Verwaltetes Cloud Service Mesh mit asmcli bereitstellen

Überblick

Das verwaltete Cloud Service Mesh mit asmcli ist eine verwaltete Steuerungsebene und eine verwaltete Datenebene, die Sie einfach konfigurieren können. Google sorgt für ihre Zuverlässigkeit, Upgrades, Skalierung und Sicherheit in abwärtskompatibler Art und Weise. In dieser Anleitung wird erläutert, wie Sie Anwendungen mit asmcli in einer Einzel- oder Multi-Cluster-Konfiguration zum verwalteten Cloud Service Mesh einrichten oder migrieren.

Informationen zu den unterstützten Features und Einschränkungen des verwalteten Cloud Service Mesh finden Sie unter Von Managed Cloud Service Mesh unterstützte Features.

Vorbereitung

Sie sollten Folgendes bereits haben:

• Ein Cloud-Projekt
• Ein Cloud-Rechnungskonto
• Erforderliche Berechtigungen zum Bereitstellen von Cloud Service Mesh erhalten
• Das asmcli-Installationstool, kpt und andere Tools, die unter Erforderliche Tools installieren angegeben sind

Für eine schnellere Bereitstellung muss für Ihre Cluster Workload Identity aktiviert sein. Wenn Workload Identity nicht aktiviert ist, wird es durch die Bereitstellung automatisch aktiviert.

Voraussetzungen

• Ein oder mehrere Cluster mit einer unterstützten Version von GKE in einer der unterstützten Regionen.
• Achten Sie darauf, dass der Cluster genügend Kapazität für die erforderlichen Komponenten hat, die vom verwalteten Cloud Service Mesh im Cluster installiert werden.
  • Die Bereitstellung mdp-controller im Namespace kube-system fordert die CPU an: 50 m, den Arbeitsspeicher: 128 Mi.
  • Das DaemonSet istio-cni-node im Namespace kube-system fordert auf jedem Knoten die CPU an: 100 m, den Arbeitsspeicher: 100 Mi.
• Sorgen Sie dafür, dass der Clientcomputer, von dem Sie das verwaltete Cloud Service Mesh bereitstellen, eine Netzwerkverbindung zum API-Server hat.
• Ihre Cluster müssen in einer Flotte registriert sein. Dieser Schritt kann separat vor der Bereitstellung oder im Rahmen der Bereitstellung erfolgen. Übergeben Sie dazu die Flags --enable-registration und --fleet-id.

• In Ihrem Projekt muss das Service Mesh Flotten-Feature aktiviert sein. Sie können die Funktion im Rahmen der Bereitstellung aktivieren, indem Sie --enable-gcp-components übergeben oder den folgenden Befehl ausführen:

  gcloud container fleet mesh enable --project=FLEET_PROJECT_ID
  

  Dabei ist FLEET_PROJECT_ID die Projekt-ID des Flottenhostprojekts.

• GKE Autopilot wird nur ab der GKE-Version 1.21.3 unterstützt.

• Cloud Service Mesh kann mehrere GKE-Cluster in einer Umgebung mit einem einzelnen Projekt oder einer Umgebung mit einem einzelnen Netzwerk mit mehreren Projekten verwenden.

  • Wenn Sie Cluster zusammenführen, die sich nicht im selben Projekt befinden, müssen sie im selben Flottenhostprojekt registriert sein und die Cluster müssen sich zusammen in einer Konfiguration mit freigegebener VPC im selben Netzwerk befinden.
  • Bei einer Multi-Cluster-Umgebung mit einem einzelnen Projekt kann das Flottenprojekt mit dem Clusterprojekt identisch sein. Weitere Informationen zu Flotten finden Sie unter Flottenübersicht.
  • Für eine Umgebung mit mehreren Projekten empfehlen wir, die Flotte in einem anderen Projekt als den Clusterprojekten zu hosten. Wenn Ihre Organisationsrichtlinien und die vorhandene Konfiguration dies zulassen, empfehlen wir, das freigegebene VPC-Projekt als Flotten-Hostprojekt zu verwenden. Weitere Informationen finden Sie unter Cluster mit freigegebener VPC einrichten.
  • Wenn Ihre Organisation VPC Service Controls verwendet und Sie Cloud Service Mesh auf GKE-Clustern mit einer Version größer oder gleich 1.22.1-gke.10 bereitstellen, müssen Sie möglicherweise zusätzliche Konfigurationsschritte ausführen:
    • Wenn Sie Cloud Service Mesh in der regulären oder stabilen Release-Version bereitstellen, müssen Sie beim Anwenden der verwalteten Steuerungsebene das zusätzliche Flag --use-vpcsc verwenden und der Anleitung zu VPC Service Controls (Vorabversion) folgen. Andernfalls scheitert die Betereitstellung.
    • Wenn Sie Cloud Service Mesh in der schnellen Release-Version bereitstellen, müssen Sie beim Anwenden der verwalteten Steuerungsebene nicht das zusätzliche Flag --use-vpcsc verwenden. Allerdings müssen Sie der Anleitung für VPC Service Controls (GA) folgen.

