Prerequisiti di Anthos Service Mesh
In questa pagina vengono descritti i prerequisiti e i requisiti per l'installazione di Anthos Service Mesh, come le licenze GKE Enterprise, i requisiti dei cluster, i requisiti del parco risorse e quelli generali.
Progetto cloud
Prima di iniziare:
Verifica che la fatturazione sia abilitata per il tuo progetto.
Licenze GKE Enterprise
GKE
Anthos Service Mesh è disponibile con GKE Enterprise o come servizio autonomo.
Le API di Google vengono utilizzate per determinare le modalità di fatturazione. Per utilizzare Anthos Service Mesh come servizio autonomo, non abilitare l'API GKE Enterprise nel tuo progetto.
asmcli
abilita tutte le altre API di Google richieste per te. Per
informazioni sui prezzi di Anthos Service Mesh, consulta la pagina Prezzi.
- Gli abbonati a GKE Enterprise devono assicurarsi di abilitare l'API GKE Enterprise.
Se non sei abbonato a GKE Enterprise, puoi comunque installare Anthos Service Mesh, ma alcuni elementi UI e funzionalità della console Google Cloud sono disponibili solo per gli abbonati a GKE Enterprise. Per informazioni sui contenuti disponibili per abbonati e non abbonati, consulta Differenze nella UI di GKE Enterprise e Anthos Service Mesh.
Se hai abilitato l'API GKE Enterprise, ma vuoi utilizzare Anthos Service Mesh come servizio autonomo, disabilita l'API GKE Enterprise.
Al di fuori di Google Cloud
Per installare Anthos Service Mesh on-premise, su GKE su AWS, Amazon EKS o Microsoft AKS, devi essere cliente di GKE Enterprise. Anthos Service Mesh non viene fatturato separatamente ai clienti di GKE Enterprise perché è già incluso nei prezzi di GKE Enterprise. Per ulteriori informazioni, consulta la guida ai prezzi di GKE Enterprise.
Requisiti generali
Per essere incluse nel mesh di servizi, le porte di servizio devono essere denominate e il nome deve includere il protocollo della porta nella seguente sintassi:
name: protocol[-suffix]
in cui le parentesi quadre indicano un suffisso facoltativo che deve iniziare con una trattino. Per ulteriori informazioni, consulta la sezione Denominazione delle porte dei servizi.Se hai creato un perimetro di servizio nella tua organizzazione, potresti dover aggiungere il servizio Mesh CA al perimetro. Per ulteriori informazioni, consulta Aggiunta di Mesh CA a un perimetro di servizio.
Se vuoi modificare i limiti delle risorse predefiniti per il container collaterale
istio-proxy
, i nuovi valori devono essere maggiori di quelli predefiniti per evitare gli eventi di esaurimento della memoria (OOM).A un progetto Google Cloud può essere associato un solo mesh.
Requisiti per i cluster
GKE
Verifica che la versione del cluster sia elencata in Piattaforme supportate.
Il cluster GKE deve soddisfare i seguenti requisiti:
Il cluster GKE deve essere Standard. I cluster Autopilot sono supportati solo con Anthos Service Mesh gestito.
Un tipo di macchina con almeno 4 vCPU, come
e2-standard-4
. Se il tipo di macchina del cluster non ha almeno 4 vCPU, modifica il tipo di macchina come descritto in Migrazione dei carichi di lavoro a tipi di macchine diversi.Il numero minimo di nodi dipende dal tipo di macchina. Anthos Service Mesh richiede almeno 8 vCPU. Se il tipo di macchina ha 4 vCPU, il cluster deve avere almeno 2 nodi. Se il tipo di macchina ha 8 vCPU, il cluster ha bisogno solo di 1 nodo. Se devi aggiungere nodi, consulta Ridimensionare un cluster.
