Pré-requisitos do Anthos Service Mesh
Nesta página, descrevemos os pré-requisitos e os requisitos de instalação do Anthos Service Mesh, como licenciamento do Anthos, requisitos de cluster, de frota e gerais.
Projeto na nuvem
Antes de começar:
Verifique se o faturamento foi ativado para o projeto.
Licenciamento do Anthos
GKE
O Anthos Service Mesh está disponível no Anthos ou como um serviço independente.
As APIs do Google são usadas para determinar como você é cobrado. Para usar o Anthos Service Mesh como um
serviço independente, não ative a API Anthos no seu projeto.
O asmcli ativa para você todas as outras APIs do Google necessárias. Para mais informações sobre preços do Anthos Service Mesh, consulte Preços.
- Assinantes do Anthos. certifiquem-se de ativar a API Anthos.
Se você não for um assinante do Anthos, ainda poderá instalar o Anthos Service Mesh, mas determinados elementos e recursos da IU no Console do Google Cloud estão disponíveis apenas para assinantes do Anthos. Para informações sobre o que está disponível para assinantes e não assinantes, consulte Diferenças na IU do Anthos Service Mesh.
Se você ativou a API Anthos, mas quer usar o Anthos Service Mesh como um serviço independente, desative a API Anthos.
Fora do Google Cloud
Para instalar o Anthos Service Mesh no local, nos clusters do Anthos na AWS, no Amazon EKS ou no Microsoft AKS, você precisa ser cliente do Anthos. Clientes do Anthos não são cobrados separadamente pelo Anthos Service Mesh porque ele já está incluído no preço do Anthos. Para mais informações, consulte o guia de preços do Anthos.
Requisitos gerais
Para serem incluídos na malha de serviço, as portas precisam ser nomeadas, e o nome precisa incluir o protocolo da porta na seguinte sintaxe:
name: protocol[-suffix], em que os colchetes indicam um sufixo opcional que precisa começar com um traço. Saiba mais em Como nomear portas de serviço.Se você tiver criado um perímetro de serviço na sua organização, talvez seja necessário adicionar o serviço Mesh CA ao perímetro. Saiba mais em Como adicionar o Mesh CA a um perímetro de serviço.
Se você quiser alterar os limites de recursos padrão do contêiner secundário
istio-proxy, os novos valores precisarão ser maiores que os padrão para evitar eventos de memória (OOM).Um projeto do Google Cloud só pode ter uma malha associada a ele.
Requisitos de cluster
GKE
Verifique se a versão do cluster está listada em Plataformas compatíveis.
Seu cluster do GKE precisa atender aos seguintes requisitos:
O cluster do GKE precisa ser padrão. Os clusters do Autopilot só são compatíveis com o Anthos Service Mesh gerenciado.
Um tipo de máquina que tem pelo menos 4 vCPUs, como
e2-standard-4. Se o tipo de máquina do cluster não tiver pelo menos 4 vCPUs, altere o tipo de máquina conforme descrito em Como migrar cargas de trabalho para diferentes tipos de máquina.O número mínimo de nós depende do seu tipo de máquina. O Anthos Service Mesh requer pelo menos 8 vCPUs. Se o tipo de máquina tiver 4 vCPUs, o cluster precisará ter pelo menos 2 nós. Se o tipo de máquina tiver 8 vCPUs, o cluster precisará apenas de 1 nó. Se for preciso adicionar nós, veja Como redimensionar um cluster.
A identidade da carga de trabalho do GKE é obrigatória. Recomendamos que você ative a Identidade da carga de trabalho antes de instalar o Anthos Service Mesh. A ativação da Identidade da carga de trabalho altera a forma como as chamadas das cargas de trabalho para as APIs do Google são protegidas, conforme descrito em Limitações da Identidade da carga de trabalho. Não é necessário ativar o servidor de metadados do GKE em Pools de nós atuais.
Como opção recomendada, inscreva o cluster em um canal de lançamento. Recomendamos que você se inscreva no canal de lançamento regular porque outros canais podem estar baseados em uma versão do GKE que não é compatível com o 1.16.2 do Anthos Service Mesh. Para mais informações, consulte Plataformas compatíveis. Siga as instruções em Como registrar um cluster existente em um canal de lançamento se você tiver uma versão estática do GKE.
Se você estiver instalando o Anthos Service Mesh em um cluster particular, abra a porta 15017 no firewall para que os webhooks usados para a injeção automática de sidecar e a validação da configuração funcionem. Para mais informações, consulte Como abrir uma porta em um cluster particular.
Verifique se a máquina cliente da qual você instala o Anthos Service Mesh tem conexão de rede com o servidor de API.
O Anthos Service Mesh não é compatível com cargas de trabalho do Windows Server. Se o cluster tiver pools de nós do Linux e do Windows Server, ainda será possível instalar o Anthos Service Mesh e usá-lo nas cargas de trabalho do Linux.
Fora do Google Cloud
Verifique se o cluster de usuário em que você instala o Anthos Service Mesh tem pelo menos quatro vCPUs, 15 GB de memória e quatro nós.
Verifique se a versão do cluster está listada em Plataformas compatíveis.
Verifique se a máquina cliente da qual você instala o Anthos Service Mesh tem conexão de rede com o servidor de API.
Para implantar sidecars em pods de aplicativos em que a conectividade direta com os serviços de CA (como
meshca.googleapis.comeprivateca.googleapis.com) não está disponível, configure um proxy HTTPS explícito baseado emCONNECT.
Requisitos de frota
No Anthos Service Mesh 1.11 e versões posteriores, todos os clusters precisam ser registrados em uma
frota, e a
identidade da carga de trabalho da frota
precisa estar ativada. É possível
configurar os clusters
por conta própria ou permitir que asmcli registre os clusters, desde que
eles atendam aos seguintes requisitos:
GKE: (aplica-se ao Anthos Service Mesh no cluster e gerenciado) Ative a Identidade da carga de trabalho do GKE no cluster do Google Kubernetes Engine, se ela ainda não estiver ativada. Além disso, é necessário registrar o cluster usando a Identidade da carga de trabalho da frota.
Clusters do Anthos fora do Google Cloud: (aplica-se ao Anthos Service Mesh no cluster) Clusters do Anthos no VMware, Clusters do Anthos em bare metal, Clusters do Anthos na AWS e Clusters do Anthos no Azure são registrados automaticamente na frota de projetos no momento da criação do cluster. A partir do Anthos 1.8, esses tipos de cluster ativam automaticamente a Identidade da carga de trabalho da frota quando registrados. Os clusters registrados atuais são atualizados para usar a Identidade da carga de trabalho da frota quando são atualizados para o Anthos 1.8.
Geração anterior de clusters do Anthos na AWS: (aplicável ao Anthos Service Mesh no cluster) é preciso registrar o cluster seguindo as etapas em Como se conectar ao cluster com o Console do Cloud para se conectar. A identidade da carga de trabalho é necessária ao registrar o cluster. Para mais informações, consulte Registrar clusters fora do Google Cloud.
Clusters do Amazon EKS: (aplica-se ao Anthos Service Mesh no cluster) o cluster precisa ter um provedor de identidade OIDC de IAM público. Siga as instruções em Criar um provedor OIDC de IAM para o cluster a fim de verificar se um provedor existe. Se não existir, crie um.
Ao executar asmcli install, você especifica o ID do
projeto host da frota.
asmcli registra o cluster se ainda não estiver registrado.