从 Istio 1.7 或更高版本迁移到 Anthos Service Mesh 和 Mesh CA 常见问题解答

本页面介绍从 Istio 1.7 或更高版本迁移到 Anthos Service Mesh 和 Anthos Service Mesh 证书授权机构 (Mesh CA) 的常见问题和相关解答。

为什么要从 Istio 迁移到 Anthos Service Mesh？

Anthos Service Mesh 基于 Istio API，是 Google 管理和支持的服务网格产品。Anthos Service Mesh 与 Istio 的关系类似于 Google Kubernetes Engine (GKE) 与 Kubernetes 的关系。由于 Anthos Service Mesh 基于 Istio API，因此在迁移到 Anthos Service Mesh 后，您可以继续使用您的 Istio 配置。此外，不存在专有供应商锁定。

Anthos Service Mesh 具有以下优势：

• Google 管理和 Google 支持的服务网格。
• 无供应商锁定的 Istio API。
• 开箱即用的遥测信息中心和 SLO 管理功能，无需管理其他第三方解决方案。
• Google 托管的证书授权机构选项。
• 与 Google Cloud 网络和 Identity-Aware Proxy (IAP) 集成。
• 混合云和多云平台支持。

如需详细了解 Anthos Service Mesh 的特性和功能，请参阅集群内控制层面支持的功能。

使用 Google 管理的控制平面的 Anthos Service Mesh 让 Google 能够以向后兼容的方式自动处理升级、扩缩和安全性。

如需详细了解 Anthos Service Mesh Google 管理的控制平面特性和功能，请参阅 Google 管理的控制平面支持的功能。

迁移是否会导致停机？

脚本会将 Anthos Service Mesh 作为 Canary 版控制层面安装，与现有 Istio 控制层面并存。您可以使用自定义 IstioOperator 资源文件将 istio-ingressgateway 和任何其他网关已就地升级。然后，您可以为启用 Istio 的命名空间重新添加标签，以开始使用 Anthos Service Mesh 和 Mesh CA。

确保为应用正确配置 PodDisruptionBudgets，以避免任何应用停机。

如果应用需要跨不同命名空间进行通信，我们建议您同时迁移所有依赖应用和工作负载。使用 Anthos Service Mesh 的应用和 Istio 操作系统上的应用无法相互通信（通过 mTLS），因为 Istio 使用 Citadel（具有不同的根证书），而 Anthos Service Mesh 使用 Google 管理的 Mesh CA 服务。

虽然您可能可以避免停机，但我们建议您在计划的维护窗口中执行此迁移。

迁移到 Anthos Service Mesh 是否会产生费用？

在 GKE 上使用 Anthos Service Mesh 的方法有两种：

• 如果您是 GKE Enterprise 订阅者，则 Anthos Service Mesh 包含在您的 GKE Enterprise 订阅中。

• 如果您不是 GKE Enterprise 订阅者，可以将 Anthos Service Mesh 作为 GKE (on Google Cloud) 上的独立产品使用。如需了解详情，请参阅 Anthos Service Mesh 价格详情。

迁移到 Anthos Service Mesh 后，可以迁移回 Istio 吗？

是的，Anthos Service Mesh 没有使用承诺。您可以随时卸载 Anthos Service Mesh 并重新安装 Istio。

如果迁移失败，是否可以回滚？

是的，此脚本允许您回滚到之前的 Istio 版本。

迁移是否会更改我当前的 Istio 配置？

不会，您的 Istio 配置可以在 Anthos Service Mesh 中使用，无需进行任何更改。不会更改任何默认参数。

是否有 Istio Service Mesh 不支持的 Istio 功能？

有，如需了解 Anthos Service Mesh 功能，请参阅集群内控制平面支持的功能或 Google 管理的控制平面支持的功能。

如果您使用任何 Istio 中未列出的功能，请通过您的 Google Cloud 客户代表与 Anthos Service Mesh 产品团队联系。

该工具为何会安装集群内控制平面？

如需迁移到 Google 管理的控制平面，您的 GKE 集群必须位于支持的区域，并且与 Anthos Service Mesh 1.10 兼容。如需查看完整的限制列表，请参阅 Google 管理的控制平面支持的功能。

此迁移是否适用于多集群设置？

此脚本允许您一次将一个集群迁移到 Anthos Service Mesh。如果您有多集群架构，请按照多集群设置文档中的说明操作。

对于多集群架构，Anthos Service Mesh 支持多主模式。这意味着您必须在参与多集群架构的所有集群上部署 Anthos Service Mesh 控制层面。

我可以使用此脚本迁移哪个 Istio 版本？

您可以迁移到 Istio 1.7 版到 1.10 版。脚本会在迁移前阶段验证您的 Istio 版本，并告知您 Istio 版本是否可以迁移。

如何获取关于此次迁移的更多帮助？

我们的支持 TSE 很乐意提供帮助。您可以通过 Google Cloud 控制台创建支持请求。如需了解详情，请参阅管理支持请求。

后续步骤

• 如需迁移到 Anthos Service Mesh，请参阅从 Istio 1.7 或更高版本迁移到 Anthos Service Mesh 和 Mesh CA。