limitações:

  • Os clusters do GKE precisam estar em uma das regiões compatíveis.
  • A versão do GKE precisa ser uma versão compatível.
  • Apenas as plataformas listadas em Ambientes são compatíveis.
  • Não é possível alterar canais de lançamento.
  • As migrações do Anthos Service Mesh gerenciado com asmcli para o Anthos Service Mesh com a API Fleet não são compatíveis. Da mesma forma, não é possível configurar o Anthos Service Mesh gerenciado com a API Fleet de --management manual para --management automatic.
  • As migrações e os upgrades são compatíveis somente com as versões 1.9 ou mais recentes do Anthos Service Mesh no cluster instaladas com a CA da malha. As instalações com a CA do Istio (antes conhecida como Citadel) precisam migrar para a CA da malha.
  • A escala é limitada a 1.000 serviços e 5.000 cargas de trabalho por cluster.
  • Apenas a opção de implantação multiprimária para vários clusters é compatível: a opção de implantação primária remota para vários clusters não é.
  • istioctl ps não é compatível. Em vez disso, use istioctl x ps --xds-via-agents para listar todas as cargas de trabalho. Além disso, é possível usar istioctl pc com o nome e o namespace do pod para receber informações detalhadas do pod.
  • APIs do Istio incompatíveis:

    • Filtros do Envoy

    • API IstioOperator

  • É possível usar o plano de controle gerenciado sem uma assinatura do GKE Enterprise, mas alguns elementos e recursos da IU no console do Google Cloud estão disponíveis apenas para assinantes do GKE Enterprise. Para informações sobre o que está disponível para assinantes e não assinantes, consulte Diferenças na IU do GKE Enterprise e do Anthos Service Mesh.

  • Durante o processo de provisionamento de um plano de controle gerenciado, os CRDs do Istio correspondentes ao canal selecionado são instalados no cluster especificado. Se houver CRDs do Istio no cluster, eles serão substituídos.

  • O Anthos Service Mesh gerenciado só é compatível com o domínio DNS padrão .cluster.local.

  • A partir de 14 de novembro de 2023, novas instalações do Anthos Service Mesh gerenciado no canal de lançamento rápido buscam apenas o JWKS usando o Envoys. Isso é equivalente à opção PILOT_JWT_ENABLE_REMOTE_JWKS=envoy do Istio. Em comparação com instalações nos canais de lançamento regulares e estáveis ou instalações no canal de lançamento rápido antes de 14 de novembro de 2023, talvez você precise de mais configurações ServiceEntry e DestinationRule. Para conferir um exemplo, consulte requestauthn-with-se.yaml.tmpl.

Diferenças de canais

Há diferenças nos recursos compatíveis entre canais de lançamento.

  • : indica que o recurso está disponível e ativado por padrão.
  • *: indica que o recurso é compatível com a plataforma e pode ser ativado, conforme descrito em Como ativar recursos opcionais ou no guia de recurso vinculado à tabela de recursos.
  • : indica que o recurso não está disponível ou é incompatível.

Os recursos padrão e opcionais são totalmente compatíveis com o suporte do Google Cloud. Recursos não listados explicitamente nas tabelas recebem suporte de melhor esforço.

Recursos compatíveis do plano de controle gerenciado

Instalar, fazer upgrade e reverter

Engenharia de Canal Stable Normal Rápido
Instalação em clusters do GKE usando a API do recurso frota
Atualizações das versões ASM 1.9 que usam o Mesh CA
Upgrades diretos (pular nível) das versões do Anthos Service Mesh anteriores a 1.9 (consulte as observações para upgrades indiretos)
Upgrades diretos (pular nível) do Istio OSS (consulte as observações para upgrades indiretos)
Upgrades diretos (pular nível) do complemento Istio-on-GKE (consulte as observações para upgrades indiretos)
Como ativar recursos opcionais

