Istio からの移行の準備

Istio から Anthos Service Mesh に移行するには、いくつかの計画が必要です。このページでは、移行の準備に役立つ情報を提供します。

サポートされる機能の確認

Anthos Service Mesh がサポートする機能はプラットフォームによって異なります。サポートされる機能を確認して、お使いのプラットフォームで使用できる機能をご覧ください。一部の機能はデフォルトで有効になっており、それ以外は IstioOperator 構成ファイルを作成することで、必要に応じて有効にすることもできます。

構成ファイルの準備

Istio のインストールをカスタマイズした場合は、Anthos Service Mesh に移行する際に、同じカスタマイズを行う必要があります。--set values フラグを追加してインストールをカスタマイズした場合は、これらの設定を IstioOperator YAML ファイルに追加します。このファイルを指定するには、istioctl install コマンドを実行するときに -f フラグを使用します。Google 提供の install_asm スクリプトを使用して Anthos Service Mesh に移行する場合は、ファイルに --custom_overlay オプションを指定できます。

認証局の選択

相互 TLS（mTLS）証明書を発行する認証局（CA）として、引き続き Istio CA（旧 Citadel）使用できます。また、Anthos Service Mesh 認証局（Mesh CA）に移行することもできます。

カスタム CA（HashiCorp Vault など）が必要な場合を除き、次の理由から Mesh CA を使用することをおすすめします。

• Mesh CA は、信頼性の高いスケーラブルなサービスで、Google Cloud 上で動的にスケーリングされるワークロード用に最適化されています。
• Mesh CA を使用する場合、Google は CA バックエンドのセキュリティと可用性を管理します。
• Mesh CA を使用すると、クラスタ間で単一のルート オブ トラストを使用できます。

Istio CA から Mesh CA への移行には、ルート オブ トラストを移行する必要があります。Mesh CA に移行する場合、次のオプションがあります。

• 移行のダウンタイムをスケジュールします。運用上、これが最も簡単なオプションですが、移行中に mTLS トラフィックが中断されるため、ダウンタイムをスケジュールする必要があります。詳細については、次のガイドをご覧ください。

  • 同じプロジェクト内の GKE クラスタ: ダウンタイムを伴う Mesh CA への移行。

  • 異なるプロジェクト内の GKE クラスタ: Istio から Anthos Service Mesh への移行。

• Mesh CA への移行のダウンタイムをスケジューリングできない場合は、次のオプションがあります。

  • 同じプロジェクト内の GKE クラスタ: 新しいルート オブ トラストを配布してから、Mesh CA に移行するというオプションがあります。このアプローチでは、mTLS トラフィックが中断されないため、ダウンタイムをスケジューリングする必要はありませんが、移行プロセスにはより多くのステップが伴います。詳細については、メッシュ CA への移行をご覧ください。

  • 異なるプロジェクト内の GKE クラスタ: Istio CA を引き続き使用します。Istio から Anthos Service Mesh への移行をご覧ください。