Planificar una instalación

En esta página, se proporciona información para ayudarte a planificar una instalación nueva de Anthos Service Mesh.

Personaliza el plano de control

Las funciones que son compatibles con Anthos Service Mesh varían entre plataformas. Te recomendamos que revises las funciones compatibles para saber cuáles son compatibles con tu plataforma. Algunas funciones están habilitadas de forma predeterminada, y otras pueden habilitarse de forma opcional mediante la creación de un archivo de superposición IstioOperator. Cuando ejecutas asmcli install, puedes personalizar el plano de control si especificas la opción --custom_overlay con el archivo de superposición. Como recomendación, te sugerimos que guardes los archivos de superposición en tu sistema de control de versión.

El paquete anthos-service-mesh de GitHub contiene muchos archivos de superposición. Estos archivos contienen personalizaciones comunes de la configuración predeterminada. Puedes usar estos archivos tal como están o puedes realizar cambios adicionales según sea necesario. Algunos de los archivos son necesarios para habilitar las funciones opcionales de Anthos Service Mesh. El paquete anthos-service-mesh se descarga cuando ejecutas asmcli para validar tu proyecto y clúster.

Cuando instalas Anthos Service Mesh mediante asmcli install, puedes especificar uno o más archivos de superposición con --option o --custom_overlay. Si no necesitas realizar cambios en los archivos del repositorio anthos-service-mesh, puedes usar --option y la secuencia de comandos recupera el archivo de GitHub. De lo contrario, puedes realizar cambios en el archivo de superposición y, luego, usar la opción --custom_overlay para pasarlo a la secuencia de comandos asmcli.

Elige una autoridad certificadora

Según tu caso de uso, la plataforma y el tipo de plano de control (en el clúster o administrado), puedes elegir una de las siguientes opciones como la autoridad certificadora (CA) para emitir certificados mutuos de TLS (mTLS):

En esta sección, se proporciona información de alto nivel sobre cada una de estas opciones de CA y sus casos de uso:

CA de Mesh

A menos que necesites una CA personalizada, te recomendamos que uses la CA de Mesh por los siguientes motivos:

La CA de Mesh es un servicio altamente confiable y escalable que está optimizado para cargas de trabajo que se escalan de forma dinámica.
Con la CA de Mesh, Google administra la seguridad y la disponibilidad del backend de CA.
La CA de Mesh te permite tener una sola raíz de confianza entre clústeres.

En los certificados de CA de Mesh, se incluyen los siguientes datos sobre los servicios de tu aplicación:

El ID del proyecto de Google Cloud
El espacio de nombres de GKE
El nombre de la cuenta de servicio de GKE

Servicio de CA

Nota de la plataforma: CA Service solo es compatible con las siguientes plataformas: clústeres de GKE en Google Cloud, GKE en VMware y GDCV para Bare Metal. Si ejecutas asmcli install y especificas --ca gcp_cas en otras plataformas, la instalación parecerá exitosa, pero las cargas de trabajo no se iniciarán.

Además de la CA de Mesh, puedes configurar Anthos Service Mesh para que use Certificate Authority Service. En esta guía, se te brinda la posibilidad de realizar la integración en el servicio de CA, lo que es recomendable para los siguientes casos de uso:

Si necesitas autoridades certificadoras para que firmen certificados de carga de trabajo en diferentes clústeres.
Si deseas usar certificados de complemento de CA personalizadas de istiod.
Si necesitas respaldar tus claves de firma en un HSM administrado.
Si te encuentras en una industria altamente regulada y estás sujeto a cumplimiento.
Si deseas encadenar tu CA de Anthos Service Mesh a un certificado raíz personalizado de empresa para firmar certificados de carga de trabajo.

El costo de la CA de Mesh se incluye en el precio de Anthos Service Mesh. El servicio de CA no está incluido en el precio base de Anthos Service Mesh y se cobra por separado. Además, el servicio de CA viene con un ANS explícito, pero la CA de Mesh no lo hace.

Para esta integración, a todas las cargas de trabajo en Anthos Service Mesh se les otorgan dos roles de IAM:

privateca.workloadCertificateRequester
privateca.auditor
privateca.template (obligatorio si usas una plantilla de certificado)

CA de Istio

Recomendamos que uses la CA de Istio si cumples con los siguientes criterios:

La malla ya usa la CA de Istio y no necesitas los beneficios que habilitan la CA de Mesh o el servicio de CA.
Necesitas una CA raíz personalizada.
Tienes cargas de trabajo fuera de Google Cloud en las que no es aceptable un servicio de CA administrado por Google Cloud.

Prepara la configuración de la puerta de enlace

Anthos Service Mesh te brinda la opción de implementar y administrar puertas de enlace como parte de tu malla de servicios. Una puerta de enlace describe un balanceador de cargas que opera en el perímetro de la malla que recibe conexiones HTTP/TCP entrantes o salientes. Las puertas de enlace son proxies de Envoy que te brindan un control detallado sobre el tráfico que entra y sale de la malla.

asmcli no instala istio-ingressgateway. Te recomendamos que implementes y administres el plano de control y las puertas de enlace por separado. Para obtener más información, consulta Instala y actualiza puertas de enlace.

Próximos pasos

Instala herramientas dependientes y valida el clúster