Voraussetzungen für Anthos Service Mesh
Auf dieser Seite werden die Voraussetzungen und Anforderungen für die Installation von Anthos Service Mesh beschrieben, z. B. die GKE Enterprise-Lizenzierung, Clusteranforderungen, Flottenanforderungen und allgemeine Anforderungen.
Cloud-Projekt
Hinweise:
Wählen Sie ein Google Cloud-Projekt aus oder erstellen Sie eines.
Prüfen Sie, ob für Ihr Projekt die Abrechnung aktiviert ist.
GKE Enterprise-Lizenzierung
GKE
Anthos Service Mesh ist mit GKE Enterprise oder als eigenständiger Dienst verfügbar.
Die Abrechnung erfolgt über Google APIs. Wenn Sie Anthos Service Mesh als eigenständigen Dienst verwenden möchten, aktivieren Sie die GKE Enterprise API nicht in Ihrem Projekt.
asmcli
aktiviert alle anderen erforderlichen Google APIs für Sie. Informationen zu Anthos Service Mesh-Preisen finden Sie unter Preise.
- GKE Enterprise-Abonnenten müssen die GKE Enterprise API aktivieren.
Auch wenn Sie kein GKE Enterprise-Abonnent sind, können Sie Anthos Service Mesh installieren. Bestimmte UI-Elemente und Features in der Google Cloud Console sind jedoch nur für GKE Enterprise-Abonnenten verfügbar. Informationen dazu, was für Abonnenten und Nicht-Abonnenten verfügbar ist, finden Sie unter Unterschiede zwischen GKE Enterprise und Anthos Service Mesh.
Wenn Sie die GKE Enterprise API aktiviert haben, aber Anthos Service Mesh als eigenständigen Dienst verwenden möchten, deaktivieren Sie die GKE Enterprise API.
Außerhalb von Google Cloud
Wenn Sie Anthos Service Mesh lokal, in GKE on AWS, Amazon EKS oder Microsoft AKS installieren möchten, müssen Sie GKE Enterprise-Kunde sein. Für GKE Enterprise-Kunden wird Anthos Service Mesh nicht separat in Rechnung gestellt, da es bereits in den GKE Enterprise-Preisen enthalten ist. Weitere Informationen finden Sie in der GKE Enterprise-Preisübersicht.
Allgemeine Voraussetzungen
Für die Aufnahme in das Service Mesh müssen Dienstports benannt werden und der Name muss das Protokoll des Ports in der folgenden Syntax enthalten:
name: protocol[-suffix]
, wobei die eckigen Klammern ein optionales Suffix angeben, das mit einem Bindestrich beginnen muss. Weitere Informationen finden Sie unter Dienstports benennen.Wenn Sie in Ihrer Organisation einen Dienstperimeter erstellt haben, müssen Sie möglicherweise den Mesh CA-Dienst dem Perimeter hinzufügen. Weitere Informationen finden Sie unter Mesh CA einem Dienstperimeter hinzufügen.
Wenn Sie die standardmäßigen Ressourcenlimits für den Sidecar-Container
istio-proxy
ändern möchten, müssen die neuen Werte größer als die Standardwerte sein, um Ereignisse aufgrund von Speicherplatzmangel zu vermeiden.Mit einem Google Cloud-Projekt kann nur ein Mesh verknüpft sein.
Clusteranforderungen
GKE
Prüfen Sie, ob Ihre Clusterversion unter Unterstützte Plattformen aufgeführt ist.
Ihr GKE-Cluster muss die folgenden Anforderungen erfüllen:
Der GKE-Cluster muss Standard sein. Autopilot-Cluster werden nur mit verwalteten Anthos Service Mesh unterstützt.
Ein Maschinentyp mit mindestens vier vCPUs, z. B.
e2-standard-4
. Wenn der Maschinentyp für Ihren Cluster nicht mindestens vier vCPUs hat, ändern Sie den Maschinentyp, wie unter Arbeitslasten zu anderen Maschinentypen migrieren beschrieben.Die Mindestanzahl an Knoten hängt vom Maschinentyp ab. Anthos Service Mesh erfordert mindestens acht vCPUs. Wenn der Maschinentyp vier vCPUs hat, muss der Cluster mindestens zwei Knoten haben. Hat der Maschinentyp acht vCPUs, benötigt der Cluster nur einen Knoten. Informationen zum Hinzufügen von Knoten finden Sie unter Größe eines Clusters anpassen.
GKE Workload Identity ist erforderlich. Wir empfehlen, Workload Identity zu aktivieren, bevor Sie Anthos Service Mesh installieren. Wenn Sie Workload Identity aktivieren, ändert sich die Art und Weise, wie Aufrufe Ihrer Arbeitslasten an Google APIs gesichert werden. Weitere Informationen hierzu finden Sie unter Einschränkungen bei Workload Identity. Der GKE-Metadatenserver muss nicht auf vorhandenen Knotenpools aktiviert werden.
