Migrar do Istio para o Anthos Service Mesh exige planejamento. Nesta página, você encontra informações para se preparar para a migração.
Como revisar os recursos compatíveis
Os recursos do Anthos Service Mesh são compatíveis com as diferentes plataformas. Consulte os
Recursos compatíveis para ver quais recursos estão
disponíveis para sua plataforma. Alguns recursos são ativados por padrão, e outros
podem ser ativados opcionalmente
criando um
arquivo de configuração IstioOperator
.
Como preparar arquivos de configuração
Se você personalizar a instalação do Istio, precisará das mesmas personalizações ao
migrar para o Anthos Service Mesh. Se você tiver personalizado a instalação adicionando a
sinalização --set values
, adicione essas configurações a um arquivo YAML IstioOperator
. Especifique
o arquivo usando a sinalização -f
ao executar o
comando istioctl install
. Se você estiver usando o
script install_asm
fornecido pelo Google para migrar
para o Anthos Service Mesh, especifique o
--custom_overlay
no arquivo.
Como escolher uma autoridade de certificação
É possível continuar usando a CA do Istio (anteriormente conhecida como Citadel) como autoridade de certificação (CA) para emitir TLS mútuo (mTLS, na sigla em inglês) ou migrar para a autoridade de certificação do Anthos Service Mesh (Mesh CA).
A menos que você precise de uma CA personalizada, como o HashiCorp Vault (em inglês), recomendamos que use o Mesh CA pelos seguintes motivos:
- A Mesh CA é um serviço altamente confiável e escalonável, otimizado para cargas de trabalho escalonadas dinamicamente no Google Cloud.
- Com ela, o Google gerencia a segurança e a disponibilidade do back-end da CA.
- Esta autoridade de certificação possibilita confiar em uma única raiz de confiança entre os clusters.
A migração da CA do Mesh a partir da CA do Istio requer a migração da raiz de confiança. Você tem as seguintes opções ao migrar para o Mesh CA:
Programar o tempo de inatividade da migração. Operacionalmente, essa é a opção mais fácil, mas como o tráfego mTLS é interrompido durante a migração, é necessário programar o tempo de inatividade. Para mais informações, consulte estes guias:
Clusters do GKE nos mesmos projetos: Como migrar para CA da malha com inatividade.
Clusters do GKE em projetos diferentes: Como migrar do Istio para o Anthos Service Mesh.
Se não for possível programar o tempo de inatividade da migração para o Mesh CA, você terá as seguintes opções:
Clusters do GKE no mesmo projeto: você tem a opção de distribuir a nova raiz de confiança e, em seguida, migrar para a autoridade de certificação. Com essa abordagem, o tráfego mTLS não é interrompido. Portanto, não é necessário agendar tempo de inatividade, mas o processo de migração tem muito mais etapas. Para mais informações, consulte Como migrar para a CA da malha.
Clusters do GKE em projetos diferentes: continue usando a CA do Istio. Consulte Como migrar do Istio para o Anthos Service Mesh.