O Anthos Service Mesh 1.10 chegou ao fim da vida útil e não é mais compatível. Consulte Como fazer upgrade de versões anteriores.

Veja uma mais recente ou selecione outra versão disponível:

Versões disponíveis

Instale o Anthos Service Mesh

Esta página faz parte de um guia de várias páginas que explica como instalar a versão 1.10.6 do Anthos Service Mesh em um cluster do GKE para uma malha que contém vários clusters que estão em diferentes projetos do Google Cloud.

< Anterior

Antes de começar

Antes de instalar o Anthos Service Mesh, verifique se você tem:

Configure o ambiente para instalar as ferramentas necessárias.
Configure o projeto para ativar as APIs necessárias e definir permissões.
Configure o cluster para ativar as opções obrigatórias.

Como configurar credenciais e permissões

Inicialize seu projeto para prepará-lo para instalação. Entre outras coisas, este comando cria uma conta de serviço para permitir componentes de plano de dados, como o proxy sidecar, para acessar com segurança os dados e os recursos do seu projeto.
```
curl --request POST \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --data '' \
  "https://meshconfig.googleapis.com/v1alpha1/projects/${PROJECT_ID}:initialize"
```
A resposta do comando mostra chaves vazias: {}
Consiga as credenciais de autenticação para interagir com o cluster: Esse comando também define o contexto atual para kubectl no cluster.
```
gcloud container clusters get-credentials ${CLUSTER_NAME} \
    --project=${PROJECT_ID}
```
Observação: a menos que você tenha definido uma zona ou região padrão, é necessário fornecer a região (--region=REGION) ou zona (--zone=ZONE) no comando.
Conceda permissões de administrador de cluster ao usuário atual. Você precisa dessas permissões para criar as regras necessárias de controle de acesso baseado em papéis (RBAC, na sigla em inglês) para o Anthos Service Mesh.
```
kubectl create clusterrolebinding cluster-admin-binding \
  --clusterrole=cluster-admin \
  --user="$(gcloud config get-value core/account)"
```

Se você observar o erro "cluster-admin-binding" already exists, poderá ignorá-lo com segurança e continuar com o cluster-admin-binding atual.

Como fazer o download do arquivo de instalação

Linux

Faça o download do arquivo de instalação do Anthos Service Mesh no diretório de trabalho atual:
```
curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.10.6-asm.2-linux-amd64.tar.gz
```

Faça o download do arquivo de assinatura e use openssl para verificar a assinatura:

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.10.6-asm.2-linux-amd64.tar.gz.1.sig
openssl dgst -verify /dev/stdin -signature istio-1.10.6-asm.2-linux-amd64.tar.gz.1.sig istio-1.10.6-asm.2-linux-amd64.tar.gz <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

A saída esperada é Verified OK.

Extraia o conteúdo do arquivo em qualquer local no sistema. Por exemplo, para extrair o conteúdo para o diretório de trabalho atual:
```
 tar xzf istio-1.10.6-asm.2-linux-amd64.tar.gz
```
O comando cria um diretório de instalação no seu diretório de trabalho atual, chamado istio-1.10.6-asm.2, que contém o seguinte:
- Exemplos de aplicativos no diretório samples.
- A ferramenta de linha de comando istioctl que você usa para instalar o Anthos Service Mesh está no diretório bin.
- Os perfis de configuração do Anthos Service Mesh estão no diretório manifests/profiles.
Verifique se você está no diretório raiz da instalação do Anthos Service Mesh.
```
cd istio-1.10.6-asm.2
```

macOS

Faça o download do arquivo de instalação do Anthos Service Mesh no diretório de trabalho atual:
```
curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.10.6-asm.2-osx.tar.gz
```

Faça o download do arquivo de assinatura e use openssl para verificar a assinatura:

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.10.6-asm.2-osx.tar.gz.1.sig
openssl dgst -sha256 -verify /dev/stdin -signature istio-1.10.6-asm.2-osx.tar.gz.1.sig istio-1.10.6-asm.2-osx.tar.gz <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

A saída esperada é Verified OK.

