Canary-basierte Migration zur Cloud Service Mesh-Zertifizierungsstelle
Für die Migration zur Cloud Service Mesh-Zertifizierungsstelle (Cloud Service Mesh Certificate Authority, Mesh CA) von Istio CA (auch als Citadel bezeichnet) müssen Sie den Root of Trust migrieren. Wenn Sie vor Cloud Service Mesh 1.10 von Istio in der Google Kubernetes Engine (GKE) zu Cloud Service Mesh mit der Cloud Service Mesh-Zertifizierungsstelle migrieren wollten, mussten Sie Ausfallzeiten planen, da Cloud Service Mesh nicht mehrere Root-Zertifikate laden konnte. Daher vertrauen die neu bereitgestellten Arbeitslasten während der Migration dem neuen Root-Zertifikat, während andere dem alten Root-Zertifikat vertrauen. Arbeitslasten, die Zertifikate verwenden, die von verschiedenen Root-Zertifikaten signiert wurden, können sich nicht gegenseitig authentifizieren. Dies bedeutet, dass der mTLS-Traffic (mutual TLS) während der Migration unterbrochen wird. Der gesamte Cluster wird nur dann vollständig wiederhergestellt, wenn die Steuerungsebene und alle Arbeitslasten in allen Namespaces mit dem Zertifikat der Zertifizierungsstelle von Cloud Service Mesh neu bereitgestellt werden. Wenn Ihr Mesh-Netzwerk über mehrere Cluster mit Arbeitslasten verfügt, die Anfragen an Arbeitslasten in einem anderen Cluster senden, müssen auch alle Arbeitslasten in diesen Clustern aktualisiert werden.
Befolgen Sie die Schritte in dieser Anleitung für folgende Anwendungsfälle:
- Migration von Istio in GKE zur clusterinternen Steuerungsebene von Cloud Service Mesh 1.19.10-asm.9 mit Cloud Service Mesh-Zertifizierungsstelle
- Upgrade von Cloud Service Mesh 1.15 or a 1.16 patch release mit Istio CA auf die clusterinterne Steuerungsebene von Cloud Service Mesh 1.19.10-asm.9 mit Cloud Service Mesh-Zertifizierungsstelle
Beschränkungen
- Alle GKE-Cluster müssen sich im selben Google Cloud -Projekt befinden.
Vorbereitung
Führen Sie die Schritte unter Abhängige Tools installieren und Cluster validieren aus, um Folgendes zu tun:- Erforderliche Tools installieren
asmcli
herunterladen- Clusteradministratorberechtigungen erteilen
- Projekt und Cluster validieren
Erforderliche Tools
Während der Migration führen Sie das von Google bereitgestelltes Tool migrate_ca
aus, um Folgendes für jeden Pod im Cluster zu validieren:
- Das Root-Zertifikat für die Istio-Zertifizierungsstelle und die Cloud Service Mesh-Zertifizierungsstelle.
- Das von Istio CA und der Cloud Service Mesh-Zertifizierungsstelle ausgestellte mTLS-Zertifikat der Arbeitslast
- Die von Istio CA und der Cloud Service Mesh-Zertifizierungsstelle konfigurierten vertrauenswürdigen Domains
Für dieses Tool gelten die folgenden Abhängigkeiten:
awk
grep
istioctl
Wenn Sieasmcli install
ausführen, wird die Version vonistioctl
heruntergeladen, die der Version von Cloud Service Mesh entspricht, die Sie installieren.jq
kubectl
openssl
Übersicht über die Migration
Für die Migration zur Cloud Service Mesh-Zertifizierungsstelle folgen Sie dem überarbeitungsbasierten Migrationsprozess (auch als „Canary-Upgrade“ bezeichnet). Bei einer überarbeitungsbasierten Migration wird neben der vorhandenen Steuerungsebene eine neue Überarbeitung der Steuerungsebene neben der vorhandenen Steuerungsebene bereitgestellt. Anschließend verschieben Sie Ihre Arbeitslasten schrittweise in die neue Überarbeitung. Damit können Sie die Auswirkungen der Migration während des Prozesses überwachen. Während des Migrationsprozesses funktionieren Authentifizierung und Autorisierung vollständig zwischen Arbeitslasten, die die Cloud Service Mesh-Zertifizierungsstelle und Arbeitslasten, die die Istio-Zertifizierungsstelle verwenden.
