La migrazione da Istio ad Anthos Service Mesh richiede un po' di pianificazione. Questa pagina fornisce informazioni utili per prepararti alla migrazione.
Controllo delle funzionalità supportate
Le funzionalità supportate da Anthos Service Mesh variano a seconda della piattaforma. Consulta la sezione Funzionalità supportate per vedere quali funzionalità sono disponibili per la tua piattaforma. Alcune funzionalità sono attive per impostazione predefinita, mentre altre
puoi attivarle in via facoltativa
creando un
file di configurazione di IstioOperator
.
Preparazione dei file di configurazione
Se hai personalizzato l'installazione di Istio, avrai bisogno delle stesse personalizzazioni durante la migrazione ad Anthos Service Mesh. Se hai personalizzato l'installazione aggiungendo il flag --set values
, aggiungi queste impostazioni a un file YAML IstioOperator
. Puoi specificare il file utilizzando il flag -f
quando esegui il comando istioctl install
. Se utilizzi lo script install_asm
fornito da Google per eseguire la migrazione ad Anthos Service Mesh, puoi specificare l'opzione --custom_overlay
con il file.
Scelta di un'autorità di certificazione
Puoi continuare a utilizzare Istio CA (precedentemente nota come Citadel) come autorità di certificazione (CA) per emettere certificati mTLS (mutual TLS) oppure puoi scegliere di eseguire la migrazione all'autorità di certificazione Anthos Service Mesh (Mesh CA).
A meno che tu non abbia bisogno di una CA personalizzata, come HashiCorp Vault, ti consigliamo di utilizzare Mesh CA per i seguenti motivi:
- Mesh CA è un servizio altamente affidabile e scalabile, ottimizzato per carichi di lavoro con scalabilità dinamica su Google Cloud.
- Con Mesh CA, Google gestisce la sicurezza e la disponibilità del backend della CA.
- Mesh CA consente di fare affidamento su un'unica radice di attendibilità tra i cluster.
La migrazione a Mesh CA dalla CA Istio richiede la migrazione della radice di attendibilità. Durante la migrazione a Mesh CA hai le seguenti opzioni:
Pianifica il tempo di inattività per la migrazione. Questa è l'opzione più semplice dal punto di vista operativo, ma poiché il traffico mTLS viene interrotto durante la migrazione, devi pianificare il tempo di inattività. Per ulteriori informazioni, consulta le seguenti guide:
Cluster GKE negli stessi progetti: Migrazione a Mesh CA con tempi di inattività.
Cluster GKE in diversi progetti: Migrazione da Istio ad Anthos Service Mesh.
Se non riesci a pianificare il tempo di inattività per la migrazione a Mesh CA, hai le seguenti opzioni:
Cluster GKE nello stesso progetto: hai la possibilità di distribuire la nuova radice di attendibilità e poi di eseguire la migrazione a mesh CA. Con questo approccio, il traffico mTLS non viene interrotto, quindi non è necessario pianificare tempi di inattività, ma il processo di migrazione prevede molti altri passaggi. Per ulteriori informazioni, consulta Migrazione a Mesh CA.
Cluster GKE in progetti diversi: continua a utilizzare la CA Istio. Consulta Migrazione da Istio a Anthos Service Mesh.