L'identità dei carichi di lavoro GKE è obbligatoria. Ti consigliamo di attivare Workload Identity prima di installare Anthos Service Mesh. L'abilitazione di Workload Identity modifica il modo in cui vengono protette le chiamate dai carichi di lavoro alle API di Google, come descritto in Limitazioni di Workload Identity. Tieni presente che non è necessario abilitare il server metadati GKE sui pool di nodi esistenti.
(Facoltativo ma consigliato) registra il cluster in un canale di rilascio. Ti consigliamo di registrarti al canale di rilascio regolare perché altri canali potrebbero essere basati su una versione GKE non supportata da Anthos Service Mesh 1.23.2. Per maggiori informazioni, vedi Piattaforme supportate. Se disponi di una versione GKE statica, segui le istruzioni in Registrare un cluster esistente in un canale di rilascio.
Se installi Anthos Service Mesh su un cluster privato, devi aprire la porta 15017 nel firewall per far funzionare i webhook utilizzati per l'inserimento automatico del file collaterale e la convalida della configurazione. Per maggiori informazioni, consulta Apertura di una porta in un cluster privato.
Assicurati che la macchina client da cui installi Anthos Service Mesh disponga di connettività di rete al server API.
Per i carichi di lavoro Windows Server, Anthos Service Mesh non è supportato. Se il tuo cluster ha pool di nodi Linux e Windows Server, puoi comunque installare Anthos Service Mesh e utilizzarlo sui tuoi carichi di lavoro Linux.
Al di fuori di Google Cloud
Assicurati che il cluster utente su cui installi Anthos Service Mesh abbia almeno 4 vCPU, 15 GB di memoria e 4 nodi.
Verifica che la versione del cluster sia elencata in Piattaforme supportate.
Assicurati che la macchina client da cui installi Anthos Service Mesh disponga di connettività di rete al server API.
Se esegui il deployment di file collaterali in pod di applicazioni in cui la connettività diretta ai servizi CA (come
meshca.googleapis.com
eprivateca.googleapis.com
) non è disponibile, devi configurare un proxy HTTPS esplicito basato suCONNECT
.Per i cluster pubblici con regole firewall in uscita impostate che bloccano le regole implicite, assicurati di aver configurato le regole HTTP/HTTPS e DNS per raggiungere le API pubbliche di Google.
Requisiti del parco risorse
Con Anthos Service Mesh 1.11 e versioni successive, tutti i cluster devono essere registrati in un
parco risorse e
è necessario abilitare
l'identità dei carichi di lavoro del parco risorse. Puoi configurare i cluster autonomamente oppure puoi lasciare che asmcli
registri i cluster purché soddisfino i seguenti requisiti:
GKE: (si applica ad Anthos Service Mesh gestito e in-cluster) Abilita GKE Workload Identity sul tuo cluster Google Kubernetes Engine, se non è già abilitato. Inoltre, devi registrare il cluster utilizzando Workload Identity del parco risorse.
Cluster GKE esterni a Google Cloud: (si applica ad Anthos Service Mesh nel cluster) GKE on VMware, GKE on Bare Metal, GKE on AWS e GKE su Azure vengono registrati automaticamente nel parco risorse di progetto al momento della creazione del cluster. A partire da GKE Enterprise 1.8, tutti questi tipi di cluster abilitano automaticamente il parco risorse Workload Identity quando registrato. I cluster registrati esistenti vengono aggiornati in modo da utilizzare Workload Identity del parco risorse quando viene eseguito l'upgrade a GKE Enterprise 1.8.
Cluster Amazon EKS: (applicabile ad Anthos Service Mesh in-cluster) il cluster deve avere un provider di identità OIDC IAM pubblico. Segui le istruzioni in Creare un provider OIDC IAM per il cluster per verificare se esiste un provider e crearne uno se necessario.
Quando esegui asmcli install
, specifichi l'ID progetto del progetto host del parco risorse.
asmcli
registra il cluster, se non è già registrato.