Im Folgenden finden Sie einen Überblick über die Migration zur Cloud Service Mesh-Zertifizierungsstelle:
Verteilen Sie den Root of Trust der Cloud Service Mesh-Zertifizierungsstelle.
Installieren Sie eine neue Überarbeitung der Steuerungsebene, die die Istio-CA mit einer Option verwendet, die den Root of Trust der Cloud Service Mesh-Zertifizierungsstelle verteilt.
Migrieren Sie Arbeitslasten zur neuen Steuerungsebene, Namespace für Namespace, und testen Sie Ihre Anwendung. Wenn alle Arbeitslasten erfolgreich zur neuen Steuerungsebene migriert wurden, entfernen Sie die alte Steuerungsebene.
Zu Cloud Service Mesh-Zertifizierungsstelle migrieren Nachdem Sie nun alle Sidecar-Proxys mit dem alten Root of Trust und dem Root of Trust der Cloud Service Mesh-Zertifizierungsstelle konfiguriert haben, können Sie ohne Ausfallzeit zu der Cloud Service Mesh-Zertifizierungsstelle migrieren. Auch hier führen Sie den überarbeitungsbasierten Migrationsprozess durch:
Installieren Sie eine Überarbeitung der Steuerungsebene mit aktivierter Cloud Service Mesh-Zertifizierungsstelle.
Migrieren Sie Arbeitslasten zur neuen Überarbeitung der Steuerungsebene, Namespace für Namespace, und testen Sie Ihre Anwendung. Wenn alle Arbeitslasten erfolgreich zur neuen Steuerungsebene migriert wurden, entfernen Sie die alte Steuerungsebene.
Entfernen Sie CA-Secrets im Cluster, die der alten CA zugeordnet sind, und starten Sie die neue Steuerungsebene neu.
Root of Trust der Cloud Service Mesh-Zertifizierungsstelle verteilen
Bevor Sie zur Cloud Service Mesh-Zertifizierungsstelle migrieren können, müssen alle GKE-Cluster im Mesh-Netzwerk Cloud Service Mesh 1.10 oder höher haben und alle Cluster müssen mit einer Steuerungsebenenoption konfiguriert sein, die den Root of Trust für die Cloud Service Mesh-Zertifizierungsstelle auslöst, der an die Proxys aller Arbeitslasten im Cluster verteilt werden soll. Wenn der Prozess abgeschlossen ist, wird jeder Proxy sowohl mit dem alten als auch mit dem neuen Root of Trust konfiguriert. Wenn Sie mit diesem Schema zu der Cloud Service Mesh-Zertifizierungsstelle migrieren, können sich Arbeitslasten, die die Cloud Service Mesh-Zertifizierungsstelle verwenden, bei Arbeitslasten mit der alten CA authentifizieren.
Neue Überarbeitung der Steuerungsebene installieren
Installieren Sie die Überarbeitung der Steuerungsebene mit einer Option, die den Root of Trust der Cloud Service Mesh-Zertifizierungsstelle verteilt.
Führen Sie die Schritte unter Abhängige Tools installieren und Cluster validieren aus, um mit dem von Google bereitgestellten Tool
asmcli
die neue Überarbeitung der Steuerungsebene zu installieren.Prüfen Sie, ob Sie die Version von
asmcli
haben, die Cloud Service Mesh 1.11 oder höher installiert:./asmcli --version
Führen Sie
asmcli install
aus. Ersetzen Sie im folgenden Befehl die Platzhalter durch Ihre Werte../asmcli install \ --fleet_id FLEET_PROJECT_ID \ --kubeconfig KUBECONFIG_FILE \ --enable_all \ --ca citadel \ --ca_cert CA_CERT_FILE_PATH \ --ca_key CA_KEY_FILE_PATH \ --root_cert ROOT_CERT_FILE_PATH \ --cert_chain CERT_CHAIN_FILE_PATH \ --option ca-migration-citadel \ --revision_name REVISION_1 \ --output_dir DIR_PATH
--fleet_id
: Projekt-ID des Hostprojekts der Flotte.--kubeconfig
Der Pfad zur Dateikubeconfig
. Sie können entweder einen relativen Pfad oder einen vollständigen Pfad angeben. Die Umgebungsvariable$PWD
funktioniert hier nicht.--output_dir
: Fügen Sie diese Option hinzu, um ein Verzeichnis anzugeben, in dasasmcli
das Paketanthos-service-mesh
herunterlädt und in dem die Installationsdatei extrahiert wird, dieistioctl
, Beispiele und Manifeste enthält. Andernfalls lädtasmcli
die Dateien in eintmp
-Verzeichnis herunter. Sie können entweder einen relativen Pfad oder einen vollständigen Pfad angeben. Die Umgebungsvariable$PWD
funktioniert hier nicht.-
--enable_all
Ermöglicht dem Tool Folgendes:- Erforderliche IAM-Berechtigungen gewähren.