Extraia o conteúdo do arquivo em qualquer local no sistema. Por exemplo, para extrair o conteúdo para o diretório de trabalho atual:
```
tar xzf istio-1.10.6-asm.2-osx.tar.gz
```
O comando cria um diretório de instalação no seu diretório de trabalho atual, chamado istio-1.10.6-asm.2, que contém o seguinte:
- Exemplos de aplicativos no diretório samples.
- A ferramenta de linha de comando istioctl que você usa para instalar o Anthos Service Mesh está no diretório bin.
- Os perfis de configuração do Anthos Service Mesh estão no diretório manifests/profiles.
Verifique se você está no diretório raiz da instalação do Anthos Service Mesh.
```
cd istio-1.10.6-asm.2
```

Windows

Faça o download do arquivo de instalação do Anthos Service Mesh no diretório de trabalho atual:
```
curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.10.6-asm.2-win.zip
```

Faça o download do arquivo de assinatura e use openssl para verificar a assinatura:

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.10.6-asm.2-win.zip.1.sig
openssl dgst -verify - -signature istio-1.10.6-asm.2-win.zip.1.sig istio-1.10.6-asm.2-win.zip <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

A saída esperada é Verified OK.

Extraia o conteúdo do arquivo em qualquer local no sistema. Por exemplo, para extrair o conteúdo para o diretório de trabalho atual:
```
tar xzf istio-1.10.6-asm.2-win.zip
```
O comando cria um diretório de instalação no seu diretório de trabalho atual, chamado istio-1.10.6-asm.2, que contém o seguinte:
- Exemplos de aplicativos no diretório samples.
- A ferramenta de linha de comando istioctl que você usa para instalar o Anthos Service Mesh está no diretório bin.
- Os perfis de configuração do Anthos Service Mesh estão no diretório manifests/profiles.
Verifique se você está no diretório raiz da instalação do Anthos Service Mesh.
```
cd istio-1.10.6-asm.2
```

Como preparar arquivos de configuração de recursos

Ao executar o comando istioctl install, especifique -f istio-operator.yaml na linha de comando. Esse arquivo contém informações sobre o projeto e o cluster exigidos pelo Anthos Service Mesh. Faça o download de um pacote que contenha istio-operator.yaml e outros arquivos de configuração de recursos para que seja possível definir as informações do projeto e do cluster.

Para preparar os arquivos de configuração de recursos, siga estas etapas:

CA da malha

Crie um novo diretório para os arquivos de configuração do recurso do pacote Anthos Service Mesh. Recomendamos que você use o nome do cluster como o nome do diretório.
Altere para o diretório em que você quer fazer o download do pacote do Anthos Service Mesh.
Verifique a versão do 'kpt'. Verifique se você está executando uma versão antes da 1.x do kpt:
```
kpt version
```
A saída será semelhante a:
```
0.39.2
```
Se você tiver a versão 1.x ou posterior do kpt, consulte Como configurar seu ambiente para fazer o download da versão necessária para seu sistema operacional.

Faça o download do pacote:

kpt pkg get \
https://github.com/GoogleCloudPlatform/anthos-service-mesh-packages.git/asm@release-1.10-asm asm

Defina o ID do projeto em que o cluster foi criado:

kpt cfg set asm gcloud.core.project ${PROJECT_ID}

Defina o número do projeto host da frota:

kpt cfg set asm gcloud.project.environProjectNumber ${FLEET_PROJECT_NUMBER}

Defina o nome do cluster:

kpt cfg set asm gcloud.container.cluster ${CLUSTER_NAME}

Defina a zona ou a região padrão:

kpt cfg set asm gcloud.compute.location ${CLUSTER_LOCATION}

Defina a tag para a versão do Anthos Service Mesh que você está instalando:
```
kpt cfg set asm anthos.servicemesh.tag 1.10.6-asm.2
```
Defina o webhook de validação para usar um rótulo de revisão:
```
kpt cfg set asm anthos.servicemesh.rev asm-1106-2
```
Ao instalar o Anthos Service Mesh, você define um rótulo de revisão em istiod. Você precisa definir a mesma revisão no webhook de validação.
Como os clusters da sua configuração de vários clusters estão em projetos diferentes, você precisa configurar os aliases de domínio de confiança para os outros projetos que formarão a malha de serviço de vários clusters/vários projetos.
1. Encontre o ID do projeto de todos os clusters que estarão na malha de vários clusters/vários projetos.
2. Para o ID do projeto de cada cluster, defina os aliases do domínio de confiança. Por exemplo, se você tiver clusters em três projetos, execute o seguinte comando e substitua PROJECT_ID_1, PROJECT_ID_2 e PROJECT_ID_3 pelo ID do projeto de cada cluster.
```
kpt cfg set asm anthos.servicemesh.trustDomainAliases PROJECT_ID_1.svc.id.goog PROJECT_ID_2.svc.id.goog PROJECT_ID_3.svc.id.goog
```
  Ao configurar os clusters nos outros projetos, é possível usar o mesmo comando.
  
