Halaman ini menjelaskan fitur dan batasan yang didukung untuk Anthos Service Mesh terkelola. Untuk mengetahui daftar fitur yang didukung Anthos Service Mesh untuk Anthos Service Mesh dengan bidang kontrol dalam cluster, lihat Bidang kontrol dalam cluster.
Batasan
Batasan berikut berlaku:
- Cluster GKE harus berada di salah satu region yang didukung.
- Versi GKE harus berupa versi yang didukung.
- Hanya platform yang tercantum di Lingkungan yang didukung.
- Mengubah saluran rilis tidak didukung.
- Migrasi dari
Anthos Service Mesh terkelola dengan
asmcli
ke Anthos Service Mesh dengan fleet API tidak didukung. Demikian pula, penyediaan Anthos Service Mesh terkelola dengan fleet API dari--management manual
ke--management automatic
tidak didukung. - Migrasi dan upgrade hanya didukung dari Anthos Service Mesh versi 1.9+ yang diinstal dengan Mesh CA di dalam cluster. Penginstalan dengan Istio CA (sebelumnya dikenal sebagai Citadel) harus bermigrasi ke Mesh CA terlebih dahulu.
- Skala ini dibatasi untuk 1.000 layanan dan 5.000 workload per cluster.
- Hanya opsi deployment multi-primary untuk multi-cluster yang didukung: opsi deployment primer-jarak jauh untuk multi-cluster tidak didukung.
istioctl ps
tidak didukung. Sebagai gantinya, Anda dapat menggunakanistioctl x ps --xds-via-agents
untuk mencantumkan semua beban kerja. Selain itu, Anda dapat menggunakanistioctl pc
dengan nama pod dan namespace untuk mendapatkan informasi mendetail tentang pod tersebut.Istio API yang tidak didukung:
Filter Envoy
IstioOperator
API
Anda dapat menggunakan bidang kontrol terkelola tanpa langganan GKE Enterprise, tetapi elemen dan fitur UI tertentu di Konsol Google Cloud hanya tersedia bagi pelanggan GKE Enterprise. Untuk mengetahui informasi yang tersedia bagi pelanggan dan non-pelanggan, lihat perbedaan UI GKE Enterprise dan Anthos Service Mesh.
Selama proses penyediaan untuk bidang kontrol terkelola, CRD Istio yang sesuai dengan saluran yang dipilih akan diinstal di cluster yang ditentukan. Jika ada CRD Istio yang sudah ada di cluster, CRD tersebut akan ditimpa
Anthos Service Mesh Terkelola hanya mendukung domain DNS default
.cluster.local
.Mulai 14 November 2023, penginstalan baru Anthos Service Mesh terkelola di saluran rilis rapid hanya mengambil JWKS menggunakan Envoys. Ini setara dengan opsi Istio
PILOT_JWT_ENABLE_REMOTE_JWKS=envoy
. Dibandingkan dengan penginstalan pada saluran rilis regular dan stabil, atau penginstalan pada saluran rilis rapid sebelum 14 November 2023, Anda mungkin memerlukan konfigurasiServiceEntry
danDestinationRule
tambahan. Untuk contoh, lihatrequestauthn-with-se.yaml.tmpl
.
- Setelah menyediakan Anthos Service Mesh, Anda harus menghubungi dukungan sebelum memulai rotasi IP atau rotasi kredensial sertifikat.
Perbedaan saluran
Ada perbedaan dalam fitur yang didukung antara saluran rilis.
- – menunjukkan bahwa fitur tersedia dan diaktifkan secara default.
- * – menunjukkan bahwa fitur didukung untuk platform dan dapat diaktifkan, seperti yang dijelaskan dalam Mengaktifkan fitur opsional atau panduan fitur yang ditautkan dalam tabel fitur.
- – menunjukkan bahwa fitur tidak tersedia atau tidak didukung.
Fitur default dan opsional didukung sepenuhnya oleh Dukungan Google Cloud. Fitur yang tidak tercantum secara eksplisit dalam tabel akan menerima dukungan dengan upaya terbaik.