Zum Installieren von Cloud Service Mesh erforderliche Rollen

In der folgenden Tabelle werden die Rollen beschrieben, die zum Installieren des verwalteten Cloud Service Mesh erforderlich sind.

Beschränkungen

Wir empfehlen, die Liste der von Cloud Service Mesh unterstützten Features und Einschränkungen zu lesen. Insbesondere ist Folgendes zu berücksichtigen:

• Die IstioOperator API wird nicht unterstützt, da sie hauptsächlich den Zugriff auf Clusterkomponenten steuert.

• Bei GKE Autopilot-Clustern wird die projektübergreifende Einrichtung nur mit GKE 1.23 oder höher unterstützt.

• Zur Anpassung an das GKE Autopilot-Ressourcenlimit werden für GKE Autopilot-Cluster die standardmäßigen Proxy-Ressourcenanfragen und -limits auf 500 m CPU und 512 MB Arbeitsspeicher festgelegt. Sie können die Standardwerte mit einer benutzerdefinierten Injektion überschreiben.

• Während des Bereitstellungsprozesses für eine verwaltete Steuerungsebene werden Istio-CRDs im angegebenen Cluster bereitgestellt. Wenn im Cluster vorhandene Istio-CRDs vorhanden sind, werden diese überschrieben

• Looker CNI und Cloud Service Mesh sind nicht mit GKE Sandbox kompatibel. Daher unterstützt das verwaltete Cloud Service Mesh mit der TRAFFIC_DIRECTOR-Implementierung keine Cluster mit aktivierter GKE Sandbox.

• Das asmcli-Tool muss Zugriff auf den GKE-Endpunkt (Google Kubernetes Engine) haben. Sie können den Zugriff über einen "Jump"-Server konfigurieren, z. B. eine Compute Engine-VM in der Virtual Private Cloud (VPC), die bestimmten Zugriff gewährt.

Hinweise

gcloud konfigurieren

Führen Sie die folgenden Schritte auch aus, wenn Sie Cloud Shell verwenden.

1. Authentifizieren Sie sich mit Google Cloud-CLI:

   gcloud auth login --project PROJECT_ID
   

   Dabei ist PROJECT_ID die eindeutige Kennung Ihres Clusterprojekts. Führen Sie den folgenden Befehl aus, um PROJECT_ID abzurufen:

      gcloud projects list --filter="<PROJECT ID>" --format="value(PROJECT_NUMBER)"
      ```
   

2. Aktualisieren Sie die Komponenten:

   gcloud components update
   

3. Konfigurieren Sie kubectl so, dass es auf den Cluster verweist.

   gcloud container clusters get-credentials CLUSTER_NAME \
        --zone CLUSTER_LOCATION \
        --project PROJECT_ID
   

Installationstool herunterladen

1. Laden Sie die neueste Version des Tools in das aktuelle Arbeitsverzeichnis herunter:

   curl https://storage.googleapis.com/csm-artifacts/asm/asmcli > asmcli
   

2. Machen Sie das Tool ausführbar:

   chmod +x asmcli
   

Jeden Cluster konfigurieren

Führen Sie die folgenden Schritte aus, um das verwaltete Cloud Service Mesh für jeden Cluster in Ihrem Mesh zu konfigurieren.

Verwaltete Steuerungsebene anwenden

Bevor Sie die verwaltete Steuerungsebene anwenden können, müssen Sie einen Release-Channel auswählen. Der Kanal sollte am besten mit dem Kanal des GKE-Clusters übereinstimmen. Mehrere Kanäle im selben Cluster werden nicht unterstützt.

