Fonctionnalités compatibles avec le plan de contrôle au sein du cluster

Cette page décrit les fonctionnalités compatibles dans Anthos Service Mesh avec un plan de contrôle au sein du cluster. Pour consulter les fonctionnalités acceptées dans Anthos Service Mesh  avec un plan de contrôle géré, consultez la page Plan de contrôle géré.

Versions compatibles

La compatibilité d'Anthos Service Mesh est conforme à la politique d'assistance pour les versions de GKE Enterprise.

Pour Anthos Service Mesh géré, Google est compatible avec les versions actuelles d'Anthos Service Mesh disponibles dans chaque version disponible.

Pour Anthos Service Mesh auto-installé dans le cluster, Google est compatible avec les deux versions mineures actuelles et précédentes (n-2) d'Anthos Service Mesh.

Le tableau suivant présente les versions compatibles d'Anthos Service Mesh auto-installé dans le cluster et la première date de fin de vie d'une version.

Version Date de disponibilité Date de fin de vie la plus proche
1.20 8 février 2024 8 novembre 2024
1.19 31 octobre 2023 31 juillet 2024
1.18 3 août 2023 1er juin 2024

Si vous utilisez une version d'Anthos Service Mesh non compatible, vous devez passer à Anthos Service Mesh  ou une version ultérieure. Pour en savoir plus sur la mise à niveau, consultez la page Mettre à niveau Anthos Service Mesh.

Le tableau suivant présente les versions non compatibles d'Anthos Service Mesh et leur date de fin de vie.

Version Date de disponibilité Date de fin de vie
1.17 4 avril 2023 Non compatible (8 février 2024)
1.16 21 février 2023 Non compatible (11 décembre 2023)
1.15 25 octobre 2022 Non compatible (4 août 2023)
1.14 20 juillet 2022 Non compatible (20 avril 2023)
1.13 30 mars 2022 Non compatible (8 février 2023)
1.12 9 Décembre 2021 Non compatible (25 octobre 2022)
1.11 6 Octobre 2021 Non compatible (20 juillet 2022)
1.10 24 juin 2021 Non compatible (30 mars 2022)
1.9 4 mars 2021 Non compatible (14 Décembre 2021)
1.8 15 décembre 2020 Non compatible (14 Décembre 2021)
1,7 3 novembre 2020 Non compatible (14 Décembre 2021)
1,6 30 juin 2020 Non compatible (30 mars 2021)
1.5 20 mai 2020 Non compatible (17 février 2021)
1.4 20 décembre 2019 Non compatible (18 septembre 2020)

Pour en savoir plus sur nos règles d'assistance, consultez la page Assistance.

Différences entre plates-formes

Les fonctionnalités compatibles entre les plates-formes compatibles diffèrent.

Les colonnes Autres clusters GKE Enterprise font référence à des clusters situés en dehors de Google Cloud, par exemple:

  • Google Distributed Cloud Virtual:

    • GKE sur VMware
    • Google Distributed Cloud Virtual pour Bare Metal

    Cette page utilise Google Distributed Cloud Virtual, où la même prise en charge est disponible à la fois sur GKE sur VMware et Google Distributed Cloud Virtual pour Bare Metal, et sur la plate-forme spécifique qui présente des différences entre les plates-formes.

  • GKE Enterprise sur d'autres clouds publics:

  • Clusters associés à GKE : clusters Kubernetes tiers enregistrés dans un parc. Anthos Service Mesh est compatible avec les types de cluster suivants :

    • Clusters Amazon EKS
    • Clusters Microsoft AKS

Dans les tableaux suivants :

  •  : indique que la fonctionnalité est activée par défaut.
  • * : indique que la fonctionnalité est compatible avec la plate-forme et qu'elle peut être activée, comme décrit dans la section Activer les fonctionnalités facultatives ou dans le guide de fonctionnalités dont le lien se trouve dans le tableau des fonctionnalités.
  • Compatible : indique que la fonctionnalité ou l'outil tiers s'intègre ou fonctionne avec Anthos Service Mesh, mais n'est pas entièrement compatible avec l'assistance Google Cloud et aucun guide de fonctionnalités n'est disponible.
  •  : indique que la fonctionnalité n'est pas disponible ou qu'elle n'est pas compatible avec Anthos Service Mesh .

Les fonctionnalités par défaut et facultatives sont entièrement prises en charge par l'assistance Google Cloud. Les fonctionnalités qui ne sont pas explicitement répertoriées dans les tableaux bénéficient d'une assistance selon le principe du meilleur effort.

