Anthos Service Mesh y Traffic Director ahora son Cloud Service Mesh. Para obtener más información, consulta la descripción general de Cloud Service Mesh.

Se usó la API de Cloud Translation para traducir esta página.

Configura el balanceador de cargas de aplicaciones clásico para Cloud Service Mesh

Descripción general

Este documento es para ti si eres un usuario existente de Cloud Service Mesh que tiene el plano de control administrado de Istio y deseas configurar el balanceador de cargas de aplicaciones clásico como una puerta de enlace de entrada. El balanceador de cargas de aplicaciones clásico también se conoce como balanceador de cargas de aplicaciones externo clásico.

No uses este documento si eres un usuario nuevo de Cloud Service Mesh. Los usuarios nuevos se configuran automáticamente con el plano de control administrado de Cloud Service Mesh. No puedes usar la configuración que se describe en este documento con el plano de control administrado de Cloud Service Mesh.

El balanceo de cargas de Cloud proporciona muchas capacidades de borde administradas en la nube, como el balanceo de cargas anycast global, los certificados administrados por Google, Identity and Access Management, el firewall de nueva generación de Cloud y el sistema de detección de intrusiones de Cloud. Cloud Service Mesh puede integrar sin problemas estas funciones de perímetro en el siguiente modelo de entrada de malla. La puerta de enlace de Cloud Service Mesh proporciona una forma unificada de configurar la puerta de enlace de entrada de Cloud Service Mesh con el balanceo de cargas de Cloud de forma simultánea a través de la API de la puerta de enlace de Kubernetes.

Diagrama que muestra un balanceador de cargas con la malla de servicios de Cloud

En comparación con nuestra guía de usuario anterior, Del perímetro a la malla: Exposición de aplicaciones de la malla de servicios a través de Ingress de GKE, con la puerta de enlace de la nube de la malla de servicios, este modelo ahora se puede implementar a través de un recurso de puerta de enlace de Kubernetes que simplifica el proceso de implementación del balanceo de cargas alojado en la nube y en el clúster.

Limitaciones de la vista previa

En la versión preliminar de esta función, se aplican las siguientes limitaciones:

No se admiten puertas de enlace de varios clústeres.
Los clústeres de Autopilot no son compatibles.
Solo se admite el balanceador de cargas de aplicaciones clásico. No se admiten el balanceador de cargas de aplicaciones externo global (a veces llamado balanceador de cargas avanzado) ni el balanceador de cargas de aplicaciones interno.
El tráfico entre el balanceador de cargas de aplicaciones clásico y la puerta de enlace de entrada de Cloud Service Mesh se encripta con TLS. Sin embargo, el balanceador de cargas de aplicaciones clásico no verificará el certificado que proporciona la puerta de enlace de entrada de Cloud Service Mesh. Esta limitación se aplica a todos los usuarios del Google Cloud balanceador de cargas de HTTP(S).
Si se borran los GatewayClasses de Cloud Service Mesh de un clúster, no se volverán a instalar automáticamente. Sin embargo, esto no afectará la usabilidad de la función.
La lógica de coincidencia de rutas no sigue las especificaciones de la API de Gateway y, en su lugar, coincide con el orden de HTTPRoute. Esto cambiará en versiones futuras para seguir las especificaciones de la API de Gateway.

Requisitos

Cloud Service Mesh administrado instalado en un clúster de Google Kubernetes Engine (GKE) que ejecute la versión 1.24 o una posterior No se admiten otros clústeres de GKE Enterprise.
Solo la versión v1beta1 de la API de Kubernetes Gateway

Requisitos previos

Habilita las siguientes APIs en tu proyecto:

compute.googleapis.com
container.googleapis.com
certificatemanager.googleapis.com
serviceusage.googleapis.com

gcloud services enable \
   compute.googleapis.com \
   container.googleapis.com \
   certificatemanager.googleapis.com \
   serviceusage.googleapis.com

Implementa la puerta de enlace de Cloud malla de servicios para una malla de un solo clúster

En esta sección, se muestra cómo implementar un recurso de puerta de enlace de Kubernetes que implementa un balanceador de cargas de aplicaciones clásico y una puerta de enlace de entrada de Cloud Service Mesh.