Führen Sie das Installationstool für jeden Cluster aus, der das verwaltete Cloud Service Mesh verwendet. Wir empfehlen, die beiden folgenden Optionen anzugeben:

• --enable-registration --fleet_id FLEET_PROJECT_ID Diese beiden Flags registrieren den Cluster in einer Flotte, wobei FLEET_ID die Projekt-ID des Fleet-Hostprojekts ist. Bei Verwendung eines einzelnen Projekts sind FLEET_PROJECT_ID mit PROJECT_ID identisch. Das Flotten-Hostprojekt und das Clusterprojekt sind identisch. Bei komplexeren Konfigurationen wie mehreren Projekten empfehlen wir die Verwendung eines separaten Flotten-Hostprojekts.

• --enable-all Dieses Flag aktiviert sowohl die erforderlichen Komponenten als auch die Registrierung.

Das asmcli-Tool konfiguriert die verwaltete Steuerungsebene direkt mit Tools und Logik im CLI-Tool. Folgen Sie der nachstehenden Anleitungen je nach Ihrer bevorzugten Zertifizierungsstelle.

Zertifizierungsstellen

Wählen Sie eine Zertifizierungsstelle für Ihr Mesh aus.

  ./asmcli install \
      -p PROJECT_ID \
      -l LOCATION \
      -n CLUSTER_NAME \
      --fleet_id FLEET_PROJECT_ID \
      --managed \
      --verbose \
      --output_dir DIR_PATH \
      --enable-all

  ./asmcli install \
      -p PROJECT_ID \
      -l LOCATION \
      -n CLUSTER_NAME \
      --fleet_id FLEET_PROJECT_ID \
      --managed \
      --verbose \
      --output_dir DIR_PATH \
      --enable-all \
      --ca gcp_cas \
      --ca_pool pool_name

Das Tool lädt alle Dateien zum Konfigurieren der verwalteten Steuerungsebene in das angegebene Verzeichnis --output_dir herunter und installiert das istioctl-Tool und Beispielanwendungen. Bei den Schritten in diesem Leitfaden wird davon ausgegangen, dass Sie istioctl über den --output_dir-Speicherort ausführen, den Sie bei der Ausführung von asmcli install festgelegt haben, wobei istioctl im Unterverzeichnis <Istio release dir>/bin vorhanden ist.

Wenn Sie asmcli im selben Cluster noch einmal ausführen, wird die vorhandene Konfiguration der Steuerungsebene überschrieben. Achten Sie darauf, dass Sie dieselben Optionen und Flags angeben, wenn Sie dieselbe Konfiguration verwenden möchten.

Bereitstellung der Steuerungsebene prüfen

Prüfen Sie nach einigen Minuten, ob der Status der Steuerungsebene ACTIVE lautet:

gcloud container fleet mesh describe --project FLEET_PROJECT_ID

Die Ausgabe sieht etwa so aus:

membershipStates:
  projects/746296320118/locations/us-central1/memberships/demo-cluster-1:
    servicemesh:
      controlPlaneManagement:
        details:
        - code: REVISION_READY
          details: 'Ready: asm-managed'
        state: ACTIVE
      ...
    state:
      code: OK
      description: 'Revision(s) ready for use: asm-managed.'

Wenn der Status ACTIVE nicht innerhalb weniger Minuten erreicht, finden Sie unter Status der verwalteten Steuerungsebene prüfen weitere Informationen zu möglichen Fehlern.

Zero-Touch-Upgrades

Sobald die verwaltete Steuerungsebene installiert ist, führt Google ein Upgrade automatisch durch, wenn neue Releases oder Patches verfügbar sind.

Verwaltete Datenebene

Wenn Sie das verwaltete Cloud Service Mesh verwenden, verwaltet Google Upgrades Ihrer Proxys vollständig, sofern Sie es nicht deaktivieren.

Mit der verwalteten Datenebene werden die Sidecar-Proxys und eingefügten Gateways automatisch in Verbindung mit der verwalteten Steuerungsebene aktualisiert. Dazu werden Arbeitslasten neu gestartet, um neue Versionen des Proxys wieder einzufügen. Dies ist in der Regel 1–2 Wochen nach dem Upgrade der verwalteten Steuerungsebene abgeschlossen.

