本页面介绍了代管式 Anthos Service Mesh 支持的功能和限制。如需查看带有集群内控制层面的 Anthos Service Mesh 支持的 Anthos Service Mesh 功能列表,请参阅集群内控制层面。
限制
存在以下限制:
- GKE 集群必须位于受支持的区域之一中。
- GKE 版本必须是受支持的版本。
- 仅支持在环境中列出的平台。
- 不支持更改发布渠道。
- 不支持从具有
asmcli 的代管式 Anthos Service Mesh 迁移到具有 Fleet API 的 Anthos Service Mesh。同样,不支持将具有 Fleet API 的代管式 Anthos Service Mesh 从 --management manual 预配为 --management automatic。
- 只有使用 Mesh CA 安装的集群内 Anthos Service Mesh 1.9+ 版才支持迁移和升级。使用 Istio CA(以前称为 Citadel)进行的安装必须先迁移到 Mesh CA。
- 缩放仅限于每个集群 1000 项服务和 5000 个工作负载。
- 仅支持多集群的多主要部署选项:多集群的主要远程部署选项不受支持。
- 不支持
istioctl ps。您可以改用 istioctl x ps --xds-via-agents 列出所有工作负载。此外,您还可以将 istioctl pc 与 pod 名称和命名空间一起使用,以获取 pod 的详细信息。
不支持的 Istio API:
Envoy 过滤条件
IstioOperator API
您可以在不订阅 GKE Enterprise 的情况下使用代管式控制平面,但 Google Cloud 控制台中的某些界面元素和功能仅限 GKE Enterprise 订阅者使用。如需了解订阅者和非订阅者可以使用的内容,请参阅 GKE Enterprise 和 Anthos Service Mesh 界面差异。
在代管式控制平面的预配过程中,与所选渠道对应的 Istio CRD 将安装在指定集群中。如果集群中已有 Istio CRD,它们将被覆盖
代管式 Anthos Service Mesh 仅支持默认 DNS 网域 .cluster.local。
自 2023 年 11 月 14 日起,在快速发布渠道上新安装的代管式 Anthos Service Mesh 仅使用 Envoys 提取 JWKS。此选项等同于 PILOT_JWT_ENABLE_REMOTE_JWKS=envoy Istio 选项。与在 2023 年 11 月 14 日之前在常规和稳定发布渠道上安装,或在快速发布渠道上安装,与在 2023 年 11 月 14 日之前安装,您可能需要额外的 ServiceEntry 和 DestinationRule 配置。如需查看示例,请参阅 requestauthn-with-se.yaml.tmpl。
渠道差异
受支持的功能在发布版本之间存在差异。
- - 表示该功能可用且默认处于启用状态。
- – 表示平台支持该功能且可启用,如启用可选功能或功能表中链接的功能指南中所述。
- - 表示该功能不可用或不受支持。
Google Cloud 支持完全支持默认功能和可选功能。该表中未明确列出的功能会得到全力支持。
代管式控制平面支持的功能
安装、升级和回滚
| 特征 |
稳定版 |
普通 |
快速 |
| 使用舰队功能 API 在 GKE 集群上安装 |
|
|
|
| 从使用 Mesh CA 的 ASM 1.9 版升级 |
|
|
|
| 来自 1.9 之前 Anthos Service Mesh 版本的直接(跳过层级)升级(请参阅间接升级的说明) |
|
|
|
| 从 Istio OSS 直接升级(跳过层级)(请参阅间接升级的说明) |
|
|
|
| 从 Istio-on-GKE 插件直接升级(跳过层级)(请参阅间接升级的说明) |
|
|
|
| 启用可选功能 |
|
|
|
环境
| 特征 |
稳定版 |
普通 |
快速 |
| GKE 1.25-1.27 位于其中一个受支持的区域中 |
|
|
|
| 具有 Autopilot 的 GKE 1.25-1.27 集群 |
|
|
|
| Google Cloud 以外的环境(本地 GKE Enterprise、其他公有云上的 GKE Enterprise、Amazon EKS、Microsoft AKS 或其他 Kubernetes 集群) |
|
|
|
扩容
| 特征 |
稳定版 |
普通 |
快速 |
| 每个集群 1000 项服务和 5000 个工作负载 |
|
|
|
| 特征 |
稳定版 |
普通 |
快速 |
| 单网络 |
|
|
|
| 多网络 |
|
|
|
| 单项目 |
|
|
|
| 使用共享 VPC 的多项目 |
|
|
|
部署模型
有关术语的注意事项
安全性
VPC Service Controls
证书分发/轮替机制
| 特征 |
稳定版 |
普通 |
快速 |
| 工作负载证书管理 |
|
|
|
| 入站流量和出站流量网关的外部证书管理。 |
|
|
|
证书授权机构 (CA) 支持
Anthos Service Mesh 安全功能
