La migración de Istio a Anthos Service Mesh requiere un poco de planificación. En esta página, se proporciona información que te ayudará a prepararte para la migración.
Revisa las funciones compatibles
Las funciones que son compatibles con Anthos Service Mesh varían entre plataformas. Revisa las funciones compatibles para que conozcas cuáles están disponibles para tu plataforma. Algunas funciones están habilitadas de forma predeterminada, y otras pueden habilitarlas de forma opcional mediante la creación de un archivo de configuración IstioOperator
.
Prepara archivos de configuración
Si personalizaste la instalación de Istio, necesitas usar las mismas personalizaciones cuando migras a Anthos Service Mesh. Si personalizaste la instalación mediante la marca --set values
, agrega esa configuración a un archivo YAML IstioOperator
. Especifica el archivo con la marca -f
cuando ejecutes el comando istioctl install
. Si usas la secuencia de comandos install_asm
proporcionada por Google para migrar a Anthos Service Mesh, puedes especificar la opción --custom_overlay
con el archivo.
Elige una autoridad certificada
Puedes seguir usando la CA de Istio (antes conocida como Citadel) como la autoridad certificada (CA) para emitir TLS mutua (mTLS). También puedes migrar a la autoridad certificadora de Anthos Service Mesh (CA de Mesh).
A menos que necesites una CA personalizada, como HashiCorp Vault, te recomendamos que uses la CA de Mesh por los siguientes motivos:
- La CA de Mesh es un servicio altamente confiable y escalable que está optimizado para cargas de trabajo escaladas de forma dinámica en Google Cloud.
- Con la CA de Mesh, Google administra la seguridad y la disponibilidad del backend de CA.
- La CA de Mesh te permite tener una sola raíz de confianza entre clústeres.
La migración a la CA de Mesh desde la CA de Istio requiere la migración de la raíz de confianza. Cuando realizas la migración a la CA de Mesh, tienes las siguientes opciones:
Programa el tiempo de inactividad para la migración. Operativamente, esta es la opción más sencilla, pero debido a que el tráfico de mTLS se interrumpe durante la migración, debes programar el tiempo de inactividad. Si deseas obtener más información, consulta las siguientes guías:
Clústeres de GKE en los mismos proyectos: Migra a la CA de Mesh con tiempo de inactividad.
Clústeres de GKE en diferentes proyectos: Migra de Istio a Anthos Service Mesh.
Si no puedes programar el tiempo de inactividad para la migración a la CA de Mesh, tienes las siguientes opciones:
Clústeres de GKE en el mismo proyecto: Tienes la opción de distribuir la raíz de confianza nueva y, luego, migrar a la CA de Mesh. Con este enfoque, el tráfico de mTLS no se interrumpe, por lo que no deberías tener que programar el tiempo de inactividad, pero el proceso de migración tiene muchos más pasos. Para obtener más información, consulta Migra a la CA de Mesh.
Clústeres de GKE en diferentes proyectos: Continúa usando la CA de Istio. Consulta Migrar de Istio a Anthos Service Mesh