이 페이지에서는 동일한 프로젝트의 클러스터에 포함된 메시의 Cloud 프로젝트 및 Google Kubernetes Engine(GKE) 클러스터의 Anthos Service Mesh 설정에 대해 설명합니다. Google에서 제공하는 스크립트인 install_asm
을 사용할 때 --enable_all
플래그 또는 더 세분화된 사용 설정 플래그를 사용하면 스크립트에서 프로젝트 및 클러스터를 자동으로 구성할 수 있습니다.
install_asm
을 변경하지 않고 직접 설정하려면 이 페이지의 단계를 따르세요. 이전 버전의 Anthos Service Mesh가 이미 설치되어 있는 경우 최신 Anthos Service Mesh 버전으로 업그레이드하기 위해 install_asm
을 사용하기 전에 프로젝트나 클러스터를 변경할 필요가 없습니다.
시작하기 전에
프로젝트 설정
클러스터가 생성된 프로젝트의 프로젝트 ID와 프로젝트 번호를 가져옵니다.
gcloud
다음 명령어를 실행합니다.
gcloud projects list
콘솔
Google Cloud 콘솔의 대시보드 페이지로 이동합니다.
페이지 상단의 프로젝트 드롭다운 목록을 클릭합니다. 선택 창이 나타나면 프로젝트를 선택합니다.
프로젝트 ID와 프로젝트 번호가 프로젝트 대시보드 프로젝트 정보 카드에 표시됩니다.
다음의 환경 변수를 만듭니다.
프로젝트 ID를 사용하여 워크로드 풀을 설정합니다.
export WORKLOAD_POOL=PROJECT_ID.svc.id.goog
프로젝트 번호를 사용하여 메시 ID를 설정합니다.
export MESH_ID="proj-PROJECT_NUMBER"
필요한 Identity and Access Management(IAM) 역할을 설정합니다. 프로젝트 소유자인 경우 설치를 완료하는 데 필요한 모든 권한이 있습니다. 프로젝트 소유자가 아닌 경우 다음과 같은 특정 IAM 역할을 부여할 사람이 필요합니다. 다음 명령어에서
PROJECT_ID
를 이전 단계의 프로젝트 ID로 바꾸고GCP_EMAIL_ADDRESS
를 Google Cloud에 로그인하는 데 사용하는 계정으로 바꿉니다.ROLES=( 'roles/servicemanagement.admin' \ 'roles/serviceusage.serviceUsageAdmin' \ 'roles/meshconfig.admin' \ 'roles/compute.admin' \ 'roles/container.admin' \ 'roles/resourcemanager.projectIamAdmin' \ 'roles/iam.serviceAccountAdmin' \ 'roles/iam.serviceAccountKeyAdmin' \ 'roles/gkehub.admin') for role in "${ROLES[@]}" do gcloud projects add-iam-policy-binding PROJECT_ID \ --member "user:GCP_EMAIL_ADDRESS" \ --role="$role" done
install_asm
을 실행할 때--enable_all
또는--enable_gcp_iam_roles
플래그를 포함하면 필수 IAM 역할이 자동으로 설정됩니다.다음 Google API를 사용 설정합니다.
gcloud services enable \ --project=PROJECT_ID \ container.googleapis.com \ compute.googleapis.com \ monitoring.googleapis.com \ logging.googleapis.com \ cloudtrace.googleapis.com \ meshca.googleapis.com \ meshtelemetry.googleapis.com \ meshconfig.googleapis.com \ iamcredentials.googleapis.com \ gkeconnect.googleapis.com \ gkehub.googleapis.com \ cloudresourcemanager.googleapis.com \ stackdriver.googleapis.com
API를 사용 설정하려면 완료하는 데 1분 이상 걸릴 수 있습니다. API가 사용 설정되면 다음과 비슷한 출력이 표시됩니다.
Operation "operations/acf.601db672-88e6-4f98-8ceb-aa3b5725533c" finished successfully.
install_asm
을 실행할 때--enable_all
또는--enable_apis
플래그를 포함하면 필수 API가 자동으로 사용 설정됩니다.
클러스터 설정
--enable_all
플래그 또는 더 세분화된 사용 설정 플래그 중 하나를 포함하면 install_asm
스크립트에서 자동으로 클러스터를 설정합니다.