Habilita la API de Gateway con la malla de servicios administrada de Cloud

Habilita la API de Gateway en tu clúster. El clúster de GKE debe estar en la versión 1.24 o posterior.
Instala Cloud Service Mesh administrado con rapid o regular como canal de lanzamiento.

Implementa el recurso de puerta de enlace

Cuando se implementa la puerta de enlace de la malla de servicios en la nube, los recursos de la puerta de enlace de Kubernetes se usan para implementar la puerta de enlace de entrada de Cloud Load Balancing y Cloud Service Mesh en un solo paso. Ten en cuenta que los recursos de la puerta de enlace de Kubernetes son diferentes de los de la puerta de enlace de Istio.

Para obtener más información sobre las diferencias, consulta Puertas de enlace de Kubernetes y puertas de enlace de Istio. Cada puerta de enlace de Kubernetes tiene una GatewayClass que indica su tipo y sus capacidades inherentes. La puerta de enlace de Cloud malla de servicios tiene una GatewayClass que tiene la capacidad de implementar la puerta de enlace de entrada de Cloud Load Balancing y Cloud Service Mesh.

Guarda el siguiente manifiesto de GatewayClass en un archivo llamado l7-gateway-class.yaml:

apiVersion: gateway.networking.k8s.io/v1beta1
kind: GatewayClass
metadata:
  name: asm-l7-gxlb
spec:
  controllerName: mesh.cloud.google.com/gateway

Implementa la GatewayClass en tu clúster:
```
kubectl apply -f l7-gateway-class.yaml
```
Verifica que GatewayClass esté presente después de la instalación:
```
kubectl get gatewayclasses.gateway.networking.k8s.io
```
El resultado es similar al siguiente:
```
NAME          CONTROLLER
asm-l7-gxlb   mesh.cloud.google.com/gateway
gke-l7-rilb   networking.gke.io/gateway
gke-l7-gxlb   networking.gke.io/gateway
```
Es posible que la implementación de todos los recursos tarde unos minutos. Si no ves el resultado esperado, verifica que hayas cumplido correctamente con los requisitos previos.

También verás la siguiente GatewayClass:
```
gke-l7-gxlb   networking.gke.io/gateway
```
Se usa para implementar el balanceador de cargas de aplicaciones clásico subyacente de Google Cloud.
Crea un espacio de nombres dedicado para la puerta de enlace de la nube de tu malla de servicios:
```
kubectl create namespace istio-ingress
```

Guarda el siguiente manifiesto de Gateway en un archivo llamado gateway.yaml:

kind: Gateway
apiVersion: gateway.networking.k8s.io/v1beta1
metadata:
  name: servicemesh-cloud-gw
  namespace: istio-ingress
spec:
  gatewayClassName: asm-l7-gxlb
  listeners:
  - name: http
    protocol: HTTP
    port: 80
    allowedRoutes:
      namespaces:
        from: All

Implementa la puerta de enlace en tu clúster en el espacio de nombres istio-ingress:
```
kubectl apply -f gateway.yaml
```

Verifica que se hayan creado los objetos de la API de la puerta de enlace de Kubernetes:

kubectl get gateways.gateway.networking.k8s.io -n istio-ingress

El resultado es similar al siguiente:

NAME                                CLASS         ADDRESS         READY   AGE
asm-gw-gke-servicemesh-cloud-gw     gke-l7-gxlb   34.111.114.64   True    9m40s
asm-gw-istio-servicemesh-cloud-gw   istio                                 9m44s
servicemesh-cloud-gw                asm-l7-gxlb                           9m44s

Cuando se implemente este objeto de la API de Kubernetes Gateway, ocurrirá lo siguiente:

Se implementa y configura un balanceador de cargas HTTP(S) externo. Es posible que demore unos minutos en aparecer, pero, cuando lo haga, la puerta de enlace indicará la dirección IP y se anotará con los nombres de los recursos del balanceador de cargas de Compute Engine que se crearon.
Se crea una Deployment de puerta de enlace de entrada de Cloud Service Mesh en el espacio de nombres istio-ingress. Esto crea las instancias de proxy de Envoy que recibirán tráfico del balanceador de cargas.
El balanceador de cargas encriptará y enrutará todo el tráfico a la puerta de enlace de entrada de Cloud Service Mesh.

