Referência do asmcli
Nesta página, descrevemos os argumentos disponíveis para asmcli
.
Opções
Identifique o cluster Você tem as seguintes opções para identificar o cluster:
-p|--project_id CLUSTER_PROJECT_ID
- O ID do projeto em que o cluster foi criado.
-n|--cluster_name CLUSTER_NAME
- O nome do cluster.
-l|--cluster_location CLUSTER_LOCATION
- A zona (nos clusters de zona única) ou a região (nos clusters regionais) em que o cluster foi criado.
--kubeconfig KUBECONFIG_FILE
O caminho completo para o arquivo kubeconfig. A variável de
ambiente $PWD
não funciona aqui.
--ctx|--context KUBE_CONTEXT
O contexto kubeconfig a ser usado. Se não especificado,
asmcli
usa o contexto padrão.
-c|--ca {mesh_ca|gcp_cas|citadel}
A autoridade de certificação (CA) a ser usada para gerenciar certificados TLS mútuos. Especifique
mesh_ca
para usar a autoridade certificadora do Cloud Service Mesh,gcp_cas
para usar o Certificate Authority Service oucitadel
para usar a CA do Istio. O Cloud Service Mesh gerenciado não é compatível com a CA do Istio. Para mais informações, consulte os links a seguir:--co|--custom_overlay OVERLAY_FILE
Use
--custom_overly
com o nome de um arquivo YAML (chamado de arquivo de sobreposição) que contém o recurso personalizadoIstioOperator
para configurar o plano de controle no cluster. Especifique um arquivo de sobreposição para ativar um recurso que não está ativado por padrão. O Cloud Service Mesh gerenciado não é compatível com a APIIstioOperator
. Portanto, não é possível usar--custom_overlay
para configurar o plano de controle gerenciado.asmcli
precisa conseguir localizar o arquivo de sobreposição. Por isso, ele precisa estar no mesmo diretório queasmcli
ou você pode especificar um caminho relativo. Para adicionar vários arquivos, especifique--co|--custom_overlay
e o nome do arquivo, por exemplo:--co overlay_file1.yaml --co overlay_file2.yaml --co overlay_file3.yaml
--hub-registration-extra-flags HUB_REGISTRATION_EXTRA_FLAGS
Se você estiver usando clusters do Amazon EKS anexados, use
--hub-registration-extra-flags
para registrar o cluster na frota caso ele ainda não esteja registrado.-k|--key_file FILE_PATH
O arquivo de chave de uma conta de serviço. Omita essa opção se não estiver usando uma conta de serviço.
--network_id NETWORK_ID
Use
--network_id
para definir o rótulotopology.istio.io/network
aplicado ao namespaceistio-system
. Para o GKE,--network_id
tem como padrão o nome da rede do cluster. Para outros ambientes,default
será usado.-o|--option OVERLAY_FILE
O nome do arquivo de sobreposição (sem a extensão
.yaml
) queasmcli
faz o download do repositórioanthos-service-mesh
para ativar um recurso opcional. Você precisa de conectividade com a Internet para usar o--option
. As opções--option
e--custom_overlay
são semelhantes, mas têm comportamentos um pouco diferentes:Use
--custom_overlay
quando precisar alterar as configurações no arquivo de sobreposição.Use
--option
para ativar um recurso que não exija alterações no arquivo de sobreposição, por exemplo, para configurar políticas de auditoria dos serviços.
Para adicionar vários arquivos, especifique
-o|--option
e o nome do arquivo. Por exemplo:-o option_file1 -o option_file2 -o option_file3
-D|--output_dir DIR_PATH
Se não for especificado, o
asmcli
vai criar um diretório temporário em que fará o download dos arquivos e das configurações necessárias para instalar o Cloud Service Mesh. Especifique a sinalização--output-dir
para especificar um caminho relativo para um diretório a ser usado. Após a conclusão, o diretório especificado conterá os subdiretóriosasm
eistio-1.23.3-asm.1
. O diretórioasm
contém a configuração da instalação. O diretórioistio-1.23.3-asm.1
contém o conteúdo extraído do arquivo de instalação, que contémistioctl
, amostras e manifestos. Se você especificar--output-dir
e o diretório já contiver os arquivos necessários, oasmcli
usará esses arquivos em vez de fazer o download deles novamente.--platform PLATFORM {gcp|multicloud}
A plataforma ou o provedor do cluster do Kubernetes. O padrão é
gcp
(para clusters do GKE). Para todas as outras plataformas, usemulticloud
.-r|--revision_name REVISION NAME
Um rótulo de revisão é um par de chave-valor definido no plano de controle. A chave do rótulo de revisão é sempre
istio.io/rev
. Por padrão, oasmcli
define o valor do rótulo de revisão com base na versão do Cloud Service Mesh, por exemplo:asm-1233-2
. Inclua essa opção se quiser modificar o valor padrão e especificar seu próprio valor. O argumentoREVISION NAME
precisa ser um rótulo DNS-1035. Isso significa que o nome precisa:- conter no máximo 63 caracteres
- conter apenas caracteres alfanuméricos minúsculos ou '-'
- começam com um caractere alfabético
- terminar com um caractere alfanumérico.
O regex usado para validação é: '[a-z]([-a-z0-9]*[a-z0-9])?'
-s|--service_account ACCOUNT
- O nome de uma conta de serviço usada para instalar o Cloud Service Mesh. Se não for especificado, a conta de usuário ativa na configuração de
gcloud
atual será usada. Se você precisar alterar a conta de usuário ativa, execute gcloud auth login.