- Erforderliche Google APIs aktivieren.
- Legt im Cluster ein Label zur Angabe des Mesh-Netzwerks fest.
- Cluster bei der Flotte registrieren, falls noch nicht geschehen.
-ca citadel
Geben Sie zur Vermeidung von Ausfallzeiten Istio CA an. Die Option „citadel“ entspricht Istio CA. Wechseln Sie jetzt nicht zur Cloud Service Mesh-Zertifizierungsstelle.--ca_cert
: Zwischenzertifikat.--ca_key
: Schlüssel für das Zwischenzertifikat.--root_cert
Root-Zertifikat.--cert_chain
Zertifikatskette.--option ca-migration-citadel
Wenn Sie Ihre Arbeitslasten neu bereitstellen, wird durch diese Option der neue Root of Trust an die Sidecar-Proxys der Arbeitslasten verteilt.REVISION_1
: empfohlen. Ein [Überarbeitungslabel](/service-mesh/docs/revisions-overview) ist ein Schlüssel/Wert-Paar, das auf der Steuerungsebene festgelegt wird. Der Schlüssel des Überarbeitungslabels ist immeristio.io/rev
. Standardmäßig legt das Tool den Wert für das Überarbeitungslabel anhand der Cloud Service Mesh-Version fest, z. B.asm-11910-9
. Wir empfehlen, diese Option einzufügen undREVISION_1
durch einen Namen zu ersetzen, der die Installation beschreibt, z. B.asm-11910-9-distribute-root
. Der Name muss ein DNS-1035-Label sein und aus alphanumerischen Zeichen in Kleinbuchstaben oder-
bestehen. Außerdem muss er mit einem Buchstaben beginnen und mit einem alphanumerischen Zeichen enden (z. B.my-name
oderabc-123
).
Arbeitslasten zur neuen Steuerungsebene migrieren
Um die Verteilung des neuen Root of Trust abzuschließen, müssen Sie Ihre Namespaces mit dem Überarbeitungslabel istio.io/rev=<var>REVISION_1</var>-distribute-root
versehen und Ihre Arbeitslasten neu starten. Wenn Sie Ihre Arbeitslasten nach dem Neustart testen, führen Sie ein Tool aus, um zu prüfen, ob der Sidecar-Proxy mit dem alten und neuen Root of Trust für die Cloud Service Mesh-Zertifizierungsstelle konfiguriert ist.
