Pianificazione di un'installazione

Questa pagina fornisce informazioni per aiutarti a pianificare una nuova installazione di Anthos Service Mesh.

Personalizzare il piano di controllo

Le funzionalità supportate da Anthos Service Mesh variano a seconda della piattaforma. Ti consigliamo di consultare le funzionalità supportate per scoprire quali funzionalità sono supportate sulla tua piattaforma. Alcune funzionalità sono attive per impostazione predefinita, mentre altre puoi attivarle facoltativamente creando un IstioOperator file di overlay. Quando esegui asmcli install, puoi personalizzare il piano di controllo specificando l'opzione --custom_overlay con il file dell'overlay. Come best practice, ti consigliamo di salvare i file degli overlay nel tuo sistema di controllo della versione.

Il pacchetto anthos-service-mesh in GitHub contiene molti file di overlay. Questi file contengono personalizzazioni comuni della configurazione predefinita. Puoi utilizzare questi file così come sono o apportarvi modifiche aggiuntive, se necessario. Alcuni file sono necessari per abilitare le funzionalità facoltative di Anthos Service Mesh. Il pacchetto anthos-service-mesh viene scaricato quando esegui asmcli per convalidare il progetto e il cluster.

Quando installi Anthos Service Mesh utilizzando asmcli install, puoi specificare uno o più file overlay con --option o --custom_overlay. Se non devi apportare modifiche ai file nel repository anthos-service-mesh, puoi utilizzare --option, e lo script recupera il file da GitHub. In caso contrario, puoi apportare modifiche al file dell'overlay e poi utilizzare l'opzione --custom_overlay per passarlo a asmcli.

Scegli un'autorità di certificazione

A seconda del caso d'uso, della piattaforma e del tipo di piano di controllo (in-cluster o gestito), puoi scegliere una delle seguenti opzioni come autorità di certificazione (CA) per l'emissione di certificati di TLS reciproca (mTLS):

Questa sezione fornisce informazioni generali su ciascuna di queste opzioni delle CA e sui relativi casi d'uso.

Mesh CA

A meno che tu non abbia bisogno di una CA personalizzata, ti consigliamo di utilizzare Mesh CA per i seguenti motivi:

Mesh CA è un servizio altamente affidabile e scalabile, ottimizzato per carichi di lavoro con scalabilità dinamica.
Con Mesh CA, Google gestisce la sicurezza e la disponibilità del backend della CA.
Mesh CA consente di fare affidamento su un'unica radice di attendibilità tra i cluster.

I certificati di Mesh CA includono i seguenti dati sui servizi dell'applicazione:

ID progetto Google Cloud
Lo spazio dei nomi GKE
Il nome dell'account di servizio GKE

Servizio CA

Nota sulla piattaforma: CA Service è supportato solo sulle seguenti piattaforme: cluster GKE su Google Cloud, GKE su VMware e GDCV per Bare Metal. Se esegui asmcli install e specifichi --ca gcp_cas su altre piattaforme, l'installazione sembra riuscita, ma i carichi di lavoro non verranno avviati.

Oltre a Mesh CA, puoi configurare Anthos Service Mesh per utilizzare Certificate Authority Service. Questa guida offre un'opportunità per l'integrazione con CA Service, consigliata per i seguenti casi d'uso:

Se hai bisogno di autorità di certificazione diverse per firmare i certificati dei carichi di lavoro su cluster diversi.
Se vuoi utilizzare i certificati plug-in CA personalizzati istiod.
Se devi eseguire il backup delle chiavi di firma in un HSM gestito.
Se utilizzi un settore altamente regolamentato e sei soggetto alla conformità.
Se vuoi concatenare Anthos Service Mesh CA a un certificato radice aziendale personalizzato per firmare i certificati dei carichi di lavoro.

Il costo di Mesh CA è incluso nel prezzo di Anthos Service Mesh. Il servizio CA non è incluso nel prezzo base di Anthos Service Mesh e viene addebitato separatamente. Inoltre, CA Service viene fornito con uno SLA (accordo sul livello del servizio) esplicito, al contrario di Mesh CA.

Per questa integrazione, a tutti i carichi di lavoro in Anthos Service Mesh vengono assegnati ruoli IAM:

privateca.workloadCertificateRequester
privateca.auditor
privateca.template (obbligatorio se utilizzi un modello di certificato)

CA Istio

Ti consigliamo di utilizzare la CA Istio se soddisfi i seguenti criteri:

Il tuo mesh utilizza già Istio CA e non hai bisogno dei vantaggi abilitati dal servizio CA o CA mesh.
È necessaria una CA radice personalizzata.
Hai carichi di lavoro esterni a Google Cloud in cui un servizio CA gestito da Google Cloud non è accettabile.

Prepara la configurazione del gateway

Anthos Service Mesh ti offre la possibilità di eseguire il deployment e gestire gateway come parte del tuo mesh di servizi. Un gateway descrive un bilanciatore del carico che opera sul perimetro della rete mesh che riceve connessioni HTTP/TCP in entrata o in uscita. I gateway sono proxy Envoy che ti forniscono un controllo granulare sul traffico in entrata e in uscita dal mesh.

asmcli non installa istio-ingressgateway. Ti consigliamo di eseguire il deployment e gestire separatamente il piano di controllo e i gateway. Per ulteriori informazioni, consulta Installazione e upgrade dei gateway.

Che cosa succede dopo?

Installa gli strumenti dipendenti e convalida il cluster