バージョン 1.12

クラスタ内コントロール プレーンでサポートされている機能

このページでは、クラスタ内コントロール プレーンの Anthos Service Mesh 1.12.0 でサポートされている機能について説明します。Google が管理するコントロール プレーンの Anthos Service Mesh 1.12.0 でサポートされる機能については、Google が管理するコントロール プレーンでサポートされる機能をご覧ください。

サポート対象のバージョン

Anthos Service Mesh のサポートは、Anthos バージョン サポート ポリシーに従って提供されます。Google では、Anthos Service Mesh の現行バージョンと 2 つ前までのマイナー バージョン(n-2)をサポートしています。次の表に、Anthos Service Mesh のサポート対象バージョンと、各バージョンの最も早いサポート終了(EOL)の日付を示します。

リリース バージョン リリース日 最も早い EOL の日付
1.12 2021 年 12 月 9 日 2022 年 9 月 9 日
1.11 2021 年 10 月 6 日 2022 年 7 月 6 日
1.10 2021 年 6 月 24 日 2022 年 3 月 24 日

サポートされていないバージョンの Anthos Service Mesh を使用している場合は、Anthos Service Mesh 1.10 以降にアップグレードする必要があります。アップグレード方法については、Anthos Service Mesh のアップグレードをご覧ください。

次の表に、Anthos Service Mesh のサポートされていないバージョンとそれらのサポート終了(EOL)日を示します。

リリース バージョン リリース日 EOL 日
1.9 2021 年 3 月 4 日 サポート対象外(2021 年 12 月 14 日)
1.8 2020 年 12 月 15 日 サポート対象外(2021 年 12 月 14 日)
1.7 2020 年 11 月 3 日 サポート対象外(2021 年 12 月 14 日)
1.6 2020 年 6 月 30 日 サポート対象外(2021 年 3 月 30 日)
1.5 2020 年 5 月 20 日 サポート対象外(2021 年 2 月 17 日)
1.4 2019 年 12 月 20 日 サポート対象外(2020 年 9 月 18 日)

サポート ポリシーの詳細については、サポートの利用をご覧ください。

プラットフォームの違い

サポートされる機能は、対応プラットフォームによって異なります。また、Google Cloud クラスタの GKE が同じプロジェクトにあるのか、別のプロジェクトにあるのかによっても異なります。次の表で、 アイコンが付いている機能はデフォルトで有効になっていることを示します。サポートされるオプションは、機能がプラットフォームでサポートされていることを示し、オプション機能の有効化または機能の表にリンクされている機能ガイドの説明に従って有効にできます。

デフォルト機能とオプション機能は、Google Cloud サポートで完全にサポートされています。表に記載されていない機能はベスト エフォート型のサポートになります。 アイコンが付いている機能は利用できないか、サポートされていません。

その他の Anthos クラスタ列は、Google Cloud の外部にあるクラスタを指します。次に例を示します。

  • Anthos オンプレミス - Anthos clusters on VMware(GKE On-Prem)とベアメタル版 Anthos が含まれます。プラットフォームに違いがない限り、このページでは Anthos オンプレミスを使用します。
  • AWS 上の Anthos クラスタ - Anthos マルチクラウド前の世代が含まれます。
  • Amazon EKS クラスタ
  • Microsoft AKS クラスタ

セキュリティ

証明書の配布 / ローテーション メカニズム

機能 Google Cloud 上の GKE クラスタ その他の Anthos クラスタ
ワークロード証明書の管理
Ingress ゲートウェイと Egress ゲートウェイでの外部証明書の管理。

認証局(CA)のサポート

機能 Google Cloud 上の GKE クラスタ オンプレミスの Anthos クラスタ その他の Anthos クラスタ
Anthos Service Mesh 認証局(Mesh CA)
Certificate Authority Service サポートされるオプション サポートされるオプション
Istio CA(旧称 Citadel) サポートされるオプション サポートされるオプション
独自の CA 証明書のプラグイン CA Service と Istio CA のサポート CA Service と Istio CA のサポート Istio CA によるサポート

Anthos Service Mesh のセキュリティ機能

Anthos Service Mesh は、Istio のセキュリティ機能をサポートしているだけでなく、アプリケーションの保護に役立つ機能をさらに提供します。

機能 Google Cloud 上の GKE クラスタ Anthos(オンプレミス) Anthos clusters on AWS(マルチクラウド) その他の Anthos クラスタ
IAP の統合
エンドユーザー認証
監査ポリシー サポートされるオプション
ドライラン モード
拒否ロギング