Legen Sie den aktuellen Kontext für
kubectl
fest. Ändern Sie im folgenden Befehl--region
in--zone
, wenn Sie einen Cluster mit einer einzelnen Zone haben.gcloud container clusters get-credentials CLUSTER_NAME \ --project=PROJECT_ID \ --region=CLUSTER_LOCATION
Laden Sie das Validierungstool herunter:
curl https://raw.githubusercontent.com/GoogleCloudPlatform/anthos-service-mesh-packages/master/scripts/ca-migration/migrate_ca > migrate_ca
Legen Sie das ausführbare Bit für das Tool fest:
chmod +x migrate_ca
Das Tool
migrate_ca
ruftistioctl
auf, was versionsabhängig ist. Das Toolasmcli
fügtistioctl
in dem Verzeichnis, das Sie für--output_dir
angegeben haben, einen Symlink hinzu. Achten Sie darauf, dass sich das Verzeichnis am Anfang Ihres Pfads befindet. Ersetzen Sie im folgenden BefehlISTIOCTL_PATH
durch das Verzeichnis, dasistioctl
enthält, das das Tool heruntergeladen hat.export PATH=ISTIOCTL_PATH:$PATH which istioctl echo $PATH
Rufen Sie das Revisionslabel ab, das sich auf
istiod
und demistio-ingressgateway
befindet.kubectl get pod -n istio-system -L istio.io/rev
Die Ausgabe sieht etwa so aus:
NAME READY STATUS RESTARTS AGE REV istio-ingressgateway-5fd454f8ff-t7w9x 1/1 Running 0 36m default istio-ingressgateway-asm-195-2-distribute-root-c6ccfbdbd-z2s9p 1/1 Running 0 18m asm-195-2-distribute-root istio-ingressgateway-asm-195-2-distribute-root-c6ccfbdbd-zr2cs 1/1 Running 0 18m asm-195-2-distribute-root istiod-68bc495f77-shl2h 1/1 Running 0 36m default istiod-asm-195-2-distribute-root-6f764dbb7c-g9f8c 1/1 Running 0 18m asm-195-2-distribute-root istiod-asm-195-2-distribute-root-6f764dbb7c-z7z9s 1/1 Running 0 18m asm-195-2-distribute-root
Achten Sie in der Ausgabe unter der Spalte
REV
auf den Wert des Überarbeitungslabels für die neue Überarbeitung. Dieses entspricht dem Überarbeitungslabel, das Sie beim Ausführen vonasmcli install
angegeben haben. In diesem Beispiel ist der Wertasm-11910-9-distribute-root
.Sie müssen die alte Überarbeitung von
istiod
löschen, wenn Sie die Arbeitslasten in die neue Überarbeitung verschoben haben. Beachten Sie den Wert im Überarbeitungslabel für die alteistiod
-Überarbeitung. Die Beispielausgabe zeigt eine Migration von Istio, die die Überarbeitungdefault
verwendet.
Fügen Sie das Überarbeitungslabel einem Namespace hinzu und entfernen Sie das
istio-injection
-Label (falls vorhanden). Ersetzen Sie im folgenden BefehlNAMESPACE
durch den Namespace, den Sie mit einem Label versehen möchten.kubectl label namespace NAMESPACE istio.io/rev=REVISION_1 istio-injection- --overwrite
Wenn in der Ausgabe
"istio-injection not found"
angezeigt wird, können Sie dies ignorieren. Das bedeutet, dass der Namespace bisher nicht das Labelistio-injection
hatte. Da das Verhalten der automatischen Injektion nicht definiert ist, wenn ein Namespace sowohl dasistio-injection
- als auch das Überarbeitungslabel enthält, wird bei allenkubectl label
-Befehlen in der Cloud Service Mesh-Dokumentation ausdrücklich darauf geachtet, dass nur eines davon festgelegt ist.Starten Sie die Pods neu, um die erneute Injektion auszulösen.
kubectl rollout restart deployment -n NAMESPACE
Testen Sie die Anwendung, um zu prüfen, ob die Arbeitslasten ordnungsgemäß funktionieren.
Wenn Sie Arbeitslasten in anderen Namespaces haben, wiederholen Sie die Schritte, um den Namespace mit einem Label zu versehen und Pods neu zu starten.
Prüfen Sie, ob die Sidecar-Proxys für alle Arbeitslasten im Cluster mit den alten und neuen Root-Zertifikaten konfiguriert sind:
./migrate_ca check-root-cert
Erwartete Ausgabe:
Namespace: foo httpbin-66cdbdb6c5-pmzps.foo trusts [CITADEL MESHCA] sleep-64d7d56698-6tmjm.foo trusts [CITADEL MESHCA]
Wenn Sie Gateways migrieren müssen, führen Sie die Schritte unter Canary-Upgrades (erweitert) aus, um neue Gateway-Bereitstellungen zu installieren. Beachten Sie dabei folgende Punkte:
- Verwenden Sie
REVISION_1
als Überarbeitungslabel. - Stellen Sie die Gateway-Ressourcen im selben Namespace wie das Gateway der älteren Installation bereit, um eine Migration ohne Ausfallzeiten durchzuführen. Achten Sie darauf, dass die Dienstressourcen, die auf das ältere Gateway verweisen, jetzt auch die neueren Bereitstellungen enthalten sollten.
