Anthos Service Mesh をインストールする

Anthos Service Mesh インストール ファイルを現在の作業ディレクトリにダウンロードします。

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.10.6-asm.2-linux-amd64.tar.gz

署名ファイルをダウンロードし、openssl を使用して署名を検証します。

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.10.6-asm.2-linux-amd64.tar.gz.1.sig
openssl dgst -verify /dev/stdin -signature istio-1.10.6-asm.2-linux-amd64.tar.gz.1.sig istio-1.10.6-asm.2-linux-amd64.tar.gz <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

想定される出力は Verified OK です。

ファイル システム上の任意の場所にファイルの内容を抽出します。たとえば、現在の作業ディレクトリにコンテンツを抽出するには、次のコマンドを実行します。

 tar xzf istio-1.10.6-asm.2-linux-amd64.tar.gz

このコマンドにより、現在の作業ディレクトリに istio-1.10.6-asm.2 という名前のインストール ディレクトリが作成されます。このディレクトリには、次のものが含まれます。

• samples ディレクトリにあるサンプル アプリケーション。
• Anthos Service Mesh のインストールに使用する istioctl コマンドライン ツールは、bin ディレクトリにあります。
• Anthos Service Mesh 構成プロファイルは manifests/profiles ディレクトリにあります。

Anthos Service Mesh インストールのルート ディレクトリに移動していることを確認します。

cd istio-1.10.6-asm.2

Anthos Service Mesh インストール ファイルを現在の作業ディレクトリにダウンロードします。

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.10.6-asm.2-osx.tar.gz

署名ファイルをダウンロードし、openssl を使用して署名を検証します。

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.10.6-asm.2-osx.tar.gz.1.sig
openssl dgst -sha256 -verify /dev/stdin -signature istio-1.10.6-asm.2-osx.tar.gz.1.sig istio-1.10.6-asm.2-osx.tar.gz <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

想定される出力は Verified OK です。

ファイル システム上の任意の場所にファイルの内容を抽出します。たとえば、現在の作業ディレクトリにコンテンツを抽出するには、次のコマンドを実行します。

tar xzf istio-1.10.6-asm.2-osx.tar.gz

このコマンドにより、現在の作業ディレクトリに istio-1.10.6-asm.2 という名前のインストール ディレクトリが作成されます。このディレクトリには、次のものが含まれます。

• samples ディレクトリにあるサンプル アプリケーション。
• Anthos Service Mesh のインストールに使用する istioctl コマンドライン ツールは、bin ディレクトリにあります。
• Anthos Service Mesh 構成プロファイルは manifests/profiles ディレクトリにあります。

Anthos Service Mesh インストールのルート ディレクトリに移動していることを確認します。

cd istio-1.10.6-asm.2

Anthos Service Mesh インストール ファイルを現在の作業ディレクトリにダウンロードします。

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.10.6-asm.2-win.zip

署名ファイルをダウンロードし、openssl を使用して署名を検証します。

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.10.6-asm.2-win.zip.1.sig
openssl dgst -verify - -signature istio-1.10.6-asm.2-win.zip.1.sig istio-1.10.6-asm.2-win.zip <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

想定される出力は Verified OK です。

ファイル システム上の任意の場所にファイルの内容を抽出します。たとえば、現在の作業ディレクトリにコンテンツを抽出するには、次のコマンドを実行します。

tar xzf istio-1.10.6-asm.2-win.zip

このコマンドにより、現在の作業ディレクトリに istio-1.10.6-asm.2 という名前のインストール ディレクトリが作成されます。このディレクトリには、次のものが含まれます。

• samples ディレクトリにあるサンプル アプリケーション。
• Anthos Service Mesh のインストールに使用する istioctl コマンドライン ツールは、bin ディレクトリにあります。
• Anthos Service Mesh 構成プロファイルは manifests/profiles ディレクトリにあります。

Anthos Service Mesh インストールのルート ディレクトリに移動していることを確認します。

cd istio-1.10.6-asm.2

Anthos Service Mesh パッケージのリソース構成ファイル用に新しいディレクトリを作成します。クラスタ名をディレクトリ名として使用することをおすすめします。

Anthos Service Mesh パッケージをダウンロードするディレクトリに変更します。

kpt のバージョンを確認します。1.x より前のバージョンの kpt を実行していることを確認します。

kpt version

出力例を以下に示します。

0.39.2

kpt のバージョンが 1.x 以上の場合は、環境の設定を参照して、ご使用のオペレーティング システムに必要なバージョンをダウンロードしてください。

パッケージをダウンロードします。

kpt pkg get \
https://github.com/GoogleCloudPlatform/anthos-service-mesh-packages.git/asm@release-1.10-asm asm