  Os aliases de domínio de confiança permitem que a CA da malha autentique cargas de trabalho em clusters em outros projetos. Além de definir os aliases de domínio de confiança, depois de instalar o Anthos Service Mesh, você precisa ativar o balanceamento de carga entre clusters.
Gere os valores dos setters kpt:
```
kpt cfg list-setters asm
```
Na saída do comando, verifique se os valores dos setters a seguir estão corretos:
- anthos.servicemesh.rev
- anthos.servicemesh.tag
- anthos.servicemesh.trustDomainAliases
- gcloud.compute.location
- gcloud.container.cluster
- gcloud.core.project
- gcloud.project.environProjectNumber
Você pode ignorar os valores dos outros setters.

CA do Istio

Crie um novo diretório para os arquivos de configuração do recurso do pacote Anthos Service Mesh. Recomendamos que você use o nome do cluster como o nome do diretório.
Altere para o diretório em que você quer fazer o download do pacote do Anthos Service Mesh.
Verifique a versão do 'kpt'. Verifique se você está executando uma versão antes da 1.x do kpt:
```
kpt version
```
A saída será semelhante a:
```
0.39.2
```
Se você tiver a versão 1.x ou posterior do kpt, consulte Como configurar seu ambiente para fazer o download da versão necessária para seu sistema operacional.

Faça o download do pacote:

kpt pkg get \
https://github.com/GoogleCloudPlatform/anthos-service-mesh-packages.git/asm@release-1.10-asm asm

Defina o ID do projeto em que o cluster foi criado:

kpt cfg set asm gcloud.core.project ${PROJECT_ID}

Defina o número do projeto host da frota:

kpt cfg set asm gcloud.project.environProjectNumber ${FLEET_PROJECT_NUMBER}

Defina o nome do cluster:

kpt cfg set asm gcloud.container.cluster ${CLUSTER_NAME}

Defina a zona ou a região padrão:

kpt cfg set asm gcloud.compute.location ${CLUSTER_LOCATION}

Defina a tag para a versão do Anthos Service Mesh que você está instalando:
```
kpt cfg set asm anthos.servicemesh.tag 1.10.6-asm.2
```
Defina o webhook de validação para usar um rótulo de revisão:
```
kpt cfg set asm anthos.servicemesh.rev asm-1106-2
```
Ao instalar o Anthos Service Mesh, você define um rótulo de revisão em istiod. Você precisa definir a mesma revisão no webhook de validação.
Gere os valores dos setters kpt:
```
kpt cfg list-setters asm
```
Na saída do comando, verifique se os valores dos setters a seguir estão corretos:
- anthos.servicemesh.rev
- anthos.servicemesh.tag
- gcloud.compute.location
- gcloud.container.cluster
- gcloud.core.project
- gcloud.project.environProjectNumber
Você pode ignorar os valores dos outros setters.

Como instalar o Anthos Service Mesh

CA da malha

Verifique se o contexto kubeconfig atual está apontando para o cluster em que você quer instalar o Anthos Service Mesh:
```
kubectl config current-context
```
A saída está no seguinte formato:
```
gke_PROJECT_ID_CLUSTER_LOCATION_CLUSTER_NAME
```
O contexto kubeconfig e os valores dos setters kpt precisam ser correspondentes. Se necessário, execute o comando gcloud container clusters get-credentials para definir o contexto kubeconfig atual.
Se necessário, mude para o diretório istio-1.10.6-asm.2. O cliente istioctl depende da versão. Certifique-se de usar a versão no diretório istio-1.10.6-asm.2/bin.
Execute o comando a seguir para instalar o Anthos Service Mesh. Se você quiser ativar um recurso opcional compatível, inclua -f e o nome de arquivo YAML na linha de comando a seguir. Para mais informações, consulte Como ativar recursos opcionais.