認可ポリシー

機能 Google Cloud 上の GKE クラスタ その他の Anthos クラスタ
認証 v1beta1 ポリシー

認証ポリシー

ピア認証

機能 Google Cloud 上の GKE クラスタ その他の Anthos クラスタ
自動 mTLS
mTLS PERMISSIVE モード

mTLS の STRICT モードを有効にする方法については、トランスポート セキュリティを構成するをご覧ください。

認証のリクエスト

機能 Google Cloud 上の GKE クラスタ その他の Anthos クラスタ
JWT 認証

ベースイメージ

機能 Google Cloud 上の GKE クラスタ その他の Anthos クラスタ
Distroless プロキシ イメージ

テレメトリー

指標

機能 Google Cloud 上の GKE クラスタ オンプレミスの Anthos クラスタ その他の Anthos クラスタ
Cloud Monitoring(HTTP プロキシ内指標)
Cloud Monitoring(TCP プロキシ内指標)
お客様がインストールした Prometheus、Grafana、Kiali ダッシュボードへの Prometheus 指標のエクスポート 互換 互換 互換
カスタム アダプタ / バックエンド(プロセス内またはプロセス外)
任意のテレメトリーとロギング バックエンド
Anthos Service Mesh 間の統合と Prometheus への指標のエクスポートがサポートされています。
Google Cloud Console のトポロジグラフでは、データソースとしてメッシュ テレメトリー サービスが使用されなくなりました。トポロジグラフのデータソースは変更されましたが、UI は変わりません。

アクセス ロギング

機能 Google Cloud 上の GKE クラスタ オンプレミスの Anthos クラスタ その他の Anthos クラスタ
Cloud Logging
Envoy の stdout への誘導 サポートされるオプション サポートされるオプション サポートされるオプション

トレース

機能 Google Cloud 上の GKE クラスタ オンプレミスの Anthos クラスタ その他の Anthos クラスタ
Cloud Trace サポートされるオプション サポートされるオプション
Jaeger トレース(顧客管理の Jaeger の使用を許可する) 互換 互換 互換
Zipkin トレース(顧客管理の Zipkin の使用を許可する) 互換 互換 互換
Anthos Service Mesh と Jaeger または Zipkin の統合がサポートされています。詳細については、分散トレースをご覧ください。

ネットワーキング

トラフィックのインターセプト / リダイレクト メカニズム

機能 Google Cloud 上の GKE クラスタ その他の Anthos クラスタ
CAP_NET_ADMINinit コンテナを使用する iptables の従来の使用
Container Network Interface(CNI) サポートされるオプション サポートされるオプション

プロトコル サポート

機能 Google Cloud 上の GKE クラスタ その他の Anthos クラスタ
IPv4
HTTP/1.1
HTTP/2
TCP バイト ストリーム(注 1)
gRPC
IPv6

注:

  1. TCP はネットワーキング用のプロトコルですが、TCP 指標は収集または報告されません。指標は、Cloud Console 内の HTTP サービスにのみ表示されます。
  2. レイヤ 7 機能で WebSocket、MongoDB、Redis、Kafka、Cassandra、RabbitMQ、Cloud SQL のプロトコル向けに構成されているサービスはサポートされません。TCP バイト ストリームのサポートを使用して、プロトコルを機能させることができます。TCP バイト ストリームがプロトコルをサポートできない場合(たとえば、Kafka がプロトコル固有の応答でリダイレクト アドレスを送信し、このリダイレクトが Anthos Service Mesh のルーティング ロジックと互換性がない場合)、プロトコルはサポートされません。

Envoy のデプロイ

機能 Google Cloud 上の GKE クラスタ その他の Anthos クラスタ
サイドカー
Ingress ゲートウェイ
サイドカーから直接の下り(外向き)
Egress ゲートウェイを使用した下り(外向き) サポートされるオプション サポートされるオプション

CRD サポート

機能 Google Cloud 上の GKE クラスタ その他の Anthos クラスタ
Istio API のサポート(以下は例外)
カスタム Envoy フィルタ

Istio Ingress Gateway のロードバランサ

機能 Google Cloud 上の GKE クラスタ その他の Anthos クラスタ
パブリック ロードバランサ
Google Cloud Internal load balancer サポートされるオプション サポートされていません。以下のリンクをご覧ください。

ロードバランサの構成については、次をご覧ください。

負荷分散ポリシー

機能 Google Cloud 上の GKE クラスタ その他の Anthos クラスタ
ラウンドロビン
最小接続
ランダム
パススルー
コンシステント ハッシュ
ロケーション