Wenn die Proxyverwaltung deaktiviert ist, wird sie durch den natürlichen Lebenszyklus der Pods im Cluster gesteuert und muss vom Nutzer manuell ausgelöst werden, um die Aktualisierungsrate zu steuern.

Die verwaltete Datenebene aktualisiert Proxys, indem sie Pods entfernt, die frühere Versionen des Proxys ausführen. Die Bereinigungen erfolgen schrittweise unter Berücksichtigung des Budgets für Pod-Störungen und zur Kontrolle der Änderungsrate.

Die verwaltete Datenebene verwaltet nicht Folgendes:

• Nicht eingefügte Pods
• Manuell eingefügte Pods
• Jobs
• StatefulSets
• DaemonSets

Wenn Sie ein verwaltetes Cloud Service Mesh auf einem älteren Cluster bereitgestellt haben, können Sie die Verwaltung der Datenebene für den gesamten Cluster aktivieren:

kubectl annotate --overwrite controlplanerevision -n istio-system \
REVISION_LABEL \
mesh.cloud.google.com/proxy='{"managed":"true"}'

Alternativ können Sie die verwaltete Datenebene selektiv für eine bestimmte Version, einen Namespace oder einen Pod der Steuerungsebene aktivieren, indem Sie sie mit derselben Annotation annotieren. Wenn Sie einzelne Komponenten selektiv steuern, wird in der Rangfolge die Überarbeitung der Steuerungsebene, dann der Namespace und dann der Pod berücksichtigt.

Es kann bis zu zehn Minuten dauern, bis der Dienst mit der Verwaltung der Proxys im Cluster bereit ist. Führen Sie den folgenden Befehl aus, um den Status zu prüfen:

gcloud container fleet mesh describe --project FLEET_PROJECT_ID

Erwartete Ausgabe

membershipStates:
  projects/PROJECT_NUMBER/locations/global/memberships/CLUSTER_NAME:
    servicemesh:
      dataPlaneManagement:
        details:
        - code: OK
          details: Service is running.
        state: ACTIVE
    state:
      code: OK
      description: 'Revision(s) ready for use: asm-managed-rapid.'

Wenn der Dienst nicht innerhalb von zehn Minuten bereit ist, lesen Sie die Informationen unter Status der verwalteten Datenebene.

Verwaltete Datenebene deaktivieren (optional)

Wenn Sie ein verwaltetes Cloud Service Mesh auf einem neuen Cluster bereitstellen, können Sie die verwaltete Datenebene vollständig oder für einzelne Namespaces oder Pods deaktivieren. Die verwaltete Datenebene ist für vorhandene Cluster, in denen sie standardmäßig oder manuell deaktiviert war, weiterhin deaktiviert.

Wenn Sie die verwaltete Datenebene auf Clusterebene deaktivieren und die Sidecar-Proxys wieder selbst verwalten möchten, ändern Sie die Annotation:

kubectl annotate --overwrite controlplanerevision -n istio-system \
  mesh.cloud.google.com/proxy='{"managed":"false"}'

So deaktivieren Sie die verwaltete Datenebene für einen Namespace:

kubectl annotate --overwrite namespace NAMESPACE \
  mesh.cloud.google.com/proxy='{"managed":"false"}'

So deaktivieren Sie die verwaltete Datenebene für einen Pod:

kubectl annotate --overwrite pod POD_NAME \
  mesh.cloud.google.com/proxy='{"managed":"false"}'

Wartungsbenachrichtigungen aktivieren

Sie können bis zu eine Woche vor der geplanten Wartung über die bevorstehende Wartung der verwalteten Datenebene informiert werden. Wartungsbenachrichtigungen werden nicht standardmäßig gesendet. Sie müssen außerdem ein GKE-Wartungsfenster konfigurieren, bevor Sie Benachrichtigungen erhalten können. Wenn diese Option aktiviert ist, werden Benachrichtigungen mindestens zwei Tage vor dem Upgradevorgang gesendet.

So aktivieren Sie Wartungsbenachrichtigungen für verwaltete Datenebenen:

1. Öffnen Sie die Seite Kommunikation.

   Zur Seite "Kommunikation"

2. Wählen Sie in der Zeile Cloud Service Mesh Upgrade in der Spalte E-Mail das Optionsfeld aus, um Wartungsbenachrichtigungen auf EIN zu setzen.