- Löschen Sie die älteren Gateway-Bereitstellungen erst, wenn Sie sicher sind, dass Ihre Anwendung nach dem nächsten Schritt ordnungsgemäß funktioniert.
- Verwenden Sie
Wenn Sie sicher sind, dass Ihre Anwendung wie erwartet funktioniert, fahren Sie mit den Schritten für die Umstellung auf die neue Version von
istiod
fort. Wenn ein Problem mit Ihrer Anwendung auftritt, führen Sie die Schritte zum Rollback aus.Umstellung vornehmen
Wenn Sie sicher sind, dass Ihre Anwendung wie erwartet funktioniert, entfernen Sie die alte Steuerungsebene, um die Umstellung auf die neue Version abzuschließen.
Wechseln Sie in das Verzeichnis, in dem sich die Dateien aus dem GitHub-Repository
anthos-service-mesh
befinden.Konfigurieren Sie den validierten Webhook so, dass er die neue Steuerungsebene verwendet.
kubectl apply -f asm/istio/istiod-service.yaml
Löschen Sie das alte
istio-ingressgateway
-Deployment. Der Befehl, den Sie ausführen, hängt davon ab, ob Sie von Istio migrieren oder ein Upgrade von einer vorherigen Version von Cloud Service Mesh durchführen:Migrieren
Wenn Sie von Istio migriert haben, hat die alte
istio-ingressgateway
-Datei kein Überarbeitungslabel.kubectl delete deploy/istio-ingressgateway -n istio-system
Upgrade
Wenn Sie ein Upgrade von einer früheren Cloud Service Mesh-Version durchgeführt haben, ersetzen Sie im folgenden Befehl
OLD_REVISION
durch das Überarbeitungslabel für die vorherige Version vonistio-ingressgateway
.kubectl delete deploy -l app=istio-ingressgateway,istio.io/rev=OLD_REVISION -n istio-system --ignore-not-found=true
Löschen Sie die alte Überarbeitung von
istiod
. Der verwendete Befehl hängt davon ab, ob Sie von Istio migrieren oder ein Upgrade von einer früheren Version von Cloud Service Mesh durchführen.Migrieren
Wenn Sie von Istio migriert haben, hat die alte
istio-ingressgateway
-Datei kein Überarbeitungslabel.kubectl delete Service,Deployment,HorizontalPodAutoscaler,PodDisruptionBudget istiod -n istio-system --ignore-not-found=true
Upgrade
Wenn Sie ein Upgrade von einer früheren Cloud Service Mesh-Version durchgeführt haben, achten Sie im folgenden Befehl darauf, dass
OLD_REVISION
mit dem Überarbeitungslabel für die vorherige Version vonistiod
übereinstimmt.kubectl delete Service,Deployment,HorizontalPodAutoscaler,PodDisruptionBudget istiod-OLD_REVISION -n istio-system --ignore-not-found=true
Entfernen Sie die vorherige Version der
IstioOperator
-Konfiguration.kubectl delete IstioOperator installed-state-OLD_REVISION -n istio-system
Die erwartete Ausgabe sieht in etwa so aus:
istiooperator.install.istio.io "installed-state-OLD_REVISION" deleted
Rollback
Wenn beim Testen der Anwendung mit der neuen
istiod
-Version ein Problem auftritt, gehen Sie so vor, um ein Rollback auf die vorherige Version auszuführen:Löschen Sie die neuen Gateway-Bereitstellungen, die in Schritt 11 installiert wurden.
