从 Istio 迁移到 Anthos Service Mesh 需要一些规划。本页面提供的信息可帮助您为迁移做好准备。
查看支持的功能
Anthos Service Mesh 支持的功能因平台而异。如需了解哪些功能适用于您的平台,请查看支持的功能。某些功能默认处于启用状态,其他功能可以通过创建 IstioOperator 配置文件视需要启用。
准备配置文件
如果您自定义了 Istio 安装,则在迁移到 Anthos Service Mesh 时也需要使用相同的自定义设置。如果您通过添加 --set values 标志自定义了安装,请将这些设置添加到 IstioOperator YAML 文件中。您可以在运行 istioctl install 命令时使用 -f 标志指定该文件。如果您要使用 Google 提供的 install_asm 脚本迁移到 Anthos Service Mesh,则可以在该文件中指定 --custom_overlay 选项。
选择证书授权机构
您可以继续使用 Istio CA(以前称为 Citadel)作为颁发双向 TLS (mTLS) 的证书授权机构 (CA),或您可以选择迁移到 Anthos Service Mesh 证书授权机构 (Mesh CA)。
除非您需要自定义 CA(例如 HashiCorp Vault),否则我们建议您使用 Mesh CA,原因如下:
- Mesh CA 是一项高度可靠的可扩缩服务,针对 Google Cloud 上动态扩缩的工作负载进行了优化。
- 通过 Mesh CA,Google 负责管理 CA 后端的安全性和可用性。
- Mesh CA 让您可在集群中依赖单个信任根。
从 Istio CA 迁移到 Mesh CA 需要迁移信任根。迁移到 Mesh CA 时,可选择以下选项:
为迁移安排停机时间。从操作角度来看,这是最简单的选项,但由于 mTLS 流量在迁移过程中会中断,因此您需要安排停机时间。如需了解详情,请参阅以下指南:
相同项目中的 GKE 集群:迁移到 Mesh CA 但有停机。
不同项目中的 GKE 集群:从 Istio 迁移到 Anthos Service Mesh。
如果您无法为迁移到 Mesh CA 安排停机时间,则可以选择以下方式:
同一项目中的 GKE 集群:您可以选择分发新的信任根,然后迁移到 Mesh CA。通过这种方法,mTLS 流量不会中断,因此您不需要安排停机时间,但迁移过程需要执行更多步骤。如需了解详情,请参阅迁移到 Mesh CA。
不同项目中的 GKE 集群:继续使用 Istio CA。请参阅从 Istio 迁移到 Anthos Service Mesh。