Opções para o certificado personalizado de CA do Istio
Se você especificou --ca citadel
e está usando uma CA personalizada, inclua as seguintes
opções:
--ca_cert FILE_PATH
: o certificado intermediário--ca_key FILE_PATH
: a chave do certificado intermediário.--root_cert FILE_PATH
: o certificado raiz--cert_chain FILE_PATH
: a cadeia de certificados
Para ver mais informações, consulte Como conectar certificados de CA existentes.
Sinalizações de ativação
As sinalizações que começam com --enable
permitem que o asmcli
ative as
APIs do Google, defina as permissões Identity and Access Management (IAM) obrigatórias e atualize o cluster. Se preferir, atualize o projeto e o cluster
antes de executar o asmcli
. Todas as sinalizações de ativação são incompatíveis com
asmcli validate
. Se você especificar uma sinalização de ativação ao executar
asmcli validate
, o comando terminará com um erro.
-e|--enable_all
- Permita que
asmcli
execute todas as ações de ativação individuais descritas abaixo. --enable_cluster_roles
- Permita que
asmcli
tente vincular a conta de usuário ou serviço do Google Cloud que está executandoasmcli
ao papelcluster-admin
no cluster.asmcli
determina a conta de usuário do comandogcloud config get core/account
. Se você estiver executandoasmcli
localmente com uma conta de usuário, lembre-se de chamar o comandogcloud auth login
antes de executarasmcli
. Se você precisar alterar a conta de usuário, execute o comandogcloud config set core/account GCP_EMAIL_ADDRESS
em que GCP_EMAIL_ADDRESS é a conta que você usa para fazer login no Google Cloud. --enable_cluster_labels
- Permita que
asmcli
defina os rótulos de cluster necessários. --enable_gcp_components
Permita que
asmcli
ative os seguintes serviços e componentes gerenciados do Google Cloud:Identidade da carga de trabalho, que permite que os aplicativos do GKE acessem os serviços do Google Cloud com segurança.
--enable_gcp_apis
Permitir que
asmcli
ative todas as APIs necessárias do Google.--enable_gcp_iam_roles
Permita que
asmcli
defina as permissões do IAM necessárias.--enable_meshconfig_init
Permita que o script inicialize o endpoint meshconfig em seu nome. Implícito por
--enable_gcp_components
e--managed
.--enable_namespace_creation
Permita que
asmcli
crie o namespaceistio-system
raiz.--enable_registration
Permitir que
asmcli
registre o cluster no projeto em que o cluster está. Se não incluir essa sinalização, siga as etapas em Como registrar um cluster e registre-o manualmente. Observe que, ao contrário das outras sinalizações de ativação,--enable_registration
é incluído apenas em--enable_all
quando você especifica uma opção (como--option hub-meshca
) que requer registro do cluster. Caso contrário, será necessário especificar essa sinalização separadamente.
Outras sinalizações
--dry_run
- Imprima comandos, mas não os execute.
--fleet_id
- Registre um cluster em uma frota usando o ID do projeto host da frota. Essa sinalização é
necessária para clusters que não são do Google Cloud. Quando não fornecido para
clusters do Google Cloud, o padrão é o ID do projeto do cluster. Execute
asmcli install
com--fleet_id
antes da instalação ou como parte da instalação transmitindo as sinalizações--enable-registration
e--fleet-id
. Não será possível mudar essa configuração depois. --managed
- Provisionar um plano de controle remoto gerenciado em vez de instalar um no cluster.
--offline
- Execute uma instalação off-line usando o pacote pré-baixado no diretório de saída. Se o diretório não for especificado ou não tiver os arquivos necessários, o script será encerrado com erro.
--only_enable
- Execute as etapas especificadas para configurar o usuário/cluster atual, mas não instala nada.
--only_validate
- Execute a validação, mas não atualize o projeto ou o cluster, nem instale
o Cloud Service Mesh. Essa sinalização é incompatível com as sinalizações de ativação.
asmcli
terminará com um erro se você especificar--only_validate
com qualquer sinalização de ativação. --print_config
- Em vez de instalar o Cloud Service Mesh, imprima todo o YAML compilado para a
saída padrão (stdout). Todas as outras saídas são gravadas no erro padrão
(stderr), mesmo que você normalmente acesse stdout.
asmcli
ignora todas as validações e configurações quando você especifica essa sinalização. --disable_canonical_service
- Por padrão,
asmcli
implanta o controlador de serviço canônico no cluster. Se você não quiser queasmcli
implante o controlador, especifique--disable_canonical_service
. Para mais informações, consulte Como ativar e desativar o controlador de serviço canônico. -h|--help
- Mostra uma mensagem de ajuda que descreve as opções e sinalizações, e depois sai.
--use_managed_cni
- Use a CNI gerenciada. Se essa sinalização não for
transmitida,
asmcli
aplicará os manifestos CNI estáticos. --use_vpcsc
- Essa flag não é mais necessária para usar o VPC Service Controls no seu projeto.
-v|--verbose
- À medida que
asmcli
é executado, ele imprime o comando que será executado em seguida. Com a sinalização--verbose
,asmcli
também imprime o comando após a execução. --version
- Imprime a versão de
asmcli
e sai. Se você não tiver a versão mais recente, poderá fazer o download da versão mais recente doasmcli_1.23
.
A seguir
Saiba como configurar uma malha de vários clusters:
Se sua malha consistir inteiramente em clusters do GKE, consulte Configurar uma malha de vários clusters no GKE.
Se sua malha consistir em clusters fora do Google Cloud, consulte Configurar uma malha de vários clusters fora do Google Cloud.