Prerequisiti di Anthos Service Mesh
Questa pagina descrive i prerequisiti e i requisiti per l'installazione di Anthos Service Mesh, come le licenze Anthos, i requisiti dei cluster, i requisiti del parco risorse e i requisiti generali.
Progetto cloud
Prima di iniziare:
Verifica che la fatturazione sia attivata per il tuo progetto.
Licenze Anthos
GKE
Anthos Service Mesh è disponibile con Anthos o come servizio autonomo.
Le API di Google vengono utilizzate per determinare le modalità di fatturazione. Per utilizzare Anthos Service Mesh come servizio autonomo, non abilitare l'API Anthos nel progetto.
L'asmcli abilita tutte le altre API di Google richieste per te. Per informazioni sui prezzi di Anthos Service Mesh, consulta la pagina dei prezzi.
- Se hai un abbonamento ad Anthos, assicurati di attivare l'API Anthos.
Se non hai un abbonamento ad Anthos, puoi comunque installare Anthos Service Mesh, ma alcuni elementi e funzionalità dell'interfaccia utente nella console Google Cloud sono disponibili solo per gli abbonati Anthos. Per informazioni sulle funzionalità disponibili per gli abbonati e per i non abbonati, consulta Differenze nell'interfaccia utente di Anthos e Anthos Service Mesh.
Se hai abilitato l'API Anthos, ma vuoi utilizzare Anthos Service Mesh come servizio autonomo, disattiva l'API Anthos.
Al di fuori di Google Cloud
Per installare Anthos Service Mesh on-premise, su cluster Anthos su AWS, Amazon EKS o su Microsoft AKS, devi essere un cliente Anthos. I clienti Anthos non vengono fatturati separatamente per Anthos Service Mesh perché è già incluso nei prezzi di Anthos. Per ulteriori informazioni, consulta la guida ai prezzi di Anthos.
Requisiti generali
Per essere incluse nel mesh di servizi, le porte di servizio devono avere un nome e il nome deve includere il protocollo della porta nella seguente sintassi:
name: protocol[-suffix]dove le parentesi quadre indicano un suffisso facoltativo che deve iniziare con un trattino. Per ulteriori informazioni, consulta la pagina relativa alle porte di servizio di denominazione.Se hai creato un perimetro di servizio nella tua organizzazione, potresti dover aggiungere il servizio di mesh CA al perimetro. Per ulteriori informazioni, consulta la pagina relativa all'aggiunta di CA a mesh a un perimetro di servizio.
Se vuoi modificare i limiti delle risorse predefiniti per il container sidecar
istio-proxy, i nuovi valori devono essere superiori ai valori predefiniti per evitare gli eventi fuori memoria.A un progetto Google Cloud può essere associato un solo mesh.
Requisiti per i cluster
GKE
Verifica che la versione del tuo cluster sia elencata in Piattaforme supportate.
Il cluster GKE deve soddisfare i seguenti requisiti:
Il cluster GKE deve essere standard. I cluster Autopilot sono supportati solo con Anthos Service Mesh gestito.
Un tipo di macchina con almeno 4 vCPU, ad esempio
e2-standard-4. Se il tipo di macchina per il tuo cluster non ha almeno 4 vCPU, modifica il tipo di macchina come descritto in Migrazione di carichi di lavoro in tipi di macchine diversi.Il numero minimo di nodi dipende dal tipo di macchina. Anthos Service Mesh richiede almeno 8 vCPU. Se il tipo di macchina ha 4 vCPU, il cluster deve avere almeno 2 nodi. Se il tipo di macchina ha 8 vCPU, il cluster ha bisogno di un solo nodo. Se devi aggiungere nodi, consulta Ridimensionamento di un cluster.
L'identità del carico di lavoro GKE è obbligatoria. Ti consigliamo di abilitare Workload Identity prima di installare Anthos Service Mesh. L'abilitazione di Workload Identity cambia il modo in cui le chiamate dai carichi di lavoro alle API di Google sono protette, come descritto nella sezione Limiti di Workload Identity. Non è necessario abilitare il server metadati GKE sui pool di nodi esistenti.
Registra il cluster in un canale di rilascio facoltativo ma consigliato. Ti consigliamo di registrarti al canale di rilascio standard perché altri canali potrebbero essere basati su una versione di GKE non supportata con Anthos Service Mesh 1.17.2. Per maggiori informazioni, consulta la pagina Piattaforme supportate. Se hai una versione GKE statica, segui le istruzioni in Registrare un cluster esistente in un canale di rilascio.
Se installi Anthos Service Mesh su un cluster privato, devi aprire la porta 15017 nel firewall per utilizzare i webhook per l'inserimento automatico di sidecar e la convalida della configurazione. Per saperne di più, consulta Apertura di una porta in un cluster privato.
Assicurati che la macchina client da cui installi Anthos Service Mesh abbia una connettività di rete al server API.
Anthos Service Mesh non è supportato per i carichi di lavoro Windows Server. Se il tuo cluster dispone di pool di nodi Linux e Windows Server, puoi comunque installare Anthos Service Mesh e utilizzarlo sui tuoi carichi di lavoro Linux.
Al di fuori di Google Cloud
Assicurati che il cluster utente su cui installi Anthos Service Mesh abbia almeno 4 vCPU, 15 GB di memoria e 4 nodi.
Verifica che la versione del tuo cluster sia elencata in Piattaforme supportate.
Assicurati che la macchina client da cui installi Anthos Service Mesh abbia una connettività di rete al server API.
Se stai eseguendo il deployment di sidecar nei pod dell'applicazione in cui la connettività diretta a servizi CA (come
meshca.googleapis.comeprivateca.googleapis.com) non è disponibile, devi configurare un proxy HTTPS basato suCONNECTesplicito.Per i cluster pubblici con regole del firewall in uscita che bloccano le regole implicite, assicurati di aver configurato regole HTTP/HTTPS e DNS per raggiungere le API Google pubbliche.
Requisiti del parco risorse
Con Anthos Service Mesh 1.11 e versioni successive, tutti i cluster devono essere registrati in un
flotto e
è necessario attivare l'identità del carico di lavoro del parco risorse. Puoi configurare i cluster personalmente o consentire a asmcli di registrare i cluster purché soddisfino i seguenti requisiti:
GKE: (si applica al cluster Anthos Service Mesh gestito e in-cluster) Abilita GKE Workload Identity nel cluster Google Kubernetes Engine, se non è già abilitato. Inoltre, devi registrare il cluster utilizzando Workload Identity.
Cluster Anthos al di fuori di Google Cloud: (si applica ad Anthos Service Mesh in-cluster) Cluster Anthos su VMware, Cluster Anthos su Bare Metal, Cluster Anthos su AWS e Cluster Anthos su Azure vengono registrati automaticamente nel tuo parco risorse di progetto al momento della creazione del cluster. A partire da Anthos 1.8, tutti questi tipi di cluster abilitano automaticamente il parco risorse Workload Identity quando sono registrati. I cluster registrati esistenti vengono aggiornati per utilizzare Workload Identity quando vengono aggiornati ad Anthos 1.8.
Cluster Amazon EKS: (si applica ad Anthos Service Mesh in-cluster) Il cluster deve avere un provider di identità OIDC pubblico. Segui le istruzioni riportate in Creare un provider IAM OIDC per il tuo cluster per verificare se esiste un provider e, se necessario, crearne uno.
Quando esegui asmcli install, specifichi l'ID del
progetto host del parco risorse.
asmcli registra il cluster se non è già registrato.