Importante: se você estiver instalando no GKE 1.15, adicione o arquivo de sobreposição -f asm/istio/options/v1beta1-crds.yaml, além dos arquivos de sobreposição especificados no comando a seguir.
```
bin/istioctl install \
  -f asm/istio/istio-operator.yaml \
  -f asm/istio/options/multiproject.yaml \
  -f asm/istio/options/multicluster.yaml \
  --revision=asm-1106-2
```
O argumento --revision adiciona um rótulo de revisão no formato istio.io/rev=asm-1106-2 a istiod. O rótulo de revisão é usado pelo webhook do injetor automático de sidecar para associar os sidecars injetados a uma revisão istiod específica. Para ativar a injeção automática de sidecar em um namespace, você precisa rotulá-lo com uma revisão correspondente a uma implantação istiod.

Os arquivos a seguir modificam as configurações no arquivo istio-operator.yaml:
- O arquivo multiproject.yaml define o perfil asm-gcp-multiproject.
- O arquivo multicluster.yaml define as configurações que o Anthos Service Mesh precisa para uma configuração de vários clusters.
Configure o webhook de validação para localizar istiod com o rótulo de revisão:
```
kubectl apply -f asm/istio/istiod-service.yaml
```
Esse comando cria uma entrada de serviço que permite ao webhook de validação verificar automaticamente as configurações antes de serem aplicadas.
Implante o controlador de serviços canônicos no cluster:
```
kubectl apply -f asm/canonical-service/controller.yaml
```
O controlador de serviços canônicos agrupa cargas de trabalho que pertencem ao mesmo serviço lógico. Para mais informações sobre os serviços canônicos, consulte a visão geral dos serviços canônicos.

CA do Istio

Verifique se o contexto kubeconfig atual está apontando para o cluster em que você quer instalar o Anthos Service Mesh:
```
kubectl config current-context
```
A saída está no seguinte formato:
```
gke_PROJECT_ID_CLUSTER_LOCATION_CLUSTER_NAME
```
O contexto kubeconfig e os valores dos setters kpt precisam ser correspondentes. Se necessário, execute o comando gcloud container clusters get-credentials para definir o contexto kubeconfig atual.
Crie o namespace istio-system
```
kubectl create namespace istio-system
```

Crie um secret cacerts:

kubectl create secret generic cacerts  \
  -n istio-system \
  --from-file=ca-cert.pem \
  --from-file=ca-key.pem \
  --from-file=root-cert.pem \
  --from-file=cert-chain.pem

Para ver mais informações, consulte Como conectar certificados de CA existentes.

Se necessário, mude para o diretório istio-1.10.6-asm.2. O cliente istioctl depende da versão. Certifique-se de usar a versão no diretório istio-1.10.6-asm.2/bin.
Execute o comando a seguir para instalar o Anthos Service Mesh. Se você quiser ativar um recurso opcional compatível, inclua -f e o nome de arquivo YAML na linha de comando a seguir. Para mais informações, consulte Como ativar recursos opcionais.

Importante: se você estiver instalando no GKE 1.15, adicione o arquivo de sobreposição -f asm/istio/options/v1beta1-crds.yaml, além dos arquivos de sobreposição especificados no comando a seguir.
```
bin/istioctl install \
  -f asm/istio/istio-operator.yaml \
  -f asm/istio/options/citadel-ca.yaml \
  -f asm/istio/options/multiproject.yaml \
  -f asm/istio/options/multicluster.yaml \
  --revision=asm-1106-2
```
O argumento --revision adiciona um rótulo de revisão no formato istio.io/rev=asm-1106-2 a istiod. O rótulo de revisão é usado pelo webhook do injetor automático de sidecar para associar os sidecars injetados a uma revisão istiod específica. Para ativar a injeção automática de sidecar em um namespace, você precisa rotulá-lo com uma revisão correspondente a uma implantação istiod.

Os arquivos a seguir modificam as configurações no arquivo istio-operator.yaml:
- O citadel-ca.yaml configura a CA do Istio como autoridade de certificação.
- O arquivo multiproject.yaml define o perfil asm-gcp-multiproject.
- O arquivo multicluster.yaml define as configurações que o Anthos Service Mesh precisa para uma configuração de vários clusters.
Configure o webhook de validação para localizar istiod com o rótulo de revisão:
```
kubectl apply -f asm/istio/istiod-service.yaml
```
Esse comando cria uma entrada de serviço que permite ao webhook de validação verificar automaticamente as configurações antes de serem aplicadas.
Implante o controlador de serviços canônicos no cluster:
```
kubectl apply -f asm/canonical-service/controller.yaml
```
O controlador de serviços canônicos agrupa cargas de trabalho que pertencem ao mesmo serviço lógico. Para mais informações sobre os serviços canônicos, consulte a visão geral dos serviços canônicos.