クラスタが作成されたプロジェクトのプロジェクト ID を設定します。

kpt cfg set asm gcloud.core.project ${PROJECT_ID}

フリート ホスト プロジェクトのプロジェクト番号を設定します。

kpt cfg set asm gcloud.project.environProjectNumber ${FLEET_PROJECT_NUMBER}

クラスタ名を設定します。

kpt cfg set asm gcloud.container.cluster ${CLUSTER_NAME}

デフォルトのゾーンまたはリージョンを設定します。

kpt cfg set asm gcloud.compute.location ${CLUSTER_LOCATION}

インストールする Anthos Service Mesh のバージョンにタグを設定します。

kpt cfg set asm anthos.servicemesh.tag 1.10.6-asm.2

リビジョン ラベルを使用するように Webhook の検証を設定します。

kpt cfg set asm anthos.servicemesh.rev asm-1106-2

Anthos Service Mesh をインストールするときに、istiod にリビジョン ラベルを設定します。検証 Webhook に同じリビジョンを設定する必要があります。

マルチクラスタ構成内のクラスタは異なるプロジェクトにあるため、マルチクラスタ / マルチプロジェクトのサービスメッシュを形成する他のプロジェクトに、信頼できるドメイン エイリアスを構成する必要があります。

1. マルチクラスタ / マルチプロジェクト メッシュに含まれるすべてのクラスタのプロジェクト ID を取得します。

2. 各クラスタのプロジェクト ID に、信頼ドメイン エイリアスを設定します。たとえば、3 つのプロジェクトにクラスタがある場合は、次のコマンドを実行して、PROJECT_ID_1、PROJECT_ID_2、PROJECT_ID_3 を各クラスタのプロジェクト ID に置き換えます。

   kpt cfg set asm anthos.servicemesh.trustDomainAliases PROJECT_ID_1.svc.id.goog PROJECT_ID_2.svc.id.goog PROJECT_ID_3.svc.id.goog

   他のプロジェクトにクラスタを構成する場合は、同じコマンドを使用できます。

   信頼ドメイン エイリアスにより、Mesh CA は他のプロジェクトのクラスタ上のワークロードを認証できます。Anthos Service Mesh をインストールした後、信頼ドメイン エイリアスを設定するだけでなく、クラスタ間で負荷分散を有効にする必要があります。

kpt セッターの値を出力します。

kpt cfg list-setters asm

コマンドの出力で、次のセッターの値が正しいことを確認します。

• anthos.servicemesh.rev
• anthos.servicemesh.tag
• anthos.servicemesh.trustDomainAliases
• gcloud.compute.location
• gcloud.container.cluster
• gcloud.core.project
• gcloud.project.environProjectNumber

他のセッターの値は無視してかまいません。

Anthos Service Mesh パッケージのリソース構成ファイル用に新しいディレクトリを作成します。クラスタ名をディレクトリ名として使用することをおすすめします。

Anthos Service Mesh パッケージをダウンロードするディレクトリに変更します。

kpt のバージョンを確認します。1.x より前のバージョンの kpt を実行していることを確認します。

kpt version

出力例を以下に示します。

0.39.2

kpt のバージョンが 1.x 以上の場合は、環境の設定を参照して、ご使用のオペレーティング システムに必要なバージョンをダウンロードしてください。

パッケージをダウンロードします。

kpt pkg get \
https://github.com/GoogleCloudPlatform/anthos-service-mesh-packages.git/asm@release-1.10-asm asm

クラスタが作成されたプロジェクトのプロジェクト ID を設定します。

kpt cfg set asm gcloud.core.project ${PROJECT_ID}

フリート ホスト プロジェクトのプロジェクト番号を設定します。

kpt cfg set asm gcloud.project.environProjectNumber ${FLEET_PROJECT_NUMBER}

クラスタ名を設定します。

kpt cfg set asm gcloud.container.cluster ${CLUSTER_NAME}

デフォルトのゾーンまたはリージョンを設定します。

kpt cfg set asm gcloud.compute.location ${CLUSTER_LOCATION}

インストールする Anthos Service Mesh のバージョンにタグを設定します。

kpt cfg set asm anthos.servicemesh.tag 1.10.6-asm.2

リビジョン ラベルを使用するように Webhook の検証を設定します。

kpt cfg set asm anthos.servicemesh.rev asm-1106-2

Anthos Service Mesh をインストールするときに、istiod にリビジョン ラベルを設定します。検証 Webhook に同じリビジョンを設定する必要があります。

kpt セッターの値を出力します。

kpt cfg list-setters asm

コマンドの出力で、次のセッターの値が正しいことを確認します。

• anthos.servicemesh.rev
• anthos.servicemesh.tag
• gcloud.compute.location
• gcloud.container.cluster
• gcloud.core.project
• gcloud.project.environProjectNumber

他のセッターの値は無視してかまいません。

現在の kubeconfig コンテキストが、Anthos Service Mesh をインストールするクラスタを指していることを確認します。

kubectl config current-context

出力は次の形式になります。

gke_PROJECT_ID_CLUSTER_LOCATION_CLUSTER_NAME

kubeconfig コンテキストと kpt セッターの値は一致する必要があります。必要に応じて、gcloud container clusters get-credentials コマンドを実行して、現在の kubeconfig コンテキストを設定します。

