Mengaktifkan fitur opsional di bidang kontrol dalam cluster

Halaman ini menjelaskan cara mengaktifkan fitur opsional di control plane dalam cluster. Untuk informasi tentang bidang kontrol terkelola, lihat Mengonfigurasi Cloud Service Mesh terkelola.

Saat Anda menginstal Cloud Service Mesh dalam cluster, fitur yang diaktifkan secara default berbeda menurut platform. Anda dapat mengganti konfigurasi default dan mengaktifkan fitur opsional dengan menyertakan file overlay saat menginstal (atau mengupgrade) Cloud Service Mesh. File overlay adalah file YAML yang berisi resource kustom (CR) IstioOperator yang Anda gunakan untuk mengonfigurasi platform kontrol. Tentukan satu fitur per file overlay. Anda dapat menambahkan lebih banyak overlay, dan setiap file overlay akan mengganti konfigurasi di lapisan sebelumnya.

Tentang file overlay

File overlay di halaman ini berada dalam paket anthos-service-mesh di GitHub. File ini berisi penyesuaian umum pada konfigurasi default. Anda dapat menggunakan file ini sebagaimana adanya, atau Anda dapat membuat perubahan tambahan pada file tersebut sesuai kebutuhan.

Saat menginstal Cloud Service Mesh menggunakan skrip asmcli yang disediakan Google, Anda dapat menentukan satu atau beberapa file overlay dengan opsi --option atau --custom_overlay. Jika tidak perlu melakukan perubahan apa pun pada file di repositori anthos-service-mesh, Anda dapat menggunakan --option, dan skrip akan mengambil file dari GitHub untuk Anda. Jika tidak, Anda dapat membuat perubahan pada file overlay, lalu menggunakan opsi --custom_overlay untuk meneruskannya ke asmcli.

Jangan sertakan beberapa CR dalam satu file overlay Membuat file overlay terpisah untuk setiap CR
beberapa CR dalam satu yaml file yaml terpisah untuk setiap CR

Cara mengaktifkan fitur opsional

Contoh berikut disederhanakan untuk hanya menampilkan overlay kustom guna mengaktifkan fitur opsional. Ganti OTHER_FLAGS dengan flag penginstalan yang diperlukan.

Perintah asmcli install menyediakan dua cara untuk mengaktifkan fitur opsional. Metode yang Anda gunakan bergantung pada apakah Anda perlu melakukan perubahan pada file overlay.

  • Gunakan --option jika Anda tidak perlu melakukan perubahan apa pun pada file overlay. Dengan --option, asmcli akan mengambil file dari repositori GitHub untuk Anda, sehingga Anda harus memiliki koneksi internet.

    ./asmcli install \
      OTHER_FLAGS \
      --option OPTION_NAME
    

    Ganti OPTION_NAME dengan opsi yang ingin Anda aktifkan. Pastikan untuk menghapus ekstensi .yaml dan hanya sertakan nama file overlay, seperti iap-operator dan attached-cluster. Untuk mengetahui daftar opsi, lihat paket anthos-service-mesh.

  • Gunakan --custom_overlay saat Anda perlu menyesuaikan file overlay.

    ./asmcli install \
      OTHER_FLAGS \
      --custom_overlay PATH_TO_FILE
    

    Ganti PATH_TO_FILE dengan jalur ke file overlay yang ingin Anda gunakan.

YAML untuk fitur opsional

Bagian berikut menyediakan YAML untuk mengaktifkan fitur opsional dan yang didukung.

Mode STRICT mTLS

Konfigurasi global.mtls.enabled dihapus dari CR IstioOperator untuk menghindari masalah terkait upgrade dan memberikan penginstalan yang lebih fleksibel. Untuk mengaktifkan mTLS STRICT, konfigurasi kebijakan autentikasi peer.

Gambar proxy distroless

Sebagai praktik terbaik, Anda harus membatasi konten runtime penampung hanya ke paket yang diperlukan. Pendekatan ini meningkatkan keamanan dan rasio sinyal-derau pemindai Common Vulnerabilities and Exposures (CVE). Istio menyediakan image proxy berdasarkan image dasar distroless.