Ambientes

Recurso Canal Stable Normal Rápido
GKE 1.25 a 1.27 em uma das regiões suportadas
Clusters 1.25 a 1.27 do GKE com Autopilot
Ambientes fora do Google Cloud (GKE Enterprise no local, GKE Enterprise em outras nuvens públicas, Amazon EKS, Microsoft AKS ou outros clusters do Kubernetes)

Escala

Recurso Canal Stable Normal Rápido
1.000 serviços e 5.000 cargas de trabalho por cluster

Ambiente de plataforma

Engenharia de Canal Stable Normal Rápido
Rede única
Várias redes
Projeto único
Vários projetos com VPC compartilhada

Modelo de implantação

Engenharia de Canal Stable Normal Rápido
Modo multiprimário
Principal controle remoto

Observações sobre a terminologia

  • Uma configuração multiprimária significa que a configuração precisa ser replicada em todos os clusters.

  • Uma configuração primária remota significa que um único cluster contém a configuração e é considerado a fonte da verdade.

  • O Anthos Service Mesh usa uma definição simplificada de rede com base na conectividade geral. Instâncias de carga de trabalho ficam na mesma rede, se puderem se comunicar diretamente, sem um gateway.

Segurança

VPC Service Controls

Engenharia de Canal Stable Normal Rápido
Versão de pré-lançamento do VPC Service Controls (VPC-SC)
GA do VPC Service Controls (VPC-SC)

Mecanismos de distribuição/rotação de certificados

Engenharia de Canal Stable Normal Rápido
Gerenciamento de certificados de carga de trabalho
Gerenciamento de certificados externos nos gateways de entrada e de saída.

Suporte para autoridade de certificação (CA)

Engenharia de Canal Stable Normal Rápido
Autoridade de certificação do Anthos Service Mesh (CA Mesh)
Certificate Authority Service
CA do Istio
Integração com CAs personalizadas

Recursos de segurança do Anthos Service Mesh

Além de dar suporte aos recursos de segurança do Istio, o Anthos Service Mesh oferece outras maneiras para ajudar a proteger seus aplicativos.

Engenharia de Canal Stable Normal Rápido
Integração com o IAP
Autenticação de usuário final
Modo de teste
Registro de negação
Políticas de auditoria

Política de autorização

Engenharia de Canal Stable Normal Rápido
Política de autorização v1beta1

Política de autenticação

Engenharia de Canal Stable Normal Rápido
Auto-mTLS
Modo mTLS PERMISSIVE
Modo mTLS STRICT * * *

Autenticação de solicitações

Engenharia de Canal Stable Normal Rápido
Autenticação JWT(observação 1)

Observações:

  1. O JWT de terceiros é ativado por padrão.

Imagens de base

Engenharia de Canal Stable Normal Rápido
Imagem proxy distroless

Telemetria

Métricas

Engenharia de Canal Stable Normal Rápido
Cloud Monitoring (métricas HTTP no proxy)
Cloud Monitoring (métricas TCP no proxy)
Exportação de métricas do Prometheus para o Grafana (somente métricas do Envoy) * * *
Exportação de métricas do Prometheus para o Kiali
Google Cloud Managed Service para Prometheus, sem incluir o painel do Anthos Service Mesh * * *
API Istio Telemetry
Adaptadores/back-ends personalizados, dentro ou fora do processo
Back-ends de telemetria arbitrária e registro

Geração de registros de solicitação do proxy

Engenharia de Canal Stable Normal Rápido
Registros de tráfego
Registros de acesso * * *

Cloud Trace

Engenharia de Canal Stable Normal Rápido
Cloud Trace * * *
Rastreamento do Jaeger (permite o uso de Jaeger gerenciado pelo cliente) Compatível Compatível Compatível
Rastreamento de Zipkin (permite o uso de Zipkin gerenciado pelo cliente) Compatível Compatível Compatível

Rede

Mecanismo de interceptação e redirecionamento de tráfego

Engenharia de Canal Stable Normal Rápido
Uso tradicional de iptables usando contêineres init com CAP_NET_ADMIN
Interface de rede de contêineres do Istio (CNI, na sigla em inglês)
Sidecar de caixa baixa