Google Cloud CLI의 기본 영역 또는 리전을 설정합니다. 여기서 기본값을 설정하지 않으면 이 페이지의
gcloud container clusters
명령어에--zone
또는--region
옵션을 지정해야 합니다.단일 영역 클러스터가 있는 경우 기본 영역을 설정합니다.
gcloud config set compute/zone CLUSTER_LOCATION
리전 클러스터가 있는 경우 기본 리전을 설정합니다.
gcloud config set compute/region CLUSTER_LOCATION
클러스터에
mesh_id
라벨을 설정합니다. 클러스터에 보존하려는 기존 라벨이 있으면mesh_id
라벨을 추가할 때 이러한 라벨을 포함해야 합니다.클러스터에 기존 라벨이 있는지 확인하려면 다음 안내를 따르세요.
gcloud container clusters describe CLUSTER_NAME \ --project PROJECT_ID
출력에서
resourceLabels
필드를 찾습니다. 각 라벨은resourceLabels
필드 아래에 있는 별도의 줄에 저장됩니다. 예를 들면 다음과 같습니다.resourceLabels: csm: '' env: dev release: stable
편의를 위해 환경 변수에 라벨을 추가할 수 있습니다. 다음에서
YOUR_EXISTING_LABELS
를 쉼표로 구분된 클러스터의 기존 라벨 목록을KEY=VALUE
(예:env=dev,release=stable
)로 바꿉니다.export EXISTING_LABELS="YOUR_EXISTING_LABELS"
mesh_id
라벨을 설정합니다.클러스터에 보존하려는 기존 라벨이 있으면
mesh_id
와 기존 라벨을 사용하여 클러스터를 업데이트합니다.gcloud container clusters update CLUSTER_NAME \ --project PROJECT_ID \ --update-labels=mesh_id=${MESH_ID},${EXISTING_LABELS}
클러스터에 기존 라벨이 없는 경우
mesh_id
라벨로만 클러스터를 업데이트합니다.gcloud container clusters update CLUSTER_NAME \ --project=PROJECT_ID \ --update-labels=mesh_id=${MESH_ID}
워크로드 아이덴티티를 사용 설정합니다.
gcloud container clusters update CLUSTER_NAME \ --project=PROJECT_ID \ --workload-pool=${WORKLOAD_POOL}
워크로드 아이덴티티를 사용 설정하는 데 최대 10~15분이 걸릴 수 있습니다.
프로젝트를 설치할 수 있도록 초기화합니다. 무엇보다도 이 명령어는 사이드카 프록시와 같은 데이터 영역 구성요소가 프로젝트의 데이터 및 리소스에 안전하게 액세스할 수 있도록 서비스 계정을 만듭니다.
curl --request POST \ --header "Authorization: Bearer $(gcloud auth print-access-token)" \ --data '' \ "https://meshconfig.googleapis.com/v1alpha1/projects/PROJECT_ID:initialize"
이 명령어는 빈 중괄호(
{}
)를 사용하여 응답합니다.GKE에서 Cloud Monitoring 및 Cloud Logging을 사용 설정합니다.
gcloud container clusters update CLUSTER_NAME \ --project=PROJECT_ID \ --logging=SYSTEM,WORKLOAD \ --monitoring=SYSTEM
이제 install_asm
을 사용하여 프로젝트 및 GKE 클러스터를 Istio에서 새로 설치하거나 마이그레이션할 수 있습니다. install_asm
을 사용하여 Anthos Service Mesh를 설치하는 경우 스크립트가 다음을 수행합니다.
- 프로젝트와 클러스터를 검사합니다.
- 제어 영역 구성요소가 프로젝트의 데이터 및 리소스에 액세스할 수 있도록 프로젝트에 서비스 계정을 만듭니다.
- 기본 기능을 사용 설정하기 위해 프로젝트 및 클러스터 정보를 사용하여 필요한
IstioOperator
커스텀 리소스(CR) 파일을 구성합니다. istioctl install
을 호출합니다. 선택적인 기능을 사용 설정하기 위해install_asm
을 호출할 때 선택적인IstioOperator
CR 파일을 지정할 수 있습니다.
다음 단계
- 새로 설치하는 방법은 Anthos Service Mesh 설치를 참조하세요.
- Istio에서 Anthos Service Mesh로 마이그레이션하려면 Istio에서 마이그레이션을 참조하세요.