Versione 1.16

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Pianificazione di un'installazione

Questa pagina fornisce informazioni per aiutarti a pianificare una nuova installazione di Anthos Service Mesh.

Personalizza il piano di controllo

Le funzionalità supportate da Anthos Service Mesh sono diverse tra le piattaforme. Ti consigliamo di consultare la sezione Funzionalità supportate per scoprire quali di queste sono supportate sulla tua piattaforma. Alcune funzionalità sono attive per impostazione predefinita, mentre altre possono essere attivate creando un IstioOperator file overlay. Quando esegui asmcli install, puoi personalizzare il piano di controllo specificando l'opzione --custom_overlay con il file di overlay. Come best practice, ti consigliamo di salvare i file overlay nel tuo sistema di controllo della versione.

Il pacchetto anthos-service-mesh in GitHub contiene molti file di overlay. Questi file contengono personalizzazioni comuni per la configurazione predefinita. Puoi utilizzare questi file così come sono oppure apportare ulteriori modifiche in base alle necessità. Alcuni file sono necessari per attivare le funzionalità facoltative di Anthos Service Mesh. Il pacchetto anthos-service-mesh viene scaricato quando esegui asmcli per convalidare il tuo progetto e il tuo cluster.

Quando installi Anthos Service Mesh utilizzando asmcli install, puoi specificare uno o più file di overlay con --option o --custom_overlay. Se non devi apportare alcuna modifica ai file nel repository anthos-service-mesh, puoi utilizzare --option e lo script recupera il file da GitHub. In caso contrario, puoi apportare modifiche al file dell'overlay, quindi utilizzare l'opzione --custom_overlay per trasmetterlo al asmcli.

Scegli un'autorità di certificazione

A seconda del caso d'uso, della piattaforma e del tipo di piano di controllo (in-cluster o gestito), puoi scegliere una delle seguenti opzioni come autorità di certificazione (CA) per l'emissione dei certificati mTLS (mTLS):

Questa sezione fornisce informazioni di alto livello su ciascuna di queste opzioni della CA e sui relativi casi d'uso.

Mesh CA

A meno che non sia necessaria una CA personalizzata, ti consigliamo di utilizzare la rete CA per i seguenti motivi:

  • Mesh CA è un servizio ad alta affidabilità e scalabilità ottimizzato per carichi di lavoro scalati dinamicamente.
  • Con Mesh CA, Google gestisce la sicurezza e la disponibilità del backend CA.
  • Mesh CA ti consente di fare affidamento su una singola radice di attendibilità tra i cluster.

I certificati di Mesh CA includono i seguenti dati sui servizi della tua applicazione:

  • L'ID progetto Google Cloud
  • Lo spazio dei nomi GKE
  • Il nome dell'account di servizio GKE

Servizio CA

Oltre a Mesh CA, puoi configurare Anthos Service Mesh per utilizzare Certificate Authority Service. Questa guida offre l'opportunità di effettuare l'integrazione con il servizio CA, consigliata per i seguenti casi d'uso:

  • Se hai bisogno di autorità di certificazione diverse per firmare i certificati dei carichi di lavoro su cluster diversi,
  • Se vuoi utilizzare istiod certificati plug-in CA personalizzati.
  • Se devi eseguire il backup delle chiavi di firma in un HSM gestito.
  • Se lavori in un settore altamente regolamentato e sei soggetto a conformità.
  • Se vuoi concatenare la tua CA Anthos Service Mesh a un certificato radice aziendale personalizzato per firmare i certificati del carico di lavoro.

Il costo di Mesh CA è incluso nei prezzi di Anthos Service Mesh. Il servizio CA non è incluso nel prezzo base di Anthos Service Mesh e viene addebitato separatamente. Inoltre, il servizio CA viene fornito con uno SLA esplicito, mentre la CA mesh no.

Per questa integrazione, a tutti i carichi di lavoro in Anthos Service Mesh vengono concessi ruoli IAM:

  • privateca.workloadCertificateRequester
  • privateca.auditor
  • privateca.template (obbligatorio se utilizzi un modello di certificato)

CA CA Istio

Ti consigliamo di utilizzare Istio CA se soddisfi i seguenti criteri:

  • Il tuo mesh utilizza già CA CA e non hai bisogno dei vantaggi abilitati da Mesh CA o servizio CA.
  • È necessaria una CA radice personalizzata.
  • Hai carichi di lavoro esterni a Google Cloud in cui un servizio CA gestito da Google Cloud non è accettabile.

Prepara la configurazione del gateway

Anthos Service Mesh ti offre la possibilità di eseguire il deployment e la gestione dei gateway come parte del tuo mesh di servizi. Un gateway descrive un bilanciatore del carico a livello perimetrale della rete mesh che riceve connessioni HTTP/TCP in entrata o in uscita. I gateway sono proxy Envoy che ti forniscono un controllo granulare sul traffico in entrata e in uscita dal mesh.

Per impostazione predefinita, asmcli non installa istio-ingressgateway. Ti consigliamo di eseguire il deployment e il controllo del piano di controllo e dei gateway separatamente. Per saperne di più, consulta Installare ed eseguire l'upgrade dei gateway. Se devi installare l'argomento istio-ingressgateway predefinito con il piano di controllo nel cluster, includi l'argomento --option legacy-default-ingressgateway.

Quali sono i passaggi successivi?