Suporte a protocolo

Engenharia de Canal Stable Normal Rápido
IPv4
HTTP/1.1
HTTP/2
Streams de bytes TCP (Observação 1)
gRPC
IPv6

Observações:

  1. Embora o TCP seja um protocolo compatível com redes e as métricas TCP sejam coletadas, elas não são relatadas. As métricas são exibidas apenas para serviços HTTP no console do Google Cloud.
  2. Os serviços configurados com os recursos de Camada 7 para os seguintes protocolos não são compatíveis: WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ e Cloud SQL. É possível fazer o protocolo funcionar usando o suporte ao stream de bytes TCP. Se o fluxo de bytes TCP não for compatível com o protocolo, o protocolo não será compatível. Um exemplo disso é quando o Kafka envia um endereço de redirecionamento em uma resposta específica do protocolo e esse redirecionamento é incompatível com a lógica de roteamento do Anthos Service Mesh.

Implantações do Envoy

Engenharia de Canal Stable Normal Rápido
Sidecars
Gateway de entrada
Saída diretamente dos sidecars
Saída usando gateways de saída * * *

Compatibilidade com CRD

Engenharia de Canal Stable Normal Rápido
Recurso de sidecar
Recurso de entrada de serviço
Porcentagem, injeção de falhas, correspondência de caminho, redirecionamentos, novas tentativas, regravação, tempo limite, repetição, espelhamento, manipulação de cabeçalho e regras de roteamento CORS
Filtros personalizados do Envoy
Operador do Istio

Balanceador de carga para o gateway de entrada do Istio

Engenharia de Canal Stable Normal Rápido
Balanceador de carga externo de terceiros
google-cloud-internal-load-balancer * * *

Gateway da nuvem da malha de serviço

Engenharia de Canal Stable Normal Rápido
Gateway da nuvem da malha de serviço

Políticas de balanceamento de carga

Engenharia de Canal Stable Normal Rápido
Round-robin
Menos conexões
Aleatório
Passagem
Hash consistente
Localidade

Regiões

Os clusters do GKE precisam estar em uma das regiões ou em qualquer zona dentro das regiões a seguir.

Região Local
asia-east1 Taiwan
asia-east2 Hong Kong
asia-northeast1 Tóquio, Japão
asia-northeast2 Osaka, Japão
asia-northeast3 Coreia do Sul
asia-south1 Mumbai, Índia
asia-south2 Déli, Índia
asia-southeast1 Singapura
asia-southeast2 Jacarta
australia-southeast1 Sydney, Austrália
australia-southeast2 Melbourne, Austrália
europe-central2 Polônia
europe-north1 Finlândia
europe-southwest1 Espanha
europe-west1 Bélgica
europe-west2 Inglaterra
europe-west3 Alemanha
europe-west4 Países Baixos
europe-west6 Suíça
europe-west8 Itália
europe-west9 França
me-central1 Doha
me-central2 Damã, Arábia Saudita
me-west1 Tel Aviv
northamerica-northeast1 Montreal, Canadá
northamerica-northeast2 Toronto, Canadá
southamerica-east1 Brasil
southamerica-west1 Chile
us-central1 Iowa
us-east1 Carolina do Sul
us-east4 Norte da Virgínia
us-east5 Ohio
us-south1 Dallas
us-west1 Oregon
us-west2 Los Angeles
us-west3 Salt Lake City
us-west4 Las Vegas

Interface do usuário

Engenharia de Canal Stable Normal Rápido
Painéis do Anthos Service Mesh no console do Google Cloud
Cloud Monitoring
Cloud Logging

Ferramentas

Engenharia de Canal Stable Normal Rápido
istioctlcompatível com o istioctl com o Anthos Service Mesh 1.9.x
istioctl ps
istioctl x ps (com sinalização --xds-via-agents)