Ahora tienes toda la infraestructura necesaria para aceptar el tráfico de Internet en tu malla. Ten en cuenta que esta es la implementación de puerta de enlace más simple posible. En las siguientes secciones, agregarás políticas y capacidades adicionales que lo prepararán para la producción.

Implementación de apps y enrutamiento

Para demostrar por completo las capacidades, implementarás una aplicación en Cloud Service Mesh y recibirás tráfico de Internet a través de tu puerta de enlace, por ejemplo.

Etiqueta el espacio de nombres default para habilitar la inserción del sidecar.

kubectl label namespace default istio-injection=enabled istio.io/rev- --overwrite

Guarda el siguiente manifiesto de Gateway en un archivo llamado whereami.yaml:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: whereami-v1
spec:
  replicas: 2
  selector:
    matchLabels:
      app: whereami-v1
  template:
    metadata:
      labels:
        app: whereami-v1
    spec:
      containers:
      - name: whereami
        image: us-docker.pkg.dev/google-samples/containers/gke/whereami:v1
        ports:
          - containerPort: 8080
        env:
        - name: METADATA
          value: "whereami-v1"
---
apiVersion: v1
kind: Service
metadata:
  name: whereami-v1
spec:
  selector:
    app: whereami-v1
  ports:
  - port: 8080
    targetPort: 8080
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: whereami-v2
spec:
  replicas: 2
  selector:
    matchLabels:
      app: whereami-v2
  template:
    metadata:
      labels:
        app: whereami-v2
    spec:
      containers:
      - name: whereami
        image: us-docker.pkg.dev/google-samples/containers/gke/whereami:v1
        ports:
          - containerPort: 8080
        env:
        - name: METADATA
          value: "whereami-v2"
---
apiVersion: v1
kind: Service
metadata:
  name: whereami-v2
spec:
  selector:
    app: whereami-v2
  ports:
  - port: 8080
    targetPort: 8080

Este manifiesto crea Service/whereami-v1, Service/whereami-v2, Deployment/whereami-v1 y Deployment/whereami-v2 para whereami, una aplicación simple que genera JSON para indicar su identidad y ubicación. Implementarás dos versiones diferentes.

Crea los servicios y las implementaciones:
```
kubectl apply -f whereami.yaml
```
Una vez que esté en funcionamiento, tendrás cuatro pods de whereami en ejecución en tu clúster.

Verifica que los cuatro pods se estén ejecutando:

kubectl get pods

El resultado es similar al siguiente:

whereami-v1-7c76d89d55-qg6vs       2/2     Running   0          28s
whereami-v1-7c76d89d55-vx9nm       2/2     Running   0          28s
whereami-v2-67f6b9c987-p9kqm       2/2     Running   0          27s
whereami-v2-67f6b9c987-qhj76       2/2     Running   0          27s

Guarda el siguiente manifiesto de HTTPRoute en un archivo llamado http-route.yaml:

kind: HTTPRoute
apiVersion: gateway.networking.k8s.io/v1beta1
metadata:
  name: where-route
spec:
 parentRefs:
 - kind: Gateway
   name: servicemesh-cloud-gw
   namespace: istio-ingress
 hostnames:
 - "where.example.com"
 rules:
 - matches:
   - headers:
     - name: version
       value: v2
   backendRefs:
   - name: whereami-v2
     port: 8080
 - backendRefs:
   - name: whereami-v1
     port: 8080

