La migration d'Istio vers Anthos Service Mesh nécessite une certaine planification. Cette page fournit des informations pour vous aider à préparer votre migration.
Vérifier les fonctionnalités compatibles
Les fonctionnalités compatibles avec Anthos Service Mesh diffèrent selon les plates-formes. Consultez la liste des fonctionnalités compatibles pour connaître les fonctionnalités disponibles pour votre plate-forme. Certaines fonctionnalités sont activées par défaut. Vous pouvez activer les autres fonctionnalités en créant un fichier de configuration IstioOperator
.
Préparer les fichiers de configuration
Si vous avez personnalisé l'installation d'Istio, vous avez besoin des mêmes personnalisations lors de la migration vers Anthos Service Mesh. Si vous avez personnalisé l'installation en ajoutant l'option --set values
, ajoutez ces paramètres à un fichier YAML IstioOperator
. Vous spécifiez le fichier à l'aide de l'option -f
lorsque vous exécutez la commande istioctl install
. Si vous utilisez le script install_asm
fourni par Google pour migrer vers Anthos Service Mesh, vous pouvez spécifier l'option --custom_overlay
accompagnée du nom de fichier.
Choisir une autorité de certification
Vous pouvez continuer à utiliser Istio CA (anciennement Citadel) en tant qu'autorité de certification (CA) pour émettre les certificats TLS mutuels (mTLS). Vous pouvez également choisir de migrer vers l'autorité de certification Anthos Service Mesh (Mesh CA).
À moins que vous n'ayez besoin d'une autorité de certification personnalisée, telle que HashiCorp Vault, nous vous recommandons d'utiliser Mesh CA pour les raisons suivantes :
- Mesh CA est un service hautement fiable et évolutif, optimisé pour les charges de travail à scaling dynamique sur Google Cloud.
- Avec Mesh CA, Google gère la sécurité et la disponibilité du backend CA.
- Mesh CA vous permet de dépendre d'une seule racine de confiance dans les clusters.
La migration vers Mesh CA depuis Istio CA nécessite la migration de la racine de confiance. Vous disposez des options suivantes lors de la migration vers Mesh CA :
Planifiez un temps d'arrêt pour la migration. Sur le plan opérationnel, il s'agit de l'option la plus simple. Toutefois, comme le trafic mTLS est interrompu pendant la migration, vous devez planifier un temps d'arrêt. Pour en savoir plus, consultez les guides suivants :
Clusters GKE dans les mêmes projets : Migrer vers Mesh CA avec temps d'arrêt.
Clusters GKE dans différents projets : Migrer d'Istio vers Anthos Service Mesh
Si vous ne pouvez pas planifier de temps d'arrêt pour la migration vers Mesh CA, vous disposez des options suivantes :
Clusters GKE dans le même projet : vous avez la possibilité de distribuer la nouvelle racine de confiance, puis de migrer vers Mesh CA. Avec cette approche, le trafic mTLS n'est pas interrompu. Vous ne devriez donc pas avoir à planifier de temps d'arrêt, mais le processus de migration comporte de nombreuses étapes supplémentaires. Pour en savoir plus, consultez la section Migrer vers Mesh CA.
Clusters GKE dans différents projets : continuez à utiliser Istio CA. Consultez la page Migrer d'Istio vers Anthos Service Mesh.