Sécurité

Mécanismes de distribution/rotation des certificats

Sélection Clusters GKE sur Google Cloud Autres clusters GKE Enterprise
Gestion des certificats de charge de travail
Gestion des certificats externes sur les passerelles d'entrée et de sortie

Compatibilité avec l'autorité de certification (CA)

Sélection Clusters GKE sur Google Cloud Clusters GKE Enterprise sur site Autres clusters GKE Enterprise
Autorité de certification Anthos Service Mesh (Mesh CA)
Certificate Authority Service * *
Istio CA (anciennement Citadel) * *
Intégration de vos propres certificats CA Compatible avec CA Service et Istio CA Compatible avec CA Service et Istio CA Compatible avec Istio CA

Fonctionnalités de sécurité d'Anthos Service Mesh

En plus de proposer des fonctionnalités de sécurité Istio, Anthos Service Mesh offre encore plus de fonctionnalités pour vous aider à sécuriser vos applications.

Sélection Clusters GKE sur Google Cloud Distributed Cloud Virtual GKE Multi-Cloud Autres clusters GKE Enterprise
Intégration IAP
Authentification de l'utilisateur final
Règles d'audit (preview) *
Mode de simulation
Journalisation de refus

Règle d'autorisation

Sélection Clusters GKE sur Google Cloud Autres clusters GKE Enterprise
Règle d'autorisation v1beta1

Stratégie d'authentification

Authentification des pairs

Sélection Clusters GKE sur Google Cloud Autres clusters GKE Enterprise
mTLS automatique
mTLS en mode PERMISSIVE

Pour en savoir plus sur l'activation du mode mTLS STRICT, consultez la section Configurer la sécurité du transport.

Authentification des requêtes

Sélection Clusters GKE sur Google Cloud Autres clusters GKE Enterprise
Authentification JWT (Remarque 1)

Remarques :

  1. Le JWT tiers est activé par défaut.

Images de base

Sélection Clusters GKE sur Google Cloud Autres clusters GKE Enterprise
Image de proxy Distroless

Télémétrie

Métriques

Sélection Clusters GKE sur Google Cloud Clusters GKE Enterprise sur site Autres clusters GKE Enterprise
Cloud Monitoring (métriques HTTP dans le proxy)
Cloud Monitoring (métriques TCP dans le proxy)
API Telemetry d'Istio
Adaptateurs/Backends personnalisés, via un processus ou hors processus
Backends de télémétrie et de journalisation arbitraires
Exportation des métriques Prometheus vers les tableaux de bord Prometheus, Grafana et Kiali installés par le client Compatible Compatible Compatible
Google Cloud Managed Service pour Prometheus, à l'exclusion du tableau de bord Anthos Service Mesh
Le graphique de topologie de la console Google Cloud n'utilise plus le service de télémétrie du maillage comme source de données. Bien que la source de données du graphique de topologie ait changé, l'UI reste la même.

Journalisation des requêtes proxy

Sélection Clusters GKE sur Google Cloud Clusters GKE Enterprise sur site Autres clusters GKE Enterprise
Journaux de trafic
Journaux d'accès * * *

Trace

Caractéristique Clusters GKE sur Google Cloud Clusters GKE Enterprise sur site Autres clusters GKE Enterprise
Cloud Trace * *
Traçage Jaeger (permet l'utilisation de Jaeger géré par le client) Compatible Compatible Compatible
Traçage Zipkin (permet d'utiliser Zipkin géré par le client) Compatible Compatible Compatible

Mise en réseau

Mécanisme de direction/redirection du trafic

Sélection Clusters GKE sur Google Cloud Autres clusters GKE Enterprise
Utilisation classique de iptables à l'aide de conteneurs init avec CAP_NET_ADMIN
CNI (Container Network Interface) * *

Compatibilité avec le protocole

Les services configurés avec des fonctionnalités de couche 7 pour les protocoles suivants ne sont pas compatibles : WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ, Cloud SQL. Vous pourrez peut-être rendre le protocole opérationnel grâce à la prise en charge du flux d'octets TCP. Si le flux d'octets TCP ne peut pas prendre en charge le protocole (par exemple, Kafka envoie une adresse de redirection dans une réponse spécifique au protocole, et cette redirection n'est pas compatible avec la logique de routage d'Anthos Service Mesh), le protocole n'est pas compatible.

Sélection Clusters GKE sur Google Cloud Autres clusters GKE Enterprise
IPv4
HTTP/1.1
HTTP/2
Flux d'octets TCP (Remarque 1)
gRPC
IPv6

Remarques :

  1. Bien que TCP soit un protocole compatible pour la mise en réseau, les métriques TCP ne sont ni collectées, ni signalées. Les métriques ne sont affichées que pour les services HTTP dans la console Google Cloud.