必要に応じて、istio-1.10.6-asm.2 ディレクトリに移動します。istioctl クライアントはバージョンに依存します。istio-1.10.6-asm.2/bin ディレクトリにあるバージョンを使用してください。

次のコマンドを実行して、Anthos Service Mesh をインストールします。サポートされているオプション機能を有効にするには、コマンドラインで -f と YAML のファイル名を指定します。詳細については、オプション機能の有効化をご覧ください。

bin/istioctl install \
  -f asm/istio/istio-operator.yaml \
  -f asm/istio/options/multiproject.yaml \
  -f asm/istio/options/multicluster.yaml \
  --revision=asm-1106-2

--revision 引数は、istio.io/rev=asm-1106-2 形式のリビジョン ラベルを istiod に追加します。リビジョン ラベルは、自動サイドカー インジェクタ Webhook によって使用され、挿入されたサイドカーを特定の istiod リビジョンに関連付けます。名前空間のサイドカー自動挿入を有効にするには、istiod Deployment に一致するリビジョンにラベルを付ける必要があります。

次のファイルは istio-operator.yaml ファイルの設定をオーバーライドします。

• multiproject.yaml ファイルは asm-gcp-multiproject プロファイルを設定します。

• multicluster.yaml ファイルは、マルチクラスタ構成で Anthos Service Mesh が必要とする設定を構成します。

検証 Webhook を構成して、リビジョン ラベルで istiod を検出できるようにします。

kubectl apply -f asm/istio/istiod-service.yaml

このコマンドは、構成の適用前に検証 Webhook が構成を自動的にチェックするサービス エントリを作成します。

正規サービス コントローラをクラスタにデプロイします。

kubectl apply -f asm/canonical-service/controller.yaml

正規サービス コントローラは、同じ論理サービスに属するワークロードをグループ化します。正規サービスのさらに詳しい内容については、正規サービスの概要をご覧ください。

現在の kubeconfig コンテキストが、Anthos Service Mesh をインストールするクラスタを指していることを確認します。

kubectl config current-context

出力は次の形式になります。

gke_PROJECT_ID_CLUSTER_LOCATION_CLUSTER_NAME

kubeconfig コンテキストと kpt セッターの値は一致する必要があります。必要に応じて、gcloud container clusters get-credentials コマンドを実行して、現在の kubeconfig コンテキストを設定します。

istio-system 名前空間を作成します。

kubectl create namespace istio-system

シークレット cacerts を作成するには:

kubectl create secret generic cacerts  \
  -n istio-system \
  --from-file=ca-cert.pem \
  --from-file=ca-key.pem \
  --from-file=root-cert.pem \
  --from-file=cert-chain.pem

詳細については、既存の CA 証明書への接続をご覧ください。

必要に応じて、istio-1.10.6-asm.2 ディレクトリに移動します。istioctl クライアントはバージョンに依存します。istio-1.10.6-asm.2/bin ディレクトリにあるバージョンを使用してください。

次のコマンドを実行して、Anthos Service Mesh をインストールします。サポートされているオプション機能を有効にするには、コマンドラインで -f と YAML のファイル名を指定します。詳細については、オプション機能の有効化をご覧ください。

bin/istioctl install \
  -f asm/istio/istio-operator.yaml \
  -f asm/istio/options/citadel-ca.yaml \
  -f asm/istio/options/multiproject.yaml \
  -f asm/istio/options/multicluster.yaml \
  --revision=asm-1106-2

--revision 引数は、istio.io/rev=asm-1106-2 形式のリビジョン ラベルを istiod に追加します。リビジョン ラベルは、自動サイドカー インジェクタ Webhook によって使用され、挿入されたサイドカーを特定の istiod リビジョンに関連付けます。名前空間のサイドカー自動挿入を有効にするには、istiod Deployment に一致するリビジョンにラベルを付ける必要があります。

次のファイルは istio-operator.yaml ファイルの設定をオーバーライドします。

• citadel-ca.yaml は Istio CA を認証局として構成します。

• multiproject.yaml ファイルは asm-gcp-multiproject プロファイルを設定します。

• multicluster.yaml ファイルは、マルチクラスタ構成で Anthos Service Mesh が必要とする設定を構成します。

検証 Webhook を構成して、リビジョン ラベルで istiod を検出できるようにします。

kubectl apply -f asm/istio/istiod-service.yaml

このコマンドは、構成の適用前に検証 Webhook が構成を自動的にチェックするサービス エントリを作成します。

正規サービス コントローラをクラスタにデプロイします。

kubectl apply -f asm/canonical-service/controller.yaml

正規サービス コントローラは、同じ論理サービスに属するワークロードをグループ化します。正規サービスのさらに詳しい内容については、正規サービスの概要をご覧ください。