Fitur yang didukung bidang kontrol terkelola
Menginstal, mengupgrade, dan melakukan roll back
Fitur | Stabil | Reguler | Cepat |
---|---|---|---|
Penginstalan pada cluster GKE menggunakan API fitur fleet | |||
Upgrade dari versi ASM 1.9 yang menggunakan Mesh CA | |||
Upgrade langsung (level yang dilewati) dari versi Anthos Service Mesh sebelum 1.9 (lihat catatan untuk upgrade tidak langsung) | |||
Upgrade langsung (level yang dapat dilewati) dari Istio OSS (lihat catatan untuk upgrade tidak langsung) | |||
Upgrade langsung (level yang dilewati) dari add-on Istio-on-GKE (lihat catatan untuk upgrade tidak langsung) | |||
Mengaktifkan fitur opsional |
Lingkungan
Fitur | Stabil | Reguler | Cepat |
---|---|---|---|
GKE 1.25-1.27 di salah satu region yang didukung | |||
Cluster GKE 1.25-1.27 dengan Autopilot | |||
Lingkungan di luar Google Cloud (GKE Enterprise lokal, GKE Enterprise di cloud publik lainnya, Amazon EKS, Microsoft AKS, atau cluster Kubernetes lainnya) |
Skala
Fitur | Stabil | Reguler | Cepat |
---|---|---|---|
1.000 layanan dan 5.000 workload per cluster |
Lingkungan platform
Fitur | Stabil | Reguler | Cepat |
---|---|---|---|
Jaringan tunggal | |||
Multi-jaringan | |||
Project tunggal | |||
Multi-project dengan VPC bersama |
Model deployment
Fitur | Stabil | Reguler | Cepat |
---|---|---|---|
Multi-primary | |||
Remote utama |
Catatan tentang terminologi
Konfigurasi multi-primary berarti bahwa konfigurasi harus direplikasi di semua cluster.
Konfigurasi primer-jarak jauh berarti bahwa satu cluster berisi konfigurasi dan dianggap sebagai sumber kebenaran.
Anthos Service Mesh menggunakan definisi jaringan yang disederhanakan berdasarkan konektivitas umum. Instance workload berada di jaringan yang sama jika dapat berkomunikasi langsung, tanpa gateway.
Keamanan
Kontrol Layanan VPC
Fitur | Stabil | Reguler | Cepat |
---|---|---|---|
Pratinjau Kontrol Layanan VPC (VPC-SC) | |||
Kontrol Layanan VPC (VPC-SC) |
Mekanisme distribusi/rotasi sertifikat
Fitur | Stabil | Reguler | Cepat |
---|---|---|---|
Pengelolaan sertifikat workload | |||
Pengelolaan sertifikat eksternal saat gateway masuk dan keluar. |
Dukungan certificate authority (CA)
Fitur | Stabil | Reguler | Cepat |
---|---|---|---|
Otoritas sertifikat Anthos Service Mesh (Mesh CA) | |||
Certificate Authority Service | |||
Istio CA | |||
Integrasi dengan CA kustom |
Fitur keamanan Anthos Service Mesh
Selain mendukung fitur keamanan Istio, Anthos Service Mesh memberikan lebih banyak kemampuan untuk membantu Anda mengamankan aplikasi.
Fitur | Stabil | Reguler | Cepat |
---|---|---|---|
Integrasi IAP | |||
Autentikasi pengguna akhir | |||
Mode uji coba | |||
Log penolakan | |||
Mengaudit kebijakan |
Kebijakan otorisasi
Fitur | Stabil | Reguler | Cepat |
---|---|---|---|
Kebijakan otorisasi v1beta1 |
Kebijakan autentikasi
Fitur | Stabil | Reguler | Cepat |
---|---|---|---|
mTLS otomatis | |||
Mode PERMISSIF mTLS | |||
mode mTLS STRICT | * | * | * |
Minta autentikasi
Fitur | Stabil | Reguler | Cepat |
---|---|---|---|
Autentikasi JWT(Catatan 1) |
Catatan:
- JWT pihak ketiga diaktifkan secara default.
Image Dasar
Fitur | Stabil | Reguler | Cepat |
---|---|---|---|
Gambar proxy tanpa distro |
Telemetri
Metrik
Fitur | Stabil | Reguler | Cepat |
---|---|---|---|
Cloud Monitoring (metrik dalam proxy HTTP) | |||
Cloud Monitoring (metrik dalam proxy TCP) | |||
Ekspor metrik Prometheus ke Grafana (khusus metrik Envoy) | * | * | * |
Ekspor metrik Prometheus ke Kiali | |||
Google Cloud Managed Service for Prometheus, tidak termasuk dasbor Anthos Service Mesh | * | * | * |
Istio Telemetry API | |||
Adaptor/backend kustom, di dalam atau di luar proses | |||
Telemetri arbitrer dan backend logging |
Logging permintaan proxy
Fitur | Stabil | Reguler | Cepat |
---|---|---|---|
Log traffic | |||
Mengakses log | * | * | * |
Tracing
Fitur | Stabil | Reguler | Cepat |
---|---|---|---|
Cloud Trace | * | * | * |
Pelacakan Jaeger (memungkinkan penggunaan Jaeger yang dikelola pelanggan) | Kompatibel | Kompatibel | Kompatibel |
Pelacakan Zipkin (memungkinkan penggunaan Zipkin yang dikelola pelanggan) | Kompatibel | Kompatibel | Kompatibel |
Networking
Mekanisme intersepsi/pengalihan traffic
Fitur | Stabil | Reguler | Cepat |
---|---|---|---|
Penggunaan iptables secara tradisional menggunakan penampung init dengan CAP_NET_ADMIN |
|||
Antarmuka Jaringan Container Istio (CNI) | |||
File sespan whitebox |
Dukungan protokol
Fitur | Stabil | Reguler | Cepat |
---|---|---|---|
IPv4 | |||
HTTP/1.1 | |||
HTTP/2 | |||
Streaming byte TCP (Catatan 1) | |||
gRPC | |||
IPv6 |
Catatan:
- Meskipun TCP adalah protokol yang didukung untuk jaringan dan metrik TCP dikumpulkan, mereka tidak dilaporkan. Metrik hanya ditampilkan untuk layanan HTTP di Konsol Google Cloud.
