このページでは、Istio 1.7 以降から Anthos Service Mesh と Anthos Service Mesh 認証局(Mesh CA)への移行に関するよくある質問とその回答について説明します。
Istio から Anthos Service Mesh に移行すべき理由は何ですか?
Anthos Service Mesh は、Istio API を利用するサービス メッシュ プロダクトで、Google が管理とサポートを行います。Anthos Service Mesh と Istio は、Google Kubernetes Engine(GKE)と Kubernetes の関係と同じです。Anthos Service Mesh は Istio API をベースにしているため、Anthos Service Mesh に移行しても引き続き Istio の構成を使用できます。また、独自仕様のベンダー ロックインもありません。
Anthos Service Mesh には次のようなメリットがあります。
- Google が管理し、サポートを提供するサービス メッシュ。
- ベンダー ロックインのない Istio API。
- すぐに使用できるテレメトリー ダッシュボードと SLO 管理。追加のサードパーティ製ソリューションを管理する必要はありません。
- Google がホストする認証局のオプション。
- Google Cloud ネットワーキングと Identity-Aware Proxy(IAP)との統合。
- ハイブリッドとマルチクラウドのプラットフォームのサポート。
Anthos Service Mesh の特長と機能の詳細については、クラスタ内コントロール プレーンでサポートされている機能をご覧ください。
Google が管理するコントロール プレーンを使用した Anthos Service Mesh では、アップグレード、スケーリング、セキュリティが下位互換性のある方法で自動的に処理されます。
Anthos Service Mesh の Google が管理するコントロール プレーンの特徴と機能の詳細については、Google が管理するコントロール プレーンでサポートされている機能をご覧ください。
この移行に関連するダウンタイムはありますか?
このスクリプトは、既存の Istio コントロール プレーンと並行して、Anthos Service Mesh をカナリア コントロール プレーンとしてインストールします。istio-ingressgateway と他のゲートウェイは、カスタム IstioOperator リソース ファイルを使用してアップグレードされます。さらに、Istio が有効になっている Namespace のラベルを変更し、Mesh CA で Anthos Service Mesh を使用できるようにします。
アプリケーションのダウンタイムが発生しないように、アプリケーションの PodDisruptionBudgets が正しく構成されていることを確認します。
アプリケーションが別の Namespace と通信する必要がある場合は、依存するすべてのアプリケーションとワークロードを同時に移行することをおすすめします。Anthos Service Mesh を使用するアプリケーションと Istio オペレーティング システム上のアプリケーションは、mTLS を介して相互に通信することはできません。Istio は異なるルート証明書を持つ Citadel を使用しますが、Anthos Service Mesh は Google が管理する Mesh CA サービスを使用します。
ダウンタイムを回避できる可能性はありますが、この移行を定期メンテナンスの時間枠に行うことをおすすめします。
Anthos Service Mesh への移行に伴う費用はかかりますか?
GKE で Anthos Service Mesh を使用するには、次の 2 つの方法があります。
GKE Enterprise のサブスクライバーの場合、Anthos Service Mesh は GKE Enterprise サブスクリプションの一部として含まれています。
GKE Enterprise サブスクライバーでない場合は、GKE(Google Cloud 上)でスタンドアロン サービスとして Anthos Service Mesh を使用できます。詳細については、Anthos Service Mesh の料金の詳細をご覧ください。
Anthos Service Mesh に移行した後、Istio に再移行できますか?
はい、Anthos Service Mesh の使用に対するコミットメントはありません。いつでも Anthos Service Mesh をアンインストールして、Istio を再インストールできます。
移行が失敗した場合、ロールバックできますか?
はい。スクリプトを使用して以前の Istio バージョンにロールバックできます。
移行することで現在の Istio 構成は変更されますか?
いいえ、Istio の構成は Anthos Service Mesh で機能します。変更の必要はありません。デフォルトのパラメータも変更されません。
Anthos Service Mesh でサポートされていない Istio の機能はありますか?
はい。Anthos Service Mesh の機能については、クラスタ内のコントロール プレーンでサポートされている機能または Google が管理するコントロール プレーンでサポートされている機能をご覧ください。
Istio にない機能を使用している場合は、Google Cloud アカウント担当者を通じて Anthos Service Mesh プロダクト チームにお問い合わせください。
ツールによってクラスタ内のコントロール プレーンがインストールされた理由は何ですか?
Google が管理するコントロール プレーンに移行するには、GKE クラスタがサポート対象のリージョンにあり、Anthos Service Mesh 1.10 と互換性がある必要があります。制限事項の完全なリストについては、Google が管理するコントロール プレーンでサポートされている機能をご覧ください。
この移行はマルチクラスタ設定で機能しますか?
スクリプトを使用すると、一度に 1 つずつクラスタを Anthos Service Mesh に移行できます。マルチクラスタ アーキテクチャを使用する場合は、マルチクラスタの設定ドキュメントの手順を行ってください。
Anthos Service Mesh は、マルチクラスタ アーキテクチャでマルチプライマリ モードをサポートしています。つまり、マルチクラスタ アーキテクチャに参加するすべてのクラスタに Anthos Service Mesh コントロール プレーンをデプロイする必要があります。
このスクリプトを使用して移行できる Istio はどのバージョンですか?
Istio バージョン 1.7~1.10 を移行できます。このスクリプトは、移行前の段階で Istio のバージョンを検証し、Istio のバージョンが移行可能かどうかを通知します。
この移行に関するその他のサポートを受けるにはどうすればいいですか?
サポートの TSE が対応いたします。Google Cloud コンソールからサポートケースを開くことができます。詳細については、サポートケースの管理をご覧ください。
次のステップ
- Istio 1.7 以降から Anthos Service Mesh と Mesh CA への移行を参照して、Anthos Service Mesh に移行する。