Versione 1.13

Pianificazione di un'installazione

Questa pagina fornisce informazioni che ti aiuteranno a pianificare una nuova installazione di Anthos Service Mesh.

Personalizzare il piano di controllo

Le funzionalità supportate da Anthos Service Mesh sono diverse tra le varie piattaforme. Ti consigliamo di consultare le funzionalità supportate per sapere quali sono supportate sulla tua piattaforma. Alcune funzionalità sono abilitate per impostazione predefinita, mentre altre possono essere abilitate creando un IstioOperatorfile overlay. Quando esegui asmcli install, puoi personalizzare il piano di controllo specificando l'opzione --custom_overlay con il file overlay. Come best practice, consigliamo di salvare i file overlay nel sistema di controllo della versione.

Il pacchetto anthos-service-mesh in GitHub contiene molti file overlay. Questi file contengono personalizzazioni comuni alla configurazione predefinita. Puoi utilizzare questi file così come sono oppure puoi apportarvi ulteriori modifiche in base alle necessità. Alcuni file sono necessari per attivare le funzionalità facoltative di Anthos Service Mesh. Il pacchetto anthos-service-mesh viene scaricato quando esegui asmcli per convalidare il progetto e il cluster.

Quando installi Anthos Service Mesh utilizzando asmcli install, puoi specificare uno o più file overlay con --option o --custom_overlay. Se non devi apportare alcuna modifica ai file nel repository di anthos-service-mesh, puoi utilizzare --option e lo script recupera il file da GitHub. Altrimenti, puoi apportare modifiche al file overlay, quindi utilizzare l'opzione --custom_overlay per trasmetterlo al file asmcli.

Scegli un'autorità di certificazione

A seconda del caso d'uso, della piattaforma e del tipo di piano di controllo (in-cluster o gestito), puoi scegliere una delle seguenti opzioni come autorità di certificazione (CA) per rilasciare i certificati mTLS (mTLS):

Questa sezione fornisce informazioni di alto livello su ciascuna di queste opzioni della CA e sui relativi casi d'uso.

CA mesh

A meno che non sia richiesta una CA personalizzata, ti consigliamo di utilizzare la rete mesh per i seguenti motivi:

  • Mesh CA è un servizio altamente affidabile e scalabile ottimizzato per carichi di lavoro scalati dinamicamente su Google Cloud.
  • Con Mesh CA, Google gestisce la sicurezza e la disponibilità del backend della CA.
  • Mesh CA ti consente di affidarti a una singola radice di attendibilità sui cluster.

I certificati della rete mesh CA includono i seguenti dati relativi ai servizi della tua applicazione:

  • L'ID progetto Google Cloud
  • Lo spazio dei nomi GKE
  • Nome dell'account di servizio GKE

Servizio CA

Oltre a Mesh CA, puoi configurare Anthos Service Mesh in modo da utilizzare Certificate Authority Service. Questa guida ti offre l'opportunità di un'integrazione con il servizio CA, consigliato per i seguenti casi d'uso:

  • Se hai bisogno di autorità di certificazione diverse per firmare i certificati del carico di lavoro su cluster diversi.
  • Se vuoi utilizzare istiod certificati del plug-in CA personalizzati.
  • Se devi eseguire il backup delle chiavi di firma in un HSM gestito da Google,
  • Se operi in un settore altamente regolamentato e sei soggetto alla conformità.
  • Se vuoi concatenare la tua CA Anthos Service Mesh a un certificato radice aziendale personalizzato per firmare i certificati del carico di lavoro.

Il costo di Mesh CA è incluso nei prezzi di Anthos Service Mesh. Il servizio CA non è incluso nel prezzo di base di Anthos Service Mesh e viene addebitato separatamente. Inoltre, il servizio CA viene fornito con uno SLA esplicito, mentre la CA mesh non lo fa.

Per questa integrazione, a tutti i carichi di lavoro in Anthos Service Mesh vengono assegnati ruoli IAM:

  • privateca.workloadCertificateRequester
  • privateca.auditor
  • privateca.template (obbligatorio se utilizzi un modello di certificato)

CA Istio

Ti consigliamo di utilizzare CA CA se soddisfi i seguenti criteri:

  • Il tuo mesh utilizza già CA di Istio e non richiedi i vantaggi attivati da CA o da CA di Mesh.
  • È necessaria una CA radice personalizzata.
  • Hai carichi di lavoro al di fuori di Google Cloud in cui un servizio CA gestito da Google Cloud non è accettabile.

Prepara la configurazione del gateway

Anthos Service Mesh ti offre la possibilità di eseguire il deployment e gestire i gateway come parte del tuo mesh di servizi. Un gateway descrive un bilanciatore del carico che funziona a livello della rete che riceve connessioni HTTP/TCP in entrata o in uscita. I gateway sono proxy di Envoy che offrono un controllo granulare sul traffico in entrata e in uscita dal mesh.

Per impostazione predefinita, asmcli non installa istio-ingressgateway. Ti consigliamo di eseguire il deployment del piano di controllo e dei gateway separatamente. Per ulteriori informazioni, vedi Installare ed eseguire l'upgrade dei gateway. Se devi installare l'elemento istio-ingressgateway predefinito con il piano di controllo in-cluster, includi l'argomento --option legacy-default-ingressgateway.

Passaggi successivi