Istio에서 Anthos Service Mesh로 마이그레이션하려면 몇 가지 계획이 필요합니다. 이 페이지에서는 마이그레이션을 준비하는 데 도움이 되는 정보를 제공합니다.
지원되는 기능 검토
Anthos Service Mesh에서 지원되는 기능은 플랫폼마다 다릅니다. 특정 플랫폼에서 사용 가능한 기능을 확인하려면 지원되는 기능을 참조하세요. 일부 기능은 기본적으로 사용 설정되며, 다른 기능은 IstioOperator
구성 파일을 만들어서 선택적으로 사용 설정할 수 있습니다.
구성 파일 준비
Istio 설치를 맞춤설정한 경우에는 Anthos Service Mesh로 마이그레이션할 때 동일한 맞춤설정이 필요합니다. --set values
플래그를 추가하여 설치를 맞춤설정한 경우 해당 설정을 IstioOperator
YAML 파일에 추가합니다. istioctl install
명령어를 실행할 때 -f
플래그를 사용하여 파일을 지정합니다. Google에서 제공하는 install_asm
스크립트를 사용하여 Anthos Service Mesh로 마이그레이션할 경우에는 파일에 --custom_overlay
옵션을 지정할 수 있습니다.
인증 기관 선택
상호 TLS(mTLS)를 발급하는 인증 기관(CA)으로 Istio CA(이전 명칭: Citadel)를 계속 사용할 수 있습니다. 또는 Anthos Service Mesh 인증 기관(Mesh CA)으로 마이그레이션할 수도 있습니다.
HashiCorp Vault 등의 커스텀 CA가 필요하지 않으면 다음과 같은 이유로 Mesh CA를 사용하는 것이 좋습니다.
- Mesh CA는 Google Cloud에서 동적으로 확장되는 워크로드에 최적화된 안정성과 확장성이 뛰어난 서비스입니다.
- Google은 Mesh CA를 사용하여 CA 백엔드의 보안과 가용성을 관리합니다.
- Mesh CA를 사용하면 여러 클러스터에서 신뢰할 수 있는 단일 루트를 사용할 수 있습니다.
Istio CA에서 Mesh CA로 마이그레이션하려면 신뢰할 수 있는 루트를 마이그레이션해야 합니다. Mesh CA로 마이그레이션할 때 다음 옵션을 사용할 수 있습니다.
마이그레이션을 위한 다운타임을 예약합니다. 운영 측면에서 가장 쉬운 옵션이지만, 마이그레이션 중에 mTLS 트래픽이 중단되므로 다운타임을 예약해야 합니다. 자세한 내용은 다음 가이드를 참조하세요.
동일한 프로젝트의 GKE 클러스터: 다운타임을 이용해 Mesh CA로 마이그레이션
다른 프로젝트의 GKE 클러스터: Istio에서 Anthos Service Mesh로 마이그레이션
Mesh CA로의 마이그레이션 다운타임을 예약할 수 없는 경우에는 다음과 같은 옵션이 있습니다.
같은 프로젝트의 GKE 클러스터: 새 신뢰 루트를 배포한 다음 Mesh CA로 마이그레이션. 이 접근 방식을 사용하면 mTLS 트래픽이 중단되지 않으므로 마이그레이션 프로세스를 예약할 필요가 없지만 마이그레이션 프로세스에서 밟아야 하는 단계가 늘어납니다. 자세한 내용은 Mesh CA로 마이그레이션을 참조하세요.
다른 프로젝트의 GKE 클러스터: Istio CA를 계속 사용. Istio에서 Anthos Service Mesh로 마이그레이션을 참고하세요.