Jeder Nutzer, der Benachrichtigungen erhalten möchte, muss sich separat anmelden. Wenn Sie einen E-Mail-Filter für diese Benachrichtigungen festlegen möchten, lautet die Betreffzeile:

Upcoming upgrade for your Cloud Service Mesh cluster "CLUSTER_LOCATION/CLUSTER_NAME".

Das folgende Beispiel zeigt eine typische Wartungsbenachrichtigung für die verwaltete Datenebene:

Betreff: Anstehendes Upgrade für Ihren Cloud Service Mesh-Cluster „<location/cluster-name>“

Lieber Cloud Service Mesh-Nutzer,

Das Upgrade der Cloud Service Mesh-Komponenten in Ihrem Cluster ${instance_id} (https://console.cloud.google.com/kubernetes/clusters/details/${instance_id}/details?project=${project_id}) ist am ${scheduled_date_human_within} um ${scheduled_time_human_visible} geplant.

In den Versionshinweisen (https://cloud.google.com/service-mesh/docs/release-notes) finden Sie weitere Informationen zu diesem neuen Update.

Wenn diese Wartung gekündigt wird, erhalten Sie eine weitere Benachrichtigung.

Viele Grüße

Ihr Cloud Service Mesh-Team

(c) 2023 Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA Mit dieser Mitteilung informieren wir Sie über wichtige Änderungen, die die Google Cloud Platform oder Ihr Konto betreffen. Sie können Benachrichtigungen zu Wartungsfenstern deaktivieren, indem Sie Ihre Einstellungen anpassen: https://console.cloud.google.com/user-preferences/communication?project=${project_id}

Endpunkterkennung konfigurieren (nur für Installationen mit mehreren Clustern)

Wenn Ihr Mesh-Netzwerk nur einen Cluster hat, überspringen Sie diese Multi-Cluster-Schritte und fahren Sie mit Anwendungen bereitstellen oder Anwendungen migrieren fort.

Bevor Sie fortfahren, prüfen Sie, ob Cloud Service Mesh auf jedem Cluster konfiguriert ist.

Anwendungen bereitstellen

Aktivieren Sie den Namespace für die Injection: Die Schritte hängen von Ihrer Implementierung der Steuerungsebene ab.

kubectl label namespace NAMESPACE
    istio.io/rev- istio-injection=enabled --overwrite

  kubectl label namespace NAMESPACE \
      istio.io/rev- istio-injection=enabled --overwrite

Sie haben das verwaltete Cloud Service Mesh jetzt konfiguriert. Wenn Arbeitslasten in beschrifteten Namespaces vorhanden sind, starten Sie diese neu, damit sie Proxys eingeschleust werden.

Wenn Sie eine Anwendung in einer Multi-Cluster-Konfiguration bereitstellen, replizieren Sie die Kubernetes- und Steuerungsebene auf allen Clustern, sofern Sie diese bestimmte Konfiguration nicht auf eine Teilmenge von Clustern beschränken. Die auf einen bestimmten Cluster angewendete Konfiguration ist die "Source of Truth" für diesen Cluster.

Injektion anpassen (optional)

Sie können Standardwerte überschreiben und die Injection-Einstellungen anpassen. Dies kann jedoch zu unvorhergesehenen Konfigurationsfehlern und zu Problemen mit Sidecar-Containern führen. Bevor Sie die Injektion anpassen, sollten Sie die Informationen nach dem Beispiel lesen, um Hinweise zu bestimmten Einstellungen und Empfehlungen zu erhalten.

Diese Optionen können für einzelne Pods durch eine Konfiguration pro Pod überschrieben werden. Dazu fügen Sie dem Pod einen istio-proxy-Container hinzu. Die Sidecar-Injektion behandelt alle hier definierten Konfigurationen als Überschreibung der Standardvorlage für die Injektion.