Implementa http-route.yaml en el clúster:
```
kubectl apply -f http-route.yaml
```
Esta HTTPRoute hace referencia a servicemesh-cloud-gw, lo que significa que configurará la puerta de enlace de Cloud Service Mesh para que configure la puerta de enlace de entrada de Cloud Service Mesh subyacente con estas reglas de enrutamiento. HTTPRoute realiza la misma función que Istio VirtualService, pero usa la API de Kubernetes Gateway para hacerlo. Como la API de Gateway es una especificación de OSS con muchas implementaciones subyacentes, es la mejor API adecuada para definir el enrutamiento en una combinación de diferentes balanceadores de cargas (como los proxies y balanceadores de cargas de Cloud Service Mesh).

Recupera la dirección IP de la puerta de enlace para que puedas enviar tráfico a tu aplicación:

VIP=$(kubectl get gateways.gateway.networking.k8s.io asm-gw-gke-servicemesh-cloud-gw -o=jsonpath="{.status.addresses[0].value}" -n istio-ingress)

El resultado es una dirección IP.

echo $VIP

34.111.61.135

Envía tráfico a la dirección IP de la puerta de enlace para validar que esta configuración funcione correctamente. Envía una solicitud con el encabezado version: v2 y una sin él para determinar que el enrutamiento se realiza correctamente en las dos versiones de la aplicación.

curl ${VIP} -H "host: where.example.com"

{
  "cluster_name": "gke1",
  "host_header": "where.example.com",
  "metadata": "whereami-v1",
  "node_name": "gke-gke1-default-pool-9b3b5b18-hw5z.c.church-243723.internal",
  "pod_name": "whereami-v1-67d9c5d48b-zhr4l",
  "pod_name_emoji": "⚒",
  "project_id": "church-243723",
  "timestamp": "2021-02-08T18:55:01",
  "zone": "us-central1-a"
}

curl ${VIP} -H "host: where.example.com" -H "version: v2"

{
  "cluster_name": "gke1",
  "host_header": "where.example.com",
  "metadata": "whereami-v2",
  "node_name": "gke-gke1-default-pool-9b3b5b18-hw5z.c.church-243723.internal",
  "pod_name": "whereami-v2-67d9c5d48b-zhr4l",
  "pod_name_emoji": "⚒",
  "project_id": "church-243723",
  "timestamp": "2021-02-08T18:55:01",
  "zone": "us-central1-a"
}

Implementación de la puerta de enlace de producción

En la sección anterior, se mostró un ejemplo muy simple de la puerta de enlace de la nube de la malla de servicios. En los siguientes pasos, se basa en el ejemplo simple para mostrar una configuración lista para producción que demuestra las ventajas de delegar algunas de las funciones de enrutamiento de entrada al balanceador de cargas.

En el siguiente ejemplo, tomarás el servicemesh-cloud-gw de la sección anterior y agregarás las siguientes funciones para crear una puerta de enlace más segura y fácil de administrar:

Implementa la puerta de enlace con una dirección IP estática que se retendrá incluso si cambia la infraestructura subyacente.
Convierte la puerta de enlace para que reciba tráfico HTTPS con un certificado autofirmado.

Crea una dirección IP externa estática. Una IP estática es útil porque la infraestructura subyacente puede cambiar en el futuro, pero la dirección IP se puede retener.
```
gcloud compute addresses create whereami-ip \
    --global \
    --project PROJECT_ID
```

Crea un certificado autofirmado para el dominio where-example-com:

openssl genrsa -out key.pem 2048
cat <<EOF >ca.conf
[req]
default_bits              = 2048
req_extensions            = extension_requirements
distinguished_name        = dn_requirements
prompt                    = no
[extension_requirements]
basicConstraints          = CA:FALSE
keyUsage                  = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName            = @sans_list
[dn_requirements]
0.organizationName        = example
commonName                = where.example.com
[sans_list]
DNS.1                     = where.example.com
EOF

openssl req -new -key key.pem \
    -out csr.pem \
    -config ca.conf

openssl x509 -req \
    -signkey key.pem \
    -in csr.pem \
    -out cert.pem \
    -extfile ca.conf \
    -extensions extension_requirements \
    -days 365

gcloud compute ssl-certificates create where-example-com \
    --certificate=cert.pem \
    --private-key=key.pem \
    --global \
    --project PROJECT_ID