Benennen Sie Ihren Namespace um, um die automatische Injektion mit der vorherigen Version von
istiod
zu aktivieren. Der zu verwendende Befehl hängt davon ab, ob Sie ein Überarbeitungslabel oderistio-injection=enabled
mit der vorherigen Version verwendet haben.Wenn Sie ein Überarbeitungslabel für die automatische Injektion verwendet haben, führen Sie Folgendes aus:
kubectl label namespace NAMESPACE istio.io/rev=OLD_REVISION --overwrite
Wenn Sie
istio-injection=enabled
verwendet haben, führen Sie Folgendes aus:kubectl label namespace NAMESPACE istio.io/rev- istio-injection=enabled --overwrite
Erwartete Ausgabe:
namespace/NAMESPACE labeled
Prüfen Sie, ob das Überarbeitungslabel im Namespace mit dem Überarbeitungslabel in der vorherigen Version von
istiod
übereinstimmt:kubectl get ns NAMESPACE --show-labels
Starten Sie die Pods neu, um die erneute Einfügung auszulösen, damit die Proxys die Istio-Version erhalten:
kubectl rollout restart deployment -n NAMESPACE
Entfernen Sie das neue
istio-ingressgateway
-Deployment.kubectl delete deploy -l app=istio-ingressgateway,istio.io/rev=REVISION_1 -n istio-system --ignore-not-found=true
Entfernen Sie die neue Überarbeitung von
istiod
.kubectl delete Service,Deployment,HorizontalPodAutoscaler,PodDisruptionBudget istiod-REVISION_1 -n istio-system --ignore-not-found=true
Entfernen Sie die neue
IstioOperator
-Konfiguration.kubectl delete IstioOperator installed-state-asm-11910-9-distribute-root -n istio-system
Die erwartete Ausgabe sieht in etwa so aus:
istiooperator.install.istio.io "installed-state-asm-11910-9-distribute-root" deleted
Zu Cloud Service Mesh-Zertifizierungsstelle migrieren
Nachdem die Sidecar-Proxys für alle Arbeitslasten sowohl mit dem alten Root of Trust als auch mit dem neuen Root of Trust für die Cloud Service Mesh-Zertifizierungsstelle konfiguriert sind, ähneln die Schritte zur Migration zu dieser Zertifizierungsstelle denen, mit denen Sie den Root of Trust der Cloud Service Mesh-Zertifizierungsstelle verteilt haben:
Neue Steuerungsebene mit aktivierter Cloud Service Mesh-Zertifizierungsstelle installieren
Sie verwenden asmcli install
, um eine neue Überarbeitung der Steuerungsebene zu installieren, für die Mesh CA aktiviert ist.
Wenn Sie die vorherige Installation angepasst haben, müssen Sie dieselben Overlay-Dateien angeben, wenn Sie
asmcli install
ausführen.Führen Sie
asmcli install
aus. Ersetzen Sie im folgenden Befehl die Platzhalter durch Ihre Werte../asmcli install \ --fleet_id FLEET_PROJECT_ID \ --kubeconfig KUBECONFIG_FILE \ --output_dir DIR_PATH \ --enable_all \ --ca mesh_ca \ --root_cert ROOT_CERT_FILE_PATH \ --cert_chain CERT_CHAIN_FILE_PATH --option ca-migration-meshca \ --revision_name REVISION_2 \ --output_dir DIR_PATH \ OVERLAYS
--fleet_id
: Projekt-ID des Hostprojekts der Flotte.--kubeconfig
: Pfad zur Dateikubeconfig
. Sie können entweder einen relativen Pfad oder einen vollständigen Pfad angeben. Die Umgebungsvariable$PWD
funktioniert hier nicht.--output_dir
: Fügen Sie diese Option hinzu, um ein Verzeichnis anzugeben, in dasasmcli
das Paketanthos-service-mesh
herunterlädt und die Installationsdatei extrahiert, dieistioctl
, Beispiele und Manifeste enthält. Andernfalls lädtasmcli
die Dateien in eintmp
-Verzeichnis herunter. Sie können entweder einen relativen Pfad oder einen vollständigen Pfad angeben. Die Umgebungsvariable$PWD
funktioniert hier nicht.-
--enable_all
Ermöglicht dem Tool Folgendes:- Erforderliche IAM-Berechtigungen gewähren.
- Erforderliche Google APIs aktivieren.
- Im Cluster ein Label zur Angabe des Mesh-Netzwerks festlegen.
- Den Cluster bei der Flotte registrieren, falls noch nicht geschehen.
--ca mesh_ca
Sie können jetzt zur Cloud Service Mesh-Zertifizierungsstelle wechseln, da der Root of Trust der Cloud Service Mesh-Zertifizierungsstelle verteilt wurde.REVISION_2
Empfohlen. Ersetzen SieREVISION_2
durch einen Namen, der die Installation beschreibt, z. B.asm-11910-9-meshca-ca-migration
. Der Name muss ein DNS-1035-Label sein und aus alphanumerischen Zeichen in Kleinbuchstaben oder-
bestehen. Außerdem muss er mit einem Buchstaben beginnen und mit einem alphanumerischen Zeichen enden (z. B.my-name
oderabc-123
).--option ca-migration-migration
Wenn Sie Ihre Arbeitslasten [noch einmal bereitstellen](/service-mesh/docs/unified-install/install-anthos-service-mesh#deploy_and_redeploy_workloads), konfiguriert diese Option die Proxys für die Verwendung des Root of Trust der Cloud Service Mesh-Zertifizierungsstelle.