Mit der folgenden Konfiguration werden beispielsweise verschiedene Einstellungen angepasst, einschließlich der Verringerung der CPU-Anfragen sowie des Hinzufügens einer Volume-Bereitstellung und eines preStop-Hooks:

apiVersion: v1
kind: Pod
metadata:
  name: example
spec:
  containers:
  - name: hello
    image: alpine
  - name: istio-proxy
    image: auto
    resources:
      requests:
        cpu: "200m"
        memory: "256Mi"
      limits:
        cpu: "200m"
        memory: "256Mi"
    volumeMounts:
    - mountPath: /etc/certs
      name: certs
    lifecycle:
      preStop:
        exec:
          command: ["sleep", "10"]
  volumes:
  - name: certs
    secret:
      secretName: istio-certs

Grundsätzlich kann jedes Feld in einem Pod festgelegt werden. Bei bestimmten Feldern ist jedoch Vorsicht geboten:

• Bei Kubernetes muss das Feld image festgelegt werden, bevor die Injektion ausgeführt wird. Sie können das Standard-Image durch ein bestimmtes Image überschreiben. Wir empfehlen jedoch, image auf auto zu setzen. Dadurch wird das zu verwendende Image vom Sidecar-Injektor automatisch ausgewählt.
• Einige Felder in containers sind abhängig von zugehörigen Einstellungen. Muss beispielsweise kleiner oder gleich dem CPU-Limit sein. Wenn beide Felder nicht ordnungsgemäß konfiguriert sind, kann der Pod möglicherweise nicht gestartet werden.
• Mit Kubernetes können Sie sowohl requests als auch limits für Ressourcen in Ihrem Pod-spec festlegen. GKE Autopilot berücksichtigt nur requests. Weitere Informationen finden Sie unter Ressourcenlimits in Autopilot festlegen.

Darüber hinaus können bestimmte Felder durch Annotationen auf dem Pod konfiguriert werden. Es wird jedoch empfohlen, den obigen Ansatz zum Anpassen von Einstellungen zu verwenden. Achten Sie besonders auf die folgenden Anmerkungen:

• Wenn für GKE Standard sidecar.istio.io/proxyCPU festgelegt ist, müssen Sie sidecar.istio.io/proxyCPULimit explizit festlegen. Andernfalls wird das CPU-Limit der Sidecar-Datei als unbegrenzt festgelegt.
• Wenn für GKE Standard sidecar.istio.io/proxyMemory festgelegt ist, müssen Sie sidecar.istio.io/proxyMemoryLimit explizit festlegen. Andernfalls wird das Arbeitsspeicherlimit der Sidecar-Datei als unbegrenzt festgelegt.
• Für GKE Autopilot kann das Konfigurieren der Ressourcen requests und limits mit Annotationen zu einer Überdimensionierung von Ressourcen führen. Nutzen Sie die Bildvorlage, die Sie vermeiden sollten. Beispiele für Ressourcenänderungen in Autopilot

Ein Beispiel finden Sie in der folgenden Anmerkung zu Ressourcen:

spec:
  template:
    metadata:
      annotations:
        sidecar.istio.io/proxyCPU: "200m"
        sidecar.istio.io/proxyCPULimit: "200m"
        sidecar.istio.io/proxyMemory: "256Mi"
        sidecar.istio.io/proxyMemoryLimit: "256Mi"

Messwerte der Steuerungsebene prüfen

Sie können die Version der Steuerungsebene und der Datenebene im Metrics Explorer ansehen.

So überprüfen Sie, ob Ihre Konfiguration wie erwartet funktioniert:

1. Sehen Sie sich in der Google Cloud Console die Messwerte der Steuerungsebene an:

   Zum Metrics Explorer

2. Wählen Sie Ihren Arbeitsbereich aus und fügen Sie mit den folgenden Parametern eine benutzerdefinierte Abfrage hinzu:

   • Ressourcentyp: Kubernetes-Container
   • Messwert: Proxy-Clients
   • Filter: container_name="cr-REVISION_LABEL"
   • Gruppieren nach: Label revision und proxy_version Label
   • Aggregator: Summe
   • Zeitraum: 1 Minute

   Wenn Sie Cloud Service Mesh sowohl mit einer von Google verwalteten als auch einer clusterinternen Steuerungsebene ausführen, können Sie die Messwerte anhand ihres Containernamens unterscheiden. Beispielsweise haben verwaltete Messwerte den Wert container_name="cr-asm-managed", während nicht verwatete Messwerte container_name="discovery" haben. Entfernen Sie den Filter für container_name="cr-asm-managed", um Messwerte aus beiden anzuzeigen.

