Bersiap untuk bermigrasi dari Istio

Migrasi dari Istio ke Anthos Service Mesh memerlukan beberapa perencanaan. Halaman ini memberikan informasi untuk membantu Anda mempersiapkan migrasi.

Meninjau fitur yang didukung

Fitur yang didukung Anthos Service Mesh berbeda antar platform. Tinjau Fitur yang didukung untuk mengetahui fitur yang tersedia untuk platform Anda. Beberapa fitur diaktifkan secara default, dan fitur lainnya dapat Anda aktifkan secara opsional dengan membuat file konfigurasi IstioOperator.

Menyiapkan file konfigurasi

Jika Anda menyesuaikan penginstalan Istio, Anda memerlukan penyesuaian yang sama saat bermigrasi ke Anthos Service Mesh. Jika Anda menyesuaikan penginstalan dengan menambahkan flag --set values, tambahkan setelan tersebut ke file YAML IstioOperator. Anda menentukan file menggunakan tanda -f saat menjalankan perintah istioctl install. Jika menggunakan skrip install_asm yang disediakan Google untuk bermigrasi ke Anthos Service Mesh, Anda dapat menentukan opsi --custom_overlay dengan file.

Memilih certificate authority

Anda dapat terus menggunakan Istio CA (sebelumnya dikenal sebagai Citadel) sebagai certificate authority (CA) untuk menerbitkan sertifikat TLS (mTLS), atau Anda dapat memilih untuk bermigrasi ke certificate authority Anthos Service Mesh (Mesh CA).

Kecuali Anda memerlukan CA kustom, seperti HashiCorp Vault, sebaiknya gunakan Mesh CA untuk alasan berikut:

• Mesh CA adalah layanan yang sangat andal dan skalabel yang dioptimalkan untuk workload yang diskalakan secara dinamis di Google Cloud.
• Dengan Mesh CA, Google mengelola keamanan dan ketersediaan backend CA.
• Mesh CA memungkinkan Anda mengandalkan satu root kepercayaan di seluruh cluster.

Bermigrasi ke Mesh CA dari Istio CA memerlukan migrasi root of trust. Anda memiliki opsi berikut saat bermigrasi ke Mesh CA:

• Menjadwalkan periode nonaktif untuk migrasi. Secara operasional, ini adalah opsi yang paling mudah, tetapi karena traffic mTLS terganggu selama migrasi, Anda perlu menjadwalkan periode nonaktif. Untuk informasi selengkapnya, lihat panduan berikut:

  • Cluster GKE dalam project yang sama: Bermigrasi ke Mesh CA dengan periode nonaktif.

  • Cluster GKE di berbagai project: Bermigrasi dari Istio ke Anthos Service Mesh.

• Jika tidak dapat menjadwalkan periode nonaktif untuk migrasi ke Mesh CA, Anda memiliki opsi berikut:

  • Cluster GKE dalam project yang sama: Anda memiliki opsi untuk mendistribusikan root kepercayaan baru, lalu bermigrasi ke Mesh CA. Dengan pendekatan ini, traffic mTLS tidak terganggu sehingga Anda tidak perlu menjadwalkan periode nonaktif, tetapi proses migrasi memiliki banyak langkah lainnya. Untuk informasi selengkapnya, lihat Bermigrasi ke Mesh CA.

  • Cluster GKE dalam berbagai project: Terus gunakan Istio CA. Lihat Bermigrasi dari Istio ke Anthos Service Mesh.