Konfigurasi berikut memungkinkan image distroless untuk seluruh Cloud Service Mesh. Perubahan jenis image mengharuskan setiap pod dimulai ulang dan dimasukkan kembali agar dapat diterapkan.

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  meshConfig:
    defaultConfig:
      image:
        imageType: distroless

Image distroless tidak berisi biner selain proxy. Oleh karena itu, Anda tidak dapat exec shell atau menggunakan curl, ping, atau utilitas debug lainnya di dalam penampung. Jika Anda mencoba menjalankan shell, Anda akan melihat error berikut.

error: Internal error occurred: error executing command in container: failed to exec in container: failed to start exec "<container-id>"
OCI runtime exec failed: exec failed: container_linux.go:380: starting container process caused: exec: "sh": executable file not found in $PATH: unknown

Jika memerlukan akses ke alat ini untuk pod tertentu, Anda dapat mengganti imageType menggunakan anotasi pod berikut.

sidecar.istio.io/proxyImageType: debug

Setelah mengubah jenis image deployment melalui anotasi, deployment harus dimulai ulang.

kubectl rollout restart deployment -n NAMESPACE DEPLOYMENT_NAME

Untuk sebagian besar jenis proses debug proxy, istioctl proxy-cmd harus digunakan yang tidak memerlukan image dasar debug.

Menggunakan overlay kustom untuk registry kustom

Anda dapat menggunakan overlay kustom untuk registry kustom, seperti jika Anda perlu menginstal Cloud Service Mesh dari registry penampung kustom. Contoh:

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  hub: {private_registry_url}

Berikut adalah daftar image untuk Cloud Service Mesh yang perlu Anda cerminkan ke registry penampung kustom:

  • Install-cni - gke.gcr.io/asm/install-cni:1.23.3-asm.2
  • Managed Data Plane - gke.gcr.io/asm/mdp:1.23.3-asm.2
  • Uji coba - gke.gcr.io/asm/pilot:1.23.3-asm.2
  • Proxyv2 - gke.gcr.io/asm/proxyv2:1.23.3-asm.2

Menambahkan gambar ke registry pribadi

Untuk mendorong image Cloud Service Mesh ke registry pribadi, selesaikan langkah-langkah berikut.

  1. Ambil image Cloud Service Mesh:
    docker pull gke.gcr.io/asm/install-cni:1.23.3-asm.2
    docker pull gke.gcr.io/asm/mdp:1.23.3-asm.2
    docker pull gke.gcr.io/asm/pilot:1.23.3-asm.2
    docker pull gke.gcr.io/asm/proxyv2:1.23.3-asm.2
    
  2. Buat variabel untuk URL registry pribadi Anda:
    export PRIVATE_REGISTRY_URL=PRIVATE_REGISTRY_URL
    
    Ganti PRIVATE_REGISTRY_URL dengan URL registry pribadi Anda.
  3. Beri tag pada image dengan URL registry pribadi Anda:
    docker tag gke.gcr.io/asm/install-cni:1.23.3-asm.2 \
     ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/install-cni:1.23.3-asm.2
    docker tag gke.gcr.io/asm/mdp:1.23.3-asm.2 \
     ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/mdp:1.23.3-asm.2
    docker tag gke.gcr.io/asm/pilot:1.23.3-asm.2 \
     ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/pilot:1.23.3-asm.2
    docker tag gke.gcr.io/asm/proxyv2:1.23.3-asm.2 \
     ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/proxyv2:1.23.3-asm.2
    
  4. Kirim image yang memiliki tag ke registry pribadi Anda:
    docker push ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/install-cni:1.23.3-asm.2
    docker push ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/mdp:1.23.3-asm.2
    docker push ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/pilot:1.23.3-asm.2
    docker push ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/proxyv2:1.23.3-asm.2
    
  5. (Opsional) Jika Anda menggunakan layanan kanonis, tambahkan image layanan kanonis ke registry pribadi Anda.
    1. Ambil image layanan kanonis Cloud Service Mesh:
              docker pull gcr.io/kubebuilder/kube-rbac-proxy:v0.13.1
              docker pull gke.gcr.io/asm/canonical-service-controller:1.10.3-asm.16
              