Déploiements Envoy

Sélection Clusters GKE sur Google Cloud Autres clusters GKE Enterprise
Side-cars
Passerelle d'entrée
Sortie directe à partir des side-cars
Sortie à l'aide de passerelles de sortie * *

Compatibilité des CRD

Caractéristique Clusters GKE sur Google Cloud Autres clusters GKE Enterprise
Compatibilité avec l'API Istio (exceptions ci-dessous)
Filtres Envoy personnalisés

Équilibreur de charge pour la passerelle d'entrée Istio

Sélection Clusters GKE sur Google Cloud Autres clusters GKE Enterprise
Équilibreur de charge externe tiers
Équilibreur de charge interne Google Cloud * Non compatible. Consultez les liens ci-dessous.

Pour en savoir plus sur la configuration des équilibreurs de charge, consultez les pages suivantes :

API Kubernetes Gateway (preview)

Dans Anthos Service Mesh v1.20, l'API Kubernetes Gateway est disponible en version preview publique.

Sélection Clusters GKE sur Google Cloud Autres clusters GKE Enterprise
Entrée
Passerelle avec class: istio
HttpRoute avec parentRef
Trafic du réseau maillé
Configurer des CRD Istio à l'aide du champ targetRef
, y compris AuthorizationPolicy, RequestAuthentication, Telemetry et WasmPlugin

Si vous utilisez des clusters associés à Microsoft AKS ou des clusters GKE sur Azure, vous devez définir l'annotation suivante pour que la ressource de passerelle configure les vérifications d'état sur TCP:

  service.beta.kubernetes.io/port_80_health-probe_protocol: tcp

Sinon, le trafic HTTP ne sera pas accepté.

Exigences concernant l'aperçu de l'API Kubernetes Gateway

La version preview de l'API Kubernetes Gateway présente les exigences suivantes:

  • Utilisez le comportement par défaut des déploiements automatisés pour les passerelles.

  • Utilisez la CRD HttpRoute pour les configurations de routage. Le HttpRoute doit avoir un parentRef pointant vers une passerelle.

  • N'utilisez pas de RS de la passerelle Istio et des RS de l'API Kubernetes Gateway sur le même cluster.

Règles d'équilibrage de charge

Sélection Clusters GKE sur Google Cloud Autres clusters GKE Enterprise
Round robin (à tour de rôle)
connexions minimales
Aléatoire
Passthrough
Hachage cohérent
Localité

Pour en savoir plus sur les règles d'équilibrage de charge, consultez la page Règles de destination.

Compatibilité multicluster

Dans le cas de plusieurs déploiements principaux de clusters GKE dans différents projets, tous les clusters doivent se trouver dans un cloud privé virtuel partagé (VPC).

Réseau

Sélection Clusters GKE sur Google Cloud Clusters GKE Enterprise sur site GKE sur AWS GKE sur Azure Clusters associés
Réseau unique
Plusieurs réseaux

Remarques :

  • Pour les clusters associés, seuls les maillages multiclusters couvrant une seule plate-forme (Microsoft AKS, Amazon EKS) sont compatibles pour le moment.

Modèle de déploiement

Caractéristique Clusters GKE sur Google Cloud Clusters GKE Enterprise sur site GKE Enterprise sur d'autres clouds publics Clusters associés
Plusieurs serveurs principaux
Serveurs principaux à distance

Remarques terminologiques:

  • Un cluster principal est un cluster avec un plan de contrôle. Un seul maillage peut disposer de plusieurs clusters principaux pour assurer une haute disponibilité ou réduire la latence. Dans la documentation d'Istio 1.7, plusieurs déploiements principaux sont appelés "plan de contrôle répliqué".

  • Un cluster distant est un cluster qui se connecte à un plan de contrôle situé en dehors du cluster. Un cluster distant peut se connecter à un plan de contrôle exécuté dans un cluster principal ou à un plan de contrôle externe.

  • Anthos Service Mesh utilise une définition simplifiée du réseau basée sur la connectivité générale. Les instances de charge de travail se trouvent sur le même réseau si elles peuvent communiquer directement, sans passerelle.

Interface utilisateur

Sélection Clusters GKE sur Google Cloud GKE sur VMware Google Distributed Cloud Virtual pour Bare Metal Autres clusters GKE Enterprise
Tableaux de bord Anthos Service Mesh dans la console Google Cloud * * *
Cloud Monitoring *
Cloud Logging *
Cloud Trace *

Remarque:Les clusters sur site nécessitent GKE Enterprise version 1.11 ou ultérieure. Pour en savoir plus sur la mise à niveau, consultez Mettre à niveau GKE sur VMware ou Mettre à niveau Google Distributed Cloud Virtual pour Bare Metal.