3. Prüfen Sie die Version der Steuerungsebene und die Proxyversion anhand der folgenden Felder in Metrics Explorer:

   • Das Feld Überarbeitung gibt die Version der Steuerungsebene an.
   • Das Feld proxy_version gibt die proxy_version an.
   • Das Feld Wert gibt die Anzahl der verbundenen Proxys an.

   Informationen zur aktuellen Versionszuordnung zwischen Cloud Service Mesh finden Sie unter Cloud Service Mesh-Versionen pro Kanal.

Anwendungen zum verwalteten Cloud Service Mesh migrieren

Migration vorbereiten

Führen Sie die folgenden Schritte aus, um die Migration von Anwendungen vom Cloud Service Mesh im Cluster zum verwalteten Cloud Service Mesh vorzubereiten:

1. Führen Sie das Tool wie unter Von Google verwaltete Steuerungsebene anwenden beschrieben aus.

2. (Optional) Wenn Sie die von Google verwaltete Datenebene verwenden möchten, aktivieren Sie die Verwaltung der Datenebene:

     kubectl annotate --overwrite controlplanerevision REVISION_TAG \
     mesh.cloud.google.com/proxy='{"managed":"true"}'
   

Anwendungen migrieren

Führen Sie die folgenden Schritte aus, um Anwendungen vom clusterinternen Cloud Service Mesh zum verwalteten Cloud Service Mesh zu migrieren:

1. Ersetzen Sie das aktuelle Namespace-Label. Die Schritte hängen von Ihrer Implementierung der Steuerungsebene ab.

kubectl label namespace NAMESPACE
    istio.io/rev- istio-injection=enabled --overwrite

  kubectl label namespace NAMESPACE \
      istio.io/rev- istio-injection=enabled --overwrite

1. So führen Sie ein Rolling Upgrade von Bereitstellungen im Namespace durch:

   kubectl rollout restart deployment -n NAMESPACE
   

2. Testen Sie Ihre Anwendung, um zu prüfen, ob die Arbeitslasten ordnungsgemäß funktionieren.

3. Wenn Sie Arbeitslasten in anderen Namespaces haben, wiederholen Sie die vorherigen Schritte für jeden Namespace.

4. Wenn Sie die Anwendung in einer Multi-Cluster-Einrichtung bereitgestellt haben, replizieren Sie die Kubernetes- und Istio-Konfiguration in allen Clustern, es sei denn, Sie möchten die Konfiguration auf eine Teilmenge von Clustern beschränken. Die auf einen bestimmten Cluster angewendete Konfiguration ist die "Source of Truth" für diesen Cluster.

Wenn Sie mit der Anwendung zufrieden sind, können Sie den clusterinternen istiod entfernen, nachdem Sie alle Namespaces für die verwaltete Steuerungsebene geändert haben oder diese als Sicherung beibehalten. istiod wird automatisch herunterskaliert, um weniger Ressourcen zu verwenden. Fahren Sie mit Alte Steuerungsebene löschen fort.

Falls Probleme auftreten, können Sie diese bestimmen und beheben. Dazu verwenden Sie die Informationen unter Probleme mit der verwalteten Steuerungsebene beheben und führen bei Bedarf ein Rollback auf die vorherige Version durch.

kubectl delete Service,Deployment,HorizontalPodAutoscaler,PodDisruptionBudget istiod -n istio-system --ignore-not-found=true

kubectl -n istio-system rollout undo deploy istio-ingressgateway

deployment.apps/istio-ingressgateway rolled back

Deinstallieren

Die verwaltete Steuerungsebene wird automatisch auf null skaliert, wenn sie nicht von Namespaces verwendet wird. Eine ausführliche Anleitung finden Sie unter Cloud Service Mesh deinstallieren.

Fehlerbehebung

Informationen zum Identifizieren und Beheben von Problemen bei der Verwendung der verwalteten Steuerungsebene finden Sie unter Probleme mit der verwalteten Steuerungsebene beheben.

Nächste Schritte

• Mehr über Release-Versionen erfahren
• Von IstioOperator migrieren
• Gateway zur verwalteten Steuerungsebene migrieren
• Optionale verwaltete Cloud Service Mesh-Features aktivieren, z. B.:
  • Envoy-Zugriffslogs
  • Tracing
  • Distroless-Images
  • Endnutzerauthentifizierung