    2. Beri tag pada image dengan URL registry pribadi Anda:
              docker tag gcr.io/kubebuilder/kube-rbac-proxy:v0.13.1 \
              ${PRIVATE_REGISTRY_URL}/gcr.io/kubebuilder/kube-rbac-proxy:v0.13.1
              docker tag gke.gcr.io/asm/canonical-service-controller:1.10.3-asm.16 \
              ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/canonical-service-controller:1.10.3-asm.16
              
    3. Kirim image yang memiliki tag ke registry pribadi Anda:
              docker push ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/kube-rbac-proxy:v0.13.1
              docker push ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/canonical-service-controller:1.10.3-asm.16
              

Jika Anda dapat mengambil image yang diberi tag dari registry pribadi, berarti prosedur tersebut berhasil.

Meningkatkan durasi pengosongan penghentian

Secara default, Envoy akan menunggu lima detik (5s) hingga koneksi yang ada selesai saat pod dihentikan.

terminationGracePeriodSeconds pod harus lebih besar dari nilai terminationDrainDuration.

Untuk mengetahui informasi selengkapnya, lihat Opsi Mesh Global.

---
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  meshConfig:
    defaultConfig:
      terminationDrainDuration: 30s

Mengaktifkan Log akses

---
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  meshConfig:
    accessLogFile: "/dev/stdout"

Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan logging akses Envoy.

Cloud Trace

Cloud Trace tersedia dengan penginstalan Cloud Service Mesh di platform berikut:

  • GKE di Google Cloud
  • Cluster GKE Enterprise di infrastruktur lokal jika Anda menginstal dengan otoritas sertifikasi Cloud Service Mesh
---
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  meshConfig:
    enableTracing: true
  values:
    global:
      proxy:
        tracer: stackdriver

Untuk informasi selengkapnya, lihat Mengakses rekaman aktivitas.

Traffic keluar melalui gateway keluar

Sebaiknya instal gateway yang dimasukkan seperti yang dijelaskan dalam Menginstal dan mengupgrade gateway.

Antarmuka Jaringan Penampung Istio

Cara mengaktifkan Antarmuka Jaringan Container (CNI) Istio bergantung pada lingkungan tempat Cloud Service Mesh diinstal.

  1. Aktifkan kebijakan jaringan.

  2. Pilih file overlay yang cocok dengan platform Anda.

Mengaktifkan CNI di GKE

---
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  components:
    cni:
      enabled: true
      namespace: kube-system
  values:
    cni:
      cniBinDir: /home/kubernetes/bin
      excludeNamespaces:
        - istio-system
        - kube-system

Mengaktifkan CNI di lokal

---
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  components:
    cni:
      enabled: true
      namespace: kube-system
  values:
    cni:
      cniBinDir: /opt/cni/bin
      excludeNamespaces:
        - istio-system
        - kube-system
        - gke-system

Mengaktifkan Log traffic untuk di luar Google Cloud

Menginstal Cloud Service Mesh dengan Istio CA di luar Google Cloud akan melaporkan metrik ke Prometheus secara default. Gunakan opsi ini untuk mengaktifkan pelaporan log Traffic, atau Prometheus dan Stackdriver, sehingga Anda dapat menggunakan dasbor Cloud Service Mesh.

Hanya Stackdriver

---
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  values:
    telemetry:
      enabled: true
      v2:
        enabled: true
        prometheus:
          enabled: false
        stackdriver:
          enabled: true

Stackdriver dan Prometheus

---
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  values:
    telemetry:
      enabled: true
      v2:
        enabled: true
        prometheus:
          enabled: true
        stackdriver:
          enabled: true

Mengaktifkan load balancer internal

Sebaiknya instal gateway yang dimasukkan seperti yang dijelaskan dalam Menginstal dan mengupgrade gateway untuk menyiapkan load balancer internal di GKE. Saat mengonfigurasi Layanan gateway, Anda menyertakan anotasi: networking.gke.io/load-balancer-type: "Internal"

Pengelolaan sertifikat eksternal di gateway traffic masuk

Untuk informasi tentang cara mengaktifkan pengelolaan sertifikat eksternal di gateway ingress menggunakan Envoy SDS, lihat Mengamankan Gateway.