Versione 1.17

Prerequisiti di Anthos Service Mesh

Questa pagina descrive i prerequisiti e i requisiti per l'installazione di Anthos Service Mesh, come le licenze Anthos, i requisiti dei cluster, i requisiti del parco risorse e i requisiti generali.

Progetto cloud

Prima di iniziare:

Licenze Anthos

GKE

Anthos Service Mesh è disponibile con Anthos o come servizio autonomo. Le API di Google vengono utilizzate per determinare le modalità di fatturazione. Per utilizzare Anthos Service Mesh come servizio autonomo, non abilitare l'API Anthos nel progetto. L'asmcli abilita tutte le altre API di Google richieste per te. Per informazioni sui prezzi di Anthos Service Mesh, consulta la pagina dei prezzi.

  • Se hai un abbonamento ad Anthos, assicurati di attivare l'API Anthos.

Abilitare l'API

  • Se non hai un abbonamento ad Anthos, puoi comunque installare Anthos Service Mesh, ma alcuni elementi e funzionalità dell'interfaccia utente nella console Google Cloud sono disponibili solo per gli abbonati Anthos. Per informazioni sulle funzionalità disponibili per gli abbonati e per i non abbonati, consulta Differenze nell'interfaccia utente di Anthos e Anthos Service Mesh.

  • Se hai abilitato l'API Anthos, ma vuoi utilizzare Anthos Service Mesh come servizio autonomo, disattiva l'API Anthos.

Al di fuori di Google Cloud

Per installare Anthos Service Mesh on-premise, su cluster Anthos su AWS, Amazon EKS o su Microsoft AKS, devi essere un cliente Anthos. I clienti Anthos non vengono fatturati separatamente per Anthos Service Mesh perché è già incluso nei prezzi di Anthos. Per ulteriori informazioni, consulta la guida ai prezzi di Anthos.

Requisiti generali

  • Per essere incluse nel mesh di servizi, le porte di servizio devono avere un nome e il nome deve includere il protocollo della porta nella seguente sintassi: name: protocol[-suffix] dove le parentesi quadre indicano un suffisso facoltativo che deve iniziare con un trattino. Per ulteriori informazioni, consulta la pagina relativa alle porte di servizio di denominazione.

  • Se hai creato un perimetro di servizio nella tua organizzazione, potresti dover aggiungere il servizio di mesh CA al perimetro. Per ulteriori informazioni, consulta la pagina relativa all'aggiunta di CA a mesh a un perimetro di servizio.

  • Se vuoi modificare i limiti delle risorse predefiniti per il container sidecar istio-proxy, i nuovi valori devono essere superiori ai valori predefiniti per evitare gli eventi fuori memoria.

  • A un progetto Google Cloud può essere associato un solo mesh.

Requisiti per i cluster

GKE

  • Verifica che la versione del tuo cluster sia elencata in Piattaforme supportate.

  • Il cluster GKE deve soddisfare i seguenti requisiti:

    • Il cluster GKE deve essere standard. I cluster Autopilot sono supportati solo con Anthos Service Mesh gestito.

    • Un tipo di macchina con almeno 4 vCPU, ad esempio e2-standard-4. Se il tipo di macchina per il tuo cluster non ha almeno 4 vCPU, modifica il tipo di macchina come descritto in Migrazione di carichi di lavoro in tipi di macchine diversi.

    • Il numero minimo di nodi dipende dal tipo di macchina. Anthos Service Mesh richiede almeno 8 vCPU. Se il tipo di macchina ha 4 vCPU, il cluster deve avere almeno 2 nodi. Se il tipo di macchina ha 8 vCPU, il cluster ha bisogno di un solo nodo. Se devi aggiungere nodi, consulta Ridimensionamento di un cluster.

  • L'identità del carico di lavoro GKE è obbligatoria. Ti consigliamo di abilitare Workload Identity prima di installare Anthos Service Mesh. L'abilitazione di Workload Identity cambia il modo in cui le chiamate dai carichi di lavoro alle API di Google sono protette, come descritto nella sezione Limiti di Workload Identity. Non è necessario abilitare il server metadati GKE sui pool di nodi esistenti.

  • Registra il cluster in un canale di rilascio facoltativo ma consigliato. Ti consigliamo di registrarti al canale di rilascio standard perché altri canali potrebbero essere basati su una versione di GKE non supportata con Anthos Service Mesh 1.17.2. Per maggiori informazioni, consulta la pagina Piattaforme supportate. Se hai una versione GKE statica, segui le istruzioni in Registrare un cluster esistente in un canale di rilascio.

  • Se installi Anthos Service Mesh su un cluster privato, devi aprire la porta 15017 nel firewall per utilizzare i webhook per l'inserimento automatico di sidecar e la convalida della configurazione. Per saperne di più, consulta Apertura di una porta in un cluster privato.

  • Assicurati che la macchina client da cui installi Anthos Service Mesh abbia una connettività di rete al server API.

  • Anthos Service Mesh non è supportato per i carichi di lavoro Windows Server. Se il tuo cluster dispone di pool di nodi Linux e Windows Server, puoi comunque installare Anthos Service Mesh e utilizzarlo sui tuoi carichi di lavoro Linux.

Al di fuori di Google Cloud

  • Assicurati che il cluster utente su cui installi Anthos Service Mesh abbia almeno 4 vCPU, 15 GB di memoria e 4 nodi.

  • Verifica che la versione del tuo cluster sia elencata in Piattaforme supportate.

  • Assicurati che la macchina client da cui installi Anthos Service Mesh abbia una connettività di rete al server API.

  • Se stai eseguendo il deployment di sidecar nei pod dell'applicazione in cui la connettività diretta a servizi CA (come meshca.googleapis.com e privateca.googleapis.com) non è disponibile, devi configurare un proxy HTTPS basato su CONNECT esplicito.

  • Per i cluster pubblici con regole del firewall in uscita che bloccano le regole implicite, assicurati di aver configurato regole HTTP/HTTPS e DNS per raggiungere le API Google pubbliche.

Requisiti del parco risorse

Con Anthos Service Mesh 1.11 e versioni successive, tutti i cluster devono essere registrati in un flotto e è necessario attivare l'identità del carico di lavoro del parco risorse. Puoi configurare i cluster personalmente o consentire a asmcli di registrare i cluster purché soddisfino i seguenti requisiti:

Quando esegui asmcli install, specifichi l'ID del progetto host del parco risorse. asmcli registra il cluster se non è già registrato.

Quali sono i passaggi successivi?