Arbeitslasten zur neuen Steuerungsebene migrieren
Um die Installation abzuschließen, müssen Sie Ihre Namespaces mit dem neuen Überarbeitungslabel versehen und Ihre Arbeitslasten neu starten.
Rufen Sie das Revisionslabel ab, das sich auf
istiod
und demistio-ingressgateway
befindet.kubectl get pod -n istio-system -L istio.io/rev
Die Ausgabe sieht etwa so aus:
NAME READY STATUS RESTARTS AGE REV istio-ingressgateway-asm-11910-9-distribute-root-65d884685d-6hrdk 1/1 Running 0 67m asm-11910-9-distribute-root istio-ingressgateway-asm-11910-9-distribute-root65d884685d-94wgz 1/1 Running 0 67m asm-11910-9-distribute-root istio-ingressgateway-asm-11910-9-meshca-ca-migration-8b5fc8767-gk6hb 1/1 Running 0 5s asm-11910-9-meshca-ca-migration istio-ingressgateway-asm-11910-9-meshca-ca-migration-8b5fc8767-hn4w2 1/1 Running 0 20s asm-11910-9-meshca-ca-migration istiod-asm-11910-9-distribute-root-67998f4b55-lrzpz 1/1 Running 0 68m asm-11910-9-distribute-root istiod-asm-11910-9-distribute-root-67998f4b55-r76kr 1/1 Running 0 68m asm-11910-9-distribute-root istiod-asm-11910-9-meshca-ca-migration-5cd96f88f6-n7tj9 1/1 Running 0 27s asm-11910-9-meshca-ca-migration istiod-asm-11910-9-meshca-ca-migration-5cd96f88f6-wm68b 1/1 Running 0 27s asm-11910-9-meshca-ca-migration
Notieren Sie sich in der Ausgabe unter der Spalte
REV
den Wert des Überarbeitungslabels für die neue Version. In diesem Beispiel ist der Wertasm-11910-9-meshca-ca-migration
.Notieren Sie sich außerdem den Wert im Überarbeitungslabel der älteren
istiod
-Version. Diesen Wert benötigen Sie, um die vorherige Version vonistiod
zu löschen, wenn Sie die Arbeitslasten in die neue Version verschoben haben. In diesem Beispiel lautet der Wert des Überarbeitungslabels für die vorherige Überarbeitungasm-11910-9-distribute-root
.
Fügen Sie das neue Überarbeitungslabel einem Namespace hinzu. Ersetzen Sie im folgenden Befehl
NAMESPACE
durch den mit einem Label zu versehenden Namespace.kubectl label namespace NAMESPACE istio.io/rev=REVISION_2 --overwrite
Starten Sie die Pods neu, um die erneute Injektion auszulösen.
kubectl rollout restart deployment -n NAMESPACE
Testen Sie die Anwendung, um zu prüfen, ob die Arbeitslasten ordnungsgemäß funktionieren. Achten Sie darauf, dass die mTLS-Kommunikation zwischen Arbeitslasten im alten Namespace und Arbeitslasten im neueren Namespace funktioniert.
Wenn Sie Arbeitslasten in anderen Namespaces haben, wiederholen Sie die Schritte, um den Namespace mit einem Label zu versehen und Pods neu zu starten.
Führen Sie die unter Direkte Upgrades beschriebenen Schritte aus, um die in Schritt 11 des vorherigen Abschnitts installierten älteren Gateway-Bereitstellungen auf die neueste Version
REVISION_2
zu aktualisieren.Wenn Sie sich sicher sind, dass Ihre Anwendung wie erwartet funktioniert, fahren Sie mit den Schritten für die Umstellung auf die neue Steuerungsebene fort. Wenn ein Problem mit Ihrer Anwendung auftritt, führen Sie die Schritte zum Rollback aus.