Existen muchas formas de generar certificados TLS. Se pueden generar de forma manual en la línea de comandos, mediante certificados administrados por Google o de forma interna en el sistema de infraestructura de clave pública (PKI) de tu empresa. En este ejemplo, generas manualmente un certificado autofirmado. Si bien los certificados autofirmados no se suelen usar para servicios públicos, demuestran estos conceptos con mayor facilidad.

Para obtener más información sobre cómo crear un certificado autofirmado a través de un Secret de Kubernetes, consulta Protege una puerta de enlace.

Actualiza gateway.yaml con el siguiente manifiesto:

kind: Gateway
apiVersion: gateway.networking.k8s.io/v1beta1
metadata:
  name: servicemesh-cloud-gw
  namespace: istio-ingress
spec:
  gatewayClassName: asm-l7-gxlb
  listeners:
  - name: http
    protocol: HTTP
    port: 80
    allowedRoutes:
      namespaces:
        from: All
  - name: https
    protocol: HTTPS
    port: 443
    allowedRoutes:
      namespaces:
        from: All
    tls:
      mode: Terminate
      options:
        networking.gke.io/pre-shared-certs: where-example-com
  addresses:
  - type: NamedAddress
    value: whereami-ip

Vuelve a implementar la puerta de enlace en tu clúster:
```
kubectl apply -f gateway.yaml
```

Obtén la dirección IP de la IP estática:

VIP=$(gcloud compute addresses describe whereami-ip --global --format="value(address)")

Usa curl para acceder al dominio de la puerta de enlace. Debido a que el DNS no está configurado para este dominio, usa la opción --resolve para indicarle a curl que resuelva el nombre de dominio a la dirección IP de la puerta de enlace:

curl https://where.example.com --resolve where.example.com:443:${VIP} --cacert cert.pem -v

Una vez que se complete, el resultado será similar al siguiente:

...
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-CHACHA20-POLY1305
* ALPN, server accepted to use h2
* Server certificate:
*  subject: O=example; CN=where.example.com
*  start date: Apr 19 15:54:50 2021 GMT
*  expire date: Apr 19 15:54:50 2022 GMT
*  common name: where.example.com (matched)
*  issuer: O=example; CN=where.example.com
*  SSL certificate verify ok.
...
{
  "cluster_name": "gke1",
  "host_header": "where.example.com",
  "metadata": "where-v1",
  "node_name": "gke-gw-default-pool-51ccbf30-yya8.c.agmsb-k8s.internal",
  "pod_name": "where-v1-84b47c7f58-tj5mn",
  "pod_name_emoji": "😍",
  "project_id": "agmsb-k8s",
  "timestamp": "2021-04-19T16:30:08",
  "zone": "us-west1-a"
}

El resultado detallado incluye un protocolo de enlace TLS exitoso seguido de una respuesta de la aplicación, como el siguiente resultado. Esto demuestra que TLS se cierra en la puerta de enlace correctamente y que la aplicación responde al cliente de forma segura.

Implementaste correctamente la siguiente arquitectura:

Arquitectura de ASM

servicemesh-cloud-gw y su GatewayClass asm-l7-gxlb abstrajeron algunos componentes de infraestructura interna para simplificar la experiencia del usuario. Cloud Load Balancing finaliza el tráfico TLS con un certificado interno y también verifica el estado de la capa de proxy de la puerta de enlace de entrada de la malla de servicios de Cloud. El whereami-route implementado en la implementación de App y enrutamiento configura los proxies de la puerta de enlace de entrada de Cloud Service Mesh para enrutar el tráfico al servicio alojado en la malla correcto.