Verificar os componentes do plano de controle

Verifique se os pods do plano de controle em istio-system estão ativos:

kubectl get pod -n istio-system

A saída esperada será assim:

NAME                                   READY   STATUS      RESTARTS   AGE
istio-ingressgateway-cff9f5c7d-qg4ls   1/1     Running   0          7m5s
istio-ingressgateway-cff9f5c7d-vlkzb   1/1     Running   0          7m20s
istiod-66b587859c-886gx                1/1     Running   0          7m33s
istiod-66b587859c-dfs2j                1/1     Running   0          7m33s

Como injetar proxies sidecar

O Anthos Service Mesh usa proxies sidecar para aumentar a segurança, a confiabilidade e a observabilidade da rede. Com o Anthos Service Mesh, essas funções são abstraídas do contêiner principal do aplicativo e implementadas em um proxy comum fora do processo, entregue como um contêiner separado no mesmo pod.

A instalação não será concluída até que você ative a injeção automática de proxy de arquivo secundário (injeção automática) e reinicie os pods de todas as cargas de trabalho que estavam sendo executadas no cluster antes de instalar o Anthos Service Mesh.

Para ativar a injeção automática, rotule os namespaces com o rótulo de revisão que foi definido no istiod quando você instalou o Anthos Service Mesh. O rótulo de revisão é usado pelo webhook do injetor automático de arquivo secundário para associar os arquivos secundários injetados a uma revisão istiod específica. Depois de adicionar o rótulo, todos os pods existentes no namespace precisarão ser reiniciados para que os arquivos secundários sejam injetados.

Antes de implantar novas cargas de trabalho em um novo namespace, configure a injeção automática para que o Anthos Service Mesh possa monitorar e proteger o tráfego.

Para ativar a injeção automática:

Use o seguinte comando para localizar o rótulo de revisão em istiod:

kubectl -n istio-system get pods -l app=istiod --show-labels

A resposta será semelhante a:

NAME                                READY   STATUS    RESTARTS   AGE   LABELS
istiod-asm-1106-2-5788d57586-bljj4   1/1     Running   0          23h   app=istiod,istio.io/rev=asm-1106-2,istio=istiod,pod-template-hash=5788d57586
istiod-asm-1106-2-5788d57586-vsklm   1/1     Running   1          23h   app=istiod,istio.io/rev=asm-1106-2,istio=istiod,pod-template-hash=5788d57586

Na saída, na coluna LABELS, observe o valor do rótulo de revisão istiod, que segue o prefixo istio.io/rev=. Neste exemplo, o valor é asm-1106-2.

Aplique o rótulo de revisão e remova o rótulo istio-injection, se ele existir. No comando a seguir, NAMESPACE é o nome do namespace em que você quer ativar a injeção automática, e REVISION é o rótulo de revisão que você anotou na etapa anterior.
```
kubectl label namespace NAMESPACE istio-injection- istio.io/rev=REVISION --overwrite
```
Você pode ignorar a mensagem "istio-injection not found" na saída. Isso significa que o namespace não tinha o rótulo istio-injection anteriormente, que é esperado em novas instalações do Anthos Service Mesh ou em novas implantações. Como a injeção automática falha se um namespace tiver o istio-injection e o rótulo de revisão, todos os comandos kubectl label na documentação do Anthos Service Mesh incluem a remoção do rótulo istio-injection.
Se as cargas de trabalho estavam em execução no cluster antes de instalar o Anthos Service Mesh, reinicie os pods para acionar a nova injeção.

A maneira como você reinicia os pods depende do seu aplicativo e do ambiente em que o cluster está. Por exemplo, no seu ambiente de preparo, basta excluir todos os pods, o que faz com que eles sejam reiniciados. Mas no ambiente de produção, há um processo que implementa uma implantação azul-verde para que você possa reiniciar os pods com segurança para evitar a interrupção do tráfego.

É possível usar kubectl para executar uma reinicialização gradual:
```
kubectl rollout restart deployment -n NAMESPACE
```
Verifique se os pods estão configurados para apontar para a nova versão de istiod.
```
kubectl get pods -n NAMESPACE -l istio.io/rev=REVISION
```

A seguir

< Anterior