ロード バランシング ポリシーの詳細については、宛先ルールをご覧ください。

マルチクラスタのサポート

別のプロジェクト内の GKE クラスタのマルチプライマリ デプロイでは、すべてのクラスタが共有 Virtual Private Cloud(VPC)内に存在する必要があります。

ネットワーク

機能 Google Cloud 上の GKE クラスタ オンプレミスの Anthos クラスタ その他の Anthos クラスタ
単一ネットワーク
マルチネットワーク

デプロイモデル

機能 Google Cloud 上の GKE クラスタ オンプレミスの Anthos クラスタ その他の Anthos クラスタ
マルチプライマリ
プライマリリモート

用語に関する注意事項

  • プライマリ クラスタは、コントロール プレーンを含むクラスタです。1 つのメッシュで複数のプライマリ クラスタを使用することで、高可用性の実現やレイテンシの短縮が可能です。Istio 1.7 ドキュメントでは、マルチプライマリ デプロイはレプリケートされたコントロール プレーンと呼ばれます。

  • リモート クラスタは、クラスタの外部に存在するコントロール プレーンに接続するクラスタです。リモート クラスタは、プライマリ クラスタで実行されているコントロール プレーンまたは外部コントロール プレーンに接続できます。

  • Anthos Service Mesh では、一般的な接続に基づいて、簡素化されたネットワーク定義を使用しています。ワークロード インスタンスは、ゲートウェイなしで直接通信できる場合は同じネットワーク上に存在します。

ユーザー インターフェース

機能 Google Cloud 上の GKE クラスタ(同じプロジェクト) Google Cloud 上の GKE クラスタ(異なるプロジェクト) Anthos clusters on VMware(GKE On-Prem) ベアメタル版 Anthos その他の Anthos クラスタ
Cloud Console での Anthos Service Mesh ダッシュボード
Cloud Monitoring
Cloud Logging
Cloud Trace

対応プラットフォーム

Anthos Service Mesh 1.12.0 では、次の環境のみがサポートされています。その他の環境はすべてサポート対象外です。

プラットフォーム バージョン
Google Cloud 上の GKE Google Cloud 上の GKE クラスタは、リリース チャンネルに登録することをおすすめします。登録時には、通常のリリース チャンネルを使用してください。他のチャンネルは、サポートされていない GKE バージョンをベースにしていることがあります。Anthos Service Mesh 1.12.0 は、GKE バージョン 1.20 と 1.21 をサポートしています。

各リリース チャンネルに含まれる GKE バージョンの詳細については、以下をご覧ください。

GKE クラスタは Standard である必要があります。GKE Autopilot クラスタは、クラスタ内コントロール プレーンではサポートされていません。GKE Autopilot を使用するには、マネージド Anthos Service Mesh を選択する必要があります。

Anthos clusters on VMware 1.10 Kubernetes バージョン 1.21
ベアメタル版 Anthos 1.10 Kubernetes バージョン 1.21
Anthos clusters on AWS の現在と前の世代(1.10) Kubernetes バージョン 1.21
Anthos 接続クラスタ Anthos Service Mesh 1.12 は、Kubernetes 1.21 の Amazon EKS と Kubernetes 1.21 の Microsoft AKS をサポートしています。EKS または AKS に Anthos Service Mesh をインストールする方法については、asmcli についてをご覧ください。

サポートされているアップグレード パス

アップグレード可能な Anthos Service Mesh のバージョンは、プラットフォームによって異なります。

GKE

Google Kubernetes Engine の Anthos Service Mesh 1.12.0-asm.4 には、次のバージョンから直接アップグレードできます。

1.10+

オンプレミス

次のバージョンから、Anthos clusters on VMware とベアメタル版 Anthos の Anthos Service Mesh 1.12.0-asm.4 に直接アップグレードできます。

1.10+

Anthos clusters on AWS

次のバージョンから、Anthos clusters on AWS の Anthos Service Mesh 1.12.0-asm.4 に直接アップグレードできます。

1.10+

Amazon EKS

EKS に Anthos Service Mesh 1.7 がインストールされている場合は、新しいクラスタに Anthos Service Mesh 1.12 をインストールする必要があります。Anthos Service Mesh 1.7 から Anthos Service Mesh 1.12 へのアップグレードは、サポートされていません。

Microsoft AKS

AKS に Anthos Service Mesh 1.7 がインストールされている場合は、新しいクラスタに Anthos Service Mesh 1.12 をインストールする必要があります。Anthos Service Mesh 1.7 から Anthos Service Mesh 1.12 へのアップグレードは、サポートされていません。