Mengaktifkan fitur opsional di bidang kontrol dalam cluster
Halaman ini menjelaskan cara mengaktifkan fitur opsional di control plane dalam cluster. Untuk informasi tentang bidang kontrol terkelola, lihat Mengonfigurasi Cloud Service Mesh terkelola.
Saat Anda menginstal Cloud Service Mesh dalam cluster, fitur yang diaktifkan secara default berbeda menurut platform.
Anda dapat mengganti konfigurasi default dan mengaktifkan fitur opsional dengan menyertakan file overlay saat menginstal (atau mengupgrade) Cloud Service Mesh. File overlay adalah file YAML yang berisi resource kustom (CR) IstioOperator
yang Anda gunakan untuk mengonfigurasi platform kontrol. Tentukan satu fitur per file overlay. Anda dapat menambahkan lebih banyak overlay,
dan setiap file overlay akan mengganti konfigurasi di lapisan sebelumnya.
Tentang file overlay
File overlay di halaman ini berada dalam
paket anthos-service-mesh
di GitHub. File ini berisi penyesuaian umum pada konfigurasi
default. Anda dapat menggunakan file ini sebagaimana adanya, atau Anda dapat membuat perubahan
tambahan pada file tersebut sesuai kebutuhan.
Saat menginstal Cloud Service Mesh menggunakan skrip asmcli
yang disediakan Google, Anda dapat menentukan satu atau beberapa file overlay dengan opsi --option
atau --custom_overlay
. Jika tidak perlu melakukan perubahan apa pun pada
file di repositori anthos-service-mesh
, Anda dapat menggunakan --option
, dan
skrip akan mengambil file dari GitHub untuk Anda. Jika tidak, Anda dapat membuat
perubahan pada file overlay, lalu menggunakan opsi --custom_overlay
untuk
meneruskannya ke asmcli
.
Jangan sertakan beberapa CR dalam satu file overlay | Membuat file overlay terpisah untuk setiap CR |
---|---|
Cara mengaktifkan fitur opsional
Contoh berikut disederhanakan untuk hanya menampilkan overlay kustom guna
mengaktifkan fitur opsional. Ganti OTHER_FLAGS
dengan
flag penginstalan yang diperlukan.
Perintah asmcli install
menyediakan dua cara untuk mengaktifkan fitur opsional. Metode
yang Anda gunakan bergantung pada apakah Anda perlu melakukan perubahan pada file
overlay.
Gunakan
--option
jika Anda tidak perlu melakukan perubahan apa pun pada file overlay. Dengan--option
,asmcli
akan mengambil file dari repositori GitHub untuk Anda, sehingga Anda harus memiliki koneksi internet../asmcli install \ OTHER_FLAGS \ --option OPTION_NAME
Ganti
OPTION_NAME
dengan opsi yang ingin Anda aktifkan. Pastikan untuk menghapus ekstensi .yaml dan hanya sertakan nama file overlay, sepertiiap-operator
danattached-cluster
. Untuk mengetahui daftar opsi, lihat paketanthos-service-mesh
.Gunakan
--custom_overlay
saat Anda perlu menyesuaikan file overlay../asmcli install \ OTHER_FLAGS \ --custom_overlay PATH_TO_FILE
Ganti
PATH_TO_FILE
dengan jalur ke file overlay yang ingin Anda gunakan.
YAML untuk fitur opsional
Bagian berikut menyediakan YAML untuk mengaktifkan fitur opsional dan yang didukung.
Mode STRICT
mTLS
Konfigurasi global.mtls.enabled
dihapus dari CR
IstioOperator
untuk menghindari masalah terkait upgrade dan memberikan penginstalan yang lebih fleksibel.
Untuk mengaktifkan mTLS STRICT
,
konfigurasi
kebijakan autentikasi peer.
Gambar proxy distroless
Sebagai praktik terbaik, Anda harus membatasi konten runtime penampung hanya ke paket yang diperlukan. Pendekatan ini meningkatkan keamanan dan rasio sinyal-derau pemindai Common Vulnerabilities and Exposures (CVE). Istio menyediakan image proxy berdasarkan image dasar distroless.
Konfigurasi berikut memungkinkan image distroless untuk seluruh Cloud Service Mesh. Perubahan jenis image mengharuskan setiap pod dimulai ulang dan dimasukkan kembali agar dapat diterapkan.
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
meshConfig:
defaultConfig:
image:
imageType: distroless
Image distroless tidak berisi biner selain proxy. Oleh karena itu, Anda tidak dapat exec
shell atau menggunakan curl
, ping
, atau utilitas debug lainnya di dalam penampung. Jika Anda mencoba menjalankan shell, Anda akan melihat error berikut.
error: Internal error occurred: error executing command in container: failed to exec in container: failed to start exec "<container-id>"
OCI runtime exec failed: exec failed: container_linux.go:380: starting container process caused: exec: "sh": executable file not found in $PATH: unknown
Jika memerlukan akses ke alat ini untuk pod tertentu, Anda dapat mengganti imageType
menggunakan anotasi pod berikut.
sidecar.istio.io/proxyImageType: debug
Setelah mengubah jenis image deployment melalui anotasi, deployment harus dimulai ulang.
kubectl rollout restart deployment -n NAMESPACE DEPLOYMENT_NAME
Untuk sebagian besar jenis proses debug proxy, istioctl proxy-cmd
harus digunakan yang tidak memerlukan image dasar debug.