Umstellung vornehmen
Wenn Sie sicher sind, dass Ihre Anwendung wie erwartet funktioniert, entfernen Sie die alte Steuerungsebene, um die Umstellung auf die neue Version abzuschließen.
Wechseln Sie in das Verzeichnis, in dem sich die Dateien aus dem GitHub-Repository
anthos-service-mesh
befinden.Konfigurieren Sie den validierten Webhook so, dass er die neue Steuerungsebene verwendet.
kubectl apply -f asm/istio/istiod-service.yaml
Löschen Sie das alte
istio-ingressgateway
-Deployment. Ersetzen Sie im folgenden BefehlOLD_REVISION
durch das Überarbeitungslabel für die vorherige Version vonistio-ingressgateway
.kubectl delete deploy -l app=istio-ingressgateway,istio.io/rev=OLD_REVISION -n istio-system --ignore-not-found=true
Löschen Sie die alte
istiod
-Überarbeitung. Ersetzen Sie im folgenden BefehlOLD_REVISION
durch das Überarbeitungslabel für die vorherige Version vonistiod
.kubectl delete Service,Deployment,HorizontalPodAutoscaler,PodDisruptionBudget istiod-OLD_REVISION -n istio-system --ignore-not-found=true
Entfernen Sie die alte
IstioOperator
-Konfiguration.kubectl delete IstioOperator installed-state-OLD_REVISION -n istio-system
Die erwartete Ausgabe sieht in etwa so aus:
istiooperator.install.istio.io "installed-state-OLD_REVISION" deleted
Rollback
Wenn beim Testen der Anwendung mit der neuen Überarbeitung
istiod
ein Problem aufgetreten ist, führen Sie die folgenden Schritte aus, um ein Rollback auf die vorherige Überarbeitung durchzuführen:Führen Sie die Schritte unter Direkte Upgrades aus, um die zuvor in Schritt 6 dieses Abschnitts aktualisierten Gateway-Bereitstellungen auf die ältere Revision
REVISION_1
zurückzusetzen.Benennen Sie den Namespace neu, um die automatische Einfügung mit der vorherigen
istiod
-Überarbeitung zu aktivieren.kubectl label namespace NAMESPACE istio.io/rev=OLD_REVISION --overwrite
Erwartete Ausgabe:
namespace/NAMESPACE labeled
Prüfen Sie, ob das Überarbeitungslabel im Namespace mit dem Überarbeitungslabel in der vorherigen Version von
istiod
übereinstimmt:kubectl get ns NAMESPACE --show-labels
Starten Sie die Pods neu, um die erneute Einfügung auszulösen, damit die Proxys die Istio-Version erhalten:
kubectl rollout restart deployment -n NAMESPACE
Entfernen Sie das neue
istio-ingressgateway
-Deployment.kubectl delete deploy -l app=istio-ingressgateway,istio.io/rev=REVISION_2 -n istio-system --ignore-not-found=true
Entfernen Sie die neue Version von
istiod
. Achten Sie darauf, dass das Überarbeitungslabel im folgenden Befehl mit Ihrer Überarbeitung übereinstimmt.kubectl delete Service,Deployment,HorizontalPodAutoscaler,PodDisruptionBudget istiod-REVISION_2 -n istio-system --ignore-not-found=true
Entfernen Sie die neue Version der
IstioOperator
-Konfiguration.kubectl delete IstioOperator installed-state-REVISION_2 -n istio-system
Die erwartete Ausgabe sieht in etwa so aus:
istiooperator.install.istio.io "installed-state-REVISION_2" deleted
CA-Secrets entfernen und neue Steuerungsebene neu starten
Speichern Sie Secrets sicherheitshalber:
kubectl get secret/cacerts -n istio-system -o yaml > save_file_1 kubectl get secret/istio-ca-secret -n istio-system -o yaml > save_file_2
Entfernen Sie die CA-Secrets in dem Cluster, der der alten CA zugeordnet ist:
kubectl delete secret cacerts istio-ca-secret -n istio-system --ignore-not-found
Starten Sie die neu installierte Steuerungsebene neu. Dadurch wird sichergestellt, dass der alte Root of Trust von allen im Mesh-Netzwerk ausgeführten Arbeitslasten bereinigt wird.
kubectl rollout restart deployment -n istio-system