Es wird empfohlen, den Cluster in einer Release-Version zu registrieren. Dies ist jedoch optional. Es wird empfohlen, sich für die Release-Version "Regular" zu registrieren, da andere Versionen möglicherweise auf einer GKE-Version basieren, die mit Anthos Service Mesh nicht unterstützt wird. 1.23.3. Weitere Informationen finden Sie unter Unterstützte Plattformen. Folgen Sie der Anleitung unter Vorhandenen Cluster in einer Release-Version registrieren, wenn Sie eine statische GKE-Version haben.
Wenn Sie Anthos Service Mesh in einem privaten Cluster installieren, müssen Sie Port 15017 in der Firewall öffnen, damit die Webhooks verwendet werden, die für die automatische Sidecar-Einfügung und die Konfigurationsvalidierung verwendet werden. Weitere Informationen finden Sie unter Port auf einem privaten Cluster öffnen.
Prüfen Sie, ob der Clientcomputer, auf dem Sie Anthos Service Mesh installieren, eine Netzwerkverbindung zum API-Server hat.
Für Windows Server-Arbeitslasten wird Anthos Service Mesh nicht unterstützt. Wenn Ihr Cluster sowohl Linux- als auch Windows Server-Knotenpools hat, können Sie Anthos Service Mesh installieren und auf Ihren Linux-Arbeitslasten verwenden.
- Nach der Bereitstellung von Anthos Service Mesh müssen Sie sich an den Support wenden, bevor Sie die IP-Rotation oder die Rotation von Zertifikatanmeldedaten initiieren.
Außerhalb von Google Cloud
Achten Sie darauf, dass der Nutzercluster, auf dem Sie Anthos Service Mesh installieren, mindestens 4 vCPUs, 15 GB Arbeitsspeicher und 4 Knoten hat.
Prüfen Sie, ob Ihre Clusterversion unter Unterstützte Plattformen aufgeführt ist.
Prüfen Sie, ob der Clientcomputer, auf dem Sie Anthos Service Mesh installieren, eine Netzwerkverbindung zum API-Server hat.
Wenn Sie Sidecars in Anwendungs-Pods bereitstellen, in denen keine direkte Verbindung zu CA-Diensten (z. B.
meshca.googleapis.com
undprivateca.googleapis.com
) verfügbar ist, müssen Sie einen explizitenCONNECT
-basierten HTTPS-Proxy konfigurieren.Achten Sie bei öffentlichen Clustern mit festgelegten Firewallregeln für ausgehenden Traffic, die implizite Regeln blockieren, darauf, dass Sie HTTP-/HTTPS- und DNS-Regeln konfiguriert haben, um öffentliche Google APIs zu erreichen.
Flottenanforderungen
Bei Anthos Service Mesh 1.11 und höher müssen alle Cluster bei einer Flotte registriert sein und Flotten-Workload Identity muss aktiviert sein. Sie können entweder die Cluster selbst einrichten oder asmcli
die Cluster registrieren lassen, solange sie die folgenden Anforderungen erfüllen:
GKE: (gilt für clusterinternes und verwaltetes Anthos Service Mesh) Aktivieren Sie GKE Workload Identity in Ihrem Google Kubernetes Engine-Cluster, falls noch nicht aktiviert. Darüber hinaus müssen Sie den Cluster mit Workload Identity für die Flotte registrieren.
GKE-Cluster außerhalb von Google Cloud: (gilt für Anthos Service Mesh im Cluster) GKE on VMware, GKE on Bare Metal, GKE on AWS und GKE on Azure werden bei der Clustererstellung automatisch in Ihrer Projektflotte registriert. Ab GKE Enterprise 1.8 wird Workload Identity für alle diese Clustertypen bei der Registrierung automatisch aktiviert. Vorhandene registrierte Cluster werden aktualisiert, um die Workload Identity für die Flotte zu verwenden, wenn ein Upgrade auf GKE Enterprise 1.8 durchgeführt wird.
Amazon EKS-Cluster: (gilt für Anthos Service Mesh im Cluster) Der Cluster muss einen öffentlichen IAM-OIDC-Identitätsanbieter haben. Folgen Sie der Anleitung unter IAM-OIDC-Anbieter für Ihren Cluster erstellen, um zu prüfen, ob ein Anbieter vorhanden ist, und erstellen Sie bei Bedarf einen Anbieter.
Wenn Sie asmcli install
ausführen, geben Sie die Projekt-ID des Flottenhostprojekts an.
asmcli
registriert den Cluster, falls er noch nicht registriert wurde.