Menggunakan overlay kustom untuk registry kustom
Anda dapat menggunakan overlay kustom untuk registry kustom, seperti jika Anda perlu menginstal Cloud Service Mesh dari registry penampung kustom. Contoh:
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
hub: {private_registry_url}
Berikut adalah daftar image untuk Cloud Service Mesh yang perlu Anda cerminkan ke registry penampung kustom:
- Install-cni -
gke.gcr.io/asm/install-cni:1.23.3-asm.2
- Managed Data Plane -
gke.gcr.io/asm/mdp:1.23.3-asm.2
- Uji coba -
gke.gcr.io/asm/pilot:1.23.3-asm.2
- Proxyv2 -
gke.gcr.io/asm/proxyv2:1.23.3-asm.2
Menambahkan gambar ke registry pribadi
Untuk mendorong image Cloud Service Mesh ke registry pribadi, selesaikan langkah-langkah berikut.
-
Ambil image Cloud Service Mesh:
docker pull gke.gcr.io/asm/install-cni:1.23.3-asm.2 docker pull gke.gcr.io/asm/mdp:1.23.3-asm.2 docker pull gke.gcr.io/asm/pilot:1.23.3-asm.2 docker pull gke.gcr.io/asm/proxyv2:1.23.3-asm.2
-
Buat variabel untuk URL registry pribadi Anda:
Gantiexport PRIVATE_REGISTRY_URL=PRIVATE_REGISTRY_URL
PRIVATE_REGISTRY_URL
dengan URL registry pribadi Anda. -
Beri tag pada image dengan URL registry pribadi Anda:
docker tag gke.gcr.io/asm/install-cni:1.23.3-asm.2 \ ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/install-cni:1.23.3-asm.2 docker tag gke.gcr.io/asm/mdp:1.23.3-asm.2 \ ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/mdp:1.23.3-asm.2 docker tag gke.gcr.io/asm/pilot:1.23.3-asm.2 \ ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/pilot:1.23.3-asm.2 docker tag gke.gcr.io/asm/proxyv2:1.23.3-asm.2 \ ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/proxyv2:1.23.3-asm.2
- Kirim image yang memiliki tag ke registry pribadi Anda:
docker push ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/install-cni:1.23.3-asm.2 docker push ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/mdp:1.23.3-asm.2 docker push ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/pilot:1.23.3-asm.2 docker push ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/proxyv2:1.23.3-asm.2
- (Opsional) Jika Anda menggunakan
layanan kanonis, tambahkan
image layanan kanonis ke registry pribadi Anda.
- Ambil image layanan kanonis Cloud Service Mesh:
docker pull gcr.io/kubebuilder/kube-rbac-proxy:v0.13.1 docker pull gke.gcr.io/asm/canonical-service-controller:1.10.3-asm.16
- Beri tag pada image dengan URL registry pribadi Anda:
docker tag gcr.io/kubebuilder/kube-rbac-proxy:v0.13.1 \ ${PRIVATE_REGISTRY_URL}/gcr.io/kubebuilder/kube-rbac-proxy:v0.13.1 docker tag gke.gcr.io/asm/canonical-service-controller:1.10.3-asm.16 \ ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/canonical-service-controller:1.10.3-asm.16
- Kirim image yang memiliki tag ke registry pribadi Anda:
docker push ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/kube-rbac-proxy:v0.13.1 docker push ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/canonical-service-controller:1.10.3-asm.16
- Ambil image layanan kanonis Cloud Service Mesh:
Jika Anda dapat mengambil image yang diberi tag dari registry pribadi, berarti prosedur tersebut berhasil.
Meningkatkan durasi pengosongan penghentian
Secara default, Envoy akan menunggu lima detik (5s
) hingga koneksi yang ada selesai saat pod dihentikan.
terminationGracePeriodSeconds
pod harus lebih besar dari nilai terminationDrainDuration
.
Untuk mengetahui informasi selengkapnya, lihat Opsi Mesh Global.
---
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
meshConfig:
defaultConfig:
terminationDrainDuration: 30s
Mengaktifkan Log akses
Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan logging akses Envoy.
Cloud Trace
Cloud Trace tersedia dengan penginstalan Cloud Service Mesh di platform berikut:
- GKE di Google Cloud
- Cluster GKE Enterprise di infrastruktur lokal jika Anda menginstal dengan otoritas sertifikasi Cloud Service Mesh
Untuk informasi selengkapnya, lihat Mengakses rekaman aktivitas.
Traffic keluar melalui gateway keluar
Sebaiknya instal gateway yang dimasukkan seperti yang dijelaskan dalam Menginstal dan mengupgrade gateway.
Antarmuka Jaringan Penampung Istio
Cara mengaktifkan Antarmuka Jaringan Container (CNI) Istio bergantung pada lingkungan tempat Cloud Service Mesh diinstal.
Pilih file overlay yang cocok dengan platform Anda.
Mengaktifkan CNI di GKE
Mengaktifkan CNI di lokal
Mengaktifkan Log traffic untuk di luar Google Cloud
Menginstal Cloud Service Mesh dengan Istio CA di luar Google Cloud akan melaporkan metrik ke Prometheus secara default. Gunakan opsi ini untuk mengaktifkan pelaporan log Traffic, atau Prometheus dan Stackdriver, sehingga Anda dapat menggunakan dasbor Cloud Service Mesh.
Hanya Stackdriver
Stackdriver dan Prometheus
Mengaktifkan load balancer internal
Sebaiknya instal
gateway yang dimasukkan seperti yang dijelaskan dalam
Menginstal dan mengupgrade gateway untuk menyiapkan load balancer internal di GKE. Saat mengonfigurasi Layanan gateway,
Anda menyertakan anotasi: networking.gke.io/load-balancer-type: "Internal"
Pengelolaan sertifikat eksternal di gateway traffic masuk
Untuk informasi tentang cara mengaktifkan pengelolaan sertifikat eksternal di gateway ingress menggunakan Envoy SDS, lihat Mengamankan Gateway.