Planejar uma instalação

Nesta página, você encontra informações para ajudar a planejar uma nova instalação do Mesh Service Mesh.

Personalizar o plano de controle

Os recursos do Anthos Service Mesh são compatíveis com as diferentes plataformas. Recomendamos que você revise os Recursos compatíveis para saber quais recursos são compatíveis com sua plataforma. Alguns recursos são ativados por padrão, e outros podem ser ativados opcionalmente criando um arquivo de configuração IstioOperator. Ao executar asmcli install, é possível personalizar o plano de controle especificando a opção --custom_overlay com o arquivo de sobreposição. Como prática recomendada, salve os arquivos de sobreposição no seu sistema de controle de versões.

O pacote anthos-service-mesh no GitHub contém muitos arquivos de sobreposição. Esses arquivos contêm personalizações comuns da configuração padrão. É possível usar esses arquivos como estão ou fazer outras alterações neles conforme necessário. Alguns dos arquivos são necessários para ativar os recursos opcionais do Anthos Service Mesh. O pacote anthos-service-mesh é transferido por download ao executar asmcli para validar o projeto e o cluster.

Ao instalar o Anthos Service Mesh com asmcli install, é possível especificar um ou mais arquivos de sobreposição com --option ou --custom_overlay. Caso você não precise fazer mudanças nos arquivos no repositório anthos-service-mesh, use --option e o script buscará o arquivo no GitHub para você. Caso contrário, você pode fazer alterações no arquivo de sobreposição e usar a opção --custom_overlay para passá-la para asmcli.

Escolher uma autoridade de certificação

Dependendo do caso de uso, da plataforma e do tipo de plano de controle (no cluster ou gerenciado), é possível escolher uma das seguintes opções como o certificado autoridade de certificação (CA, na sigla em inglês) para emitir certificados TLS mútuos (mTLS):

Nesta seção, você encontra informações de alto nível sobre cada uma dessas opções de CA e os respectivos casos de uso.

CA da malha

A menos que você precise de uma CA personalizada, recomendamos que use a CA da malha pelos seguintes motivos:

A CA da malha é um serviço altamente confiável e escalonável, otimizado para cargas de trabalho escalonadas dinamicamente.
Com ela, o Google gerencia a segurança e a disponibilidade do back-end da CA.
Esta autoridade de certificação possibilita confiar em uma única raiz de confiança entre os clusters.

Os certificados da CA do Mesh incluem os seguintes dados sobre os serviços do aplicativo:

O ID do projeto do Google Cloud
O namespace do GKE
O nome da conta de serviço do GKE

Serviço de CA

Observação sobre a plataforma: o CA Service é compatível com as seguintes plataformas: clusters do GKE no Google Cloud, GKE no VMware e GDCV para Bare Metal. Se você executar asmcli install e especificar --ca gcp_cas em outras plataformas, a instalação será bem-sucedida, mas suas cargas de trabalho não serão iniciadas.

Além da CA de malha, é possível configurar o Anthos Service Mesh para usar o Certificate Authority Service. Este guia oferece uma oportunidade de integração com o serviço de CA, o que é recomendado para os seguintes casos de uso:

Se você precisar de autoridades de certificação diferentes para assinar certificados de carga de trabalho em clusters diferentes.
Se você quiser usar os certificados de plug-in da CA personalizada do istiod.
Se você precisar fazer backup das chaves de assinatura em um HSM gerenciado.
sua empresa é altamente regulada e está sujeita a conformidade.
Se você quiser encadear a CA do Anthos Service Mesh a um certificado raiz empresarial personalizado para assinar certificados de carga de trabalho.

O custo da CA de malha está incluído no preço do Anthos Service Mesh. O serviço da CA não está incluso no preço base do Anthos Service Mesh e é cobrado separadamente. Além disso, o serviço da CA vem com um SLA explícito, mas o CA da malha não.

Para essa integração, todas as cargas de trabalho no Anthos Service Mesh recebem papéis do IAM:

privateca.workloadCertificateRequester
privateca.auditor
privateca.template (obrigatório se você estiver usando um modelo de certificado)

CA do Istio

Recomendamos que você use a CA do Istio se atender aos seguintes critérios:

Sua malha já usa a CA do Istio e você não precisa dos benefícios ativados pela CA do Mesh ou pelo serviço de CA.
Você precisa de uma CA raiz personalizada.
Você tem cargas de trabalho fora do Google Cloud em que um serviço de CA gerenciado pelo Google Cloud não é aceitável.

Preparar a configuração do gateway

O Anthos Service Mesh oferece a opção de implantar e gerenciar gateways como parte da malha de serviço. Um gateway descreve um balanceador de carga operando na borda da malha que recebe conexões HTTP/TCP de entrada ou saída. Os gateways são proxies Envoy que fornecem um controle refinado sobre o tráfego que entra e sai da malha.

O app asmcli não instala o istio-ingressgateway. Recomendamos que você implante e gerencie o plano de controle e os gateways separadamente. Para mais informações, consulte Como instalar e fazer upgrade de gateways.

A seguir

Instale ferramentas dependentes e valide o cluster