- Layanan yang dikonfigurasi dengan kemampuan Lapisan 7 untuk protokol berikut tidak didukung: WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ, Cloud SQL. Anda mungkin dapat membuat protokol berfungsi dengan menggunakan dukungan aliran byte TCP. Jika aliran byte TCP tidak dapat mendukung protokol (misalnya, Kafka mengirimkan alamat pengalihan dalam balasan khusus protokol dan pengalihan ini tidak kompatibel dengan logika perutean Anthos Service Mesh), protokol tersebut tidak didukung.
Deployment Envoy
Fitur | Stabil | Reguler | Cepat |
---|---|---|---|
File bantuan | |||
Gateway masuk | |||
Traffic keluar langsung dari file bantuan | |||
Traffic keluar menggunakan gateway keluar | * | * | * |
Dukungan CRD
Fitur | Stabil | Reguler | Cepat |
---|---|---|---|
Resource file bantuan | |||
Resource entri layanan | |||
Persentase, injeksi fault, pencocokan jalur, pengalihan, percobaan ulang, penulisan ulang, waktu tunggu, percobaan ulang, pencerminan, manipulasi header, dan aturan pemilihan rute CORS | |||
Filter Envoy kustom | |||
Operator Istio |
Load balancer untuk gateway masuk Istio
Fitur | Stabil | Reguler | Cepat |
---|---|---|---|
Load balancer eksternal pihak ketiga | |||
Load balancer Internal Google Cloud | * | * | * |
Gateway cloud mesh layanan
Fitur | Stabil | Reguler | Cepat |
---|---|---|---|
Gateway cloud mesh layanan |
Kebijakan load balancing
Fitur | Stabil | Reguler | Cepat |
---|---|---|---|
Panggilan acak | |||
Koneksi terendah | |||
Acak | |||
Jalan masuk | |||
Hash konsisten | |||
Locality |
Region
Cluster GKE harus berada di salah satu region berikut atau zona mana pun di region berikut.
Region | Location |
---|---|
asia-east1 |
Taiwan |
asia-east2 |
Hong Kong |
asia-northeast1 |
Tokyo, Jepang |
asia-northeast2 |
Osaka, Jepang |
asia-northeast3 |
Korea Selatan |
asia-south1 |
Mumbai, India |
asia-south2 |
Delhi, India |
asia-southeast1 |
Singapura |
asia-southeast2 |
Jakarta |
australia-southeast1 |
Sydney, Australia |
australia-southeast2 |
Melbourne, Australia |
europe-central2 |
Polandia |
europe-north1 |
Finlandia |
europe-southwest1 |
Spanyol |
europe-west1 |
Belgia |
europe-west2 |
Inggris |
europe-west3 |
Jerman |
europe-west4 |
Belanda |
europe-west6 |
Swiss |
europe-west8 |
Italia |
europe-west9 |
Prancis |
me-central1 |
Doha |
me-central2 |
Dammam, Arab Saudi |
me-west1 |
Tel Aviv |
northamerica-northeast1 |
Montreal, Kanada |
northamerica-northeast2 |
Toronto, Kanada |
southamerica-east1 |
Brasil |
southamerica-west1 |
Cile |
us-central1 |
Iowa |
us-east1 |
South Carolina |
us-east4 |
Northern Virginia |
us-east5 |
Ohio |
us-south1 |
Dallas |
us-west1 |
Oregon |
us-west2 |
Los Angeles |
us-west3 |
Salt Lake City |
us-west4 |
Las Vegas |
Antarmuka pengguna
Fitur | Stabil | Reguler | Cepat |
---|---|---|---|
Dasbor Anthos Service Mesh di konsol Google Cloud | |||
Cloud Monitoring | |||
Cloud Logging |
Alat
Fitur | Stabil | Reguler | Cepat |
---|---|---|---|
istioctl kompatibel dengan Anthos Service Mesh 1.9.x |
|||
istioctl ps |
|||
istioctl x ps (dengan flag --xds-via-agents ) |