除了支持 Istio 安全功能之外,Anthos Service Mesh 还提供了更多功能来帮助您保护应用。
授权政策
| 特征 |
稳定版 |
普通 |
快速 |
| 授权 v1beta1 政策 |
|
|
|
身份验证政策
| 特征 |
稳定版 |
普通 |
快速 |
| 自动 mTLS |
|
|
|
| mTLS PERMISSIVE 模式 |
|
|
|
| mTLS STRICT 模式 |
* |
* |
* |
请求身份验证
注意:
- 第三方 JWT 默认处于启用状态。
基础映像
遥测
指标
| 特征 |
稳定版 |
普通 |
快速 |
| Cloud Monitoring(HTTP 代理中指标) |
|
|
|
| Cloud Monitoring(TCP 代理中指标) |
|
|
|
| Prometheus 指标会导出到 Grafana(仅限 Envoy 指标) |
* |
* |
* |
| 将 Prometheus 指标导出到 Kiali |
|
|
|
| Google Cloud Managed Service for Prometheus,不包括 Anthos Service Mesh 信息中心 |
* |
* |
* |
| Istio Telemetry API |
|
|
|
| 自定义适配器/后端,出入进程 |
|
|
|
| 任意遥测和日志记录后端 |
|
|
|
代理请求日志记录
跟踪
| 特征 |
稳定版 |
普通 |
快速 |
| Cloud Trace |
* |
* |
* |
| Jaeger 跟踪(允许使用客户管理的 Jaeger) |
兼容 |
兼容 |
兼容 |
| Zipkin 跟踪(允许使用客户管理的 Zipkin) |
兼容 |
兼容 |
兼容 |
网络
流量拦截/重定向机制
| 特征 |
稳定版 |
普通 |
快速 |
iptables 的传统用法:将 init 容器与 CAP_NET_ADMIN 结合使用 |
|
|
|
| Istio 容器网络接口 (CNI) |
|
|
|
| 白盒 Sidecar |
|
|
|
协议支持
| 特征 |
稳定版 |
普通 |
快速 |
| IPv4 |
|
|
|
| HTTP/1.1 |
|
|
|
| HTTP/2 |
|
|
|
| TCP 字节流(备注 1) |
|
|
|
| gRPC |
|
|
|
| IPv6 |
|
|
|
注意:
- 虽然 TCP 是网络支持的协议,并且系统会收集 TCP 指标,但不会报告它们。在 Google Cloud 控制台中,系统仅显示 HTTP 服务的指标。
- 不支持将配置有第 7 层功能的服务用于以下协议:WebSocket、MongoDB、Redis、Kafka、Cassandra、RabbitMQ、Cloud SQL。您可以通过 TCP 字节流支持来使协议正常工作。如果 TCP 字节流无法支持协议(例如,Kafka 在特定于协议的回复中发送重定向地址,并且此重定向与 Anthos Service Mesh 的路由逻辑不兼容),则协议不受支持。
Envoy 部署
| 特征 |
稳定版 |
普通 |
快速 |
| Sidecar |
|
|
|
| 入站流量网关 |
|
|
|
| 直接从 Sidecar 出站 |
|
|
|
| 使用出站流量网关出站 |
* |
* |
* |
CRD 支持
| 特征 |
稳定版 |
普通 |
快速 |
| Sidecar 资源 |
|
|
|
| 服务条目资源 |
|
|
|
| 百分比、故障注入、路径匹配、重定向、重试、重写、超时、重试、镜像、标头操纵和 CORS 路由规则 |
|
|
|
| 自定义 Envoy 过滤器 |
|
|
|
| Istio Operator |
|
|
|
Istio 入站流量网关的负载均衡器
| 特征 |
稳定版 |
普通 |
快速 |
| 第三方外部负载均衡器 |
|
|
|
| Google Cloud 内部负载均衡器 |
* |
* |
* |
服务网格云网关
负载均衡政策
| 特征 |
稳定版 |
普通 |
快速 |
| 轮循 |
|
|
|
| 最少连接 |
|
|
|
| 随机 |
|
|
|
| 直通 |
|
|
|
| 一致的哈希 |
|
|
|
| 局部 |
|
|
|
区域
GKE 集群必须位于以下区域之一中或以下区域内的任何可用区中。
| 区域 |
位置 |
asia-east1 |
中国台湾 |
asia-east2 |
香港 |
asia-northeast1 |
日本东京 |
asia-northeast2 |
日本大阪 |
asia-northeast3 |
韩国 |
asia-south1 |
印度孟买 |
asia-south2 |
德里(印度) |
asia-southeast1 |
新加坡 |
asia-southeast2 |
雅加达 |
australia-southeast1 |
澳大利亚悉尼 |
australia-southeast2 |
澳大利亚墨尔本 |
europe-central2 |
波兰 |
europe-north1 |
芬兰 |
europe-southwest1 |
西班牙 |
europe-west1 |
比利时 |
europe-west2 |
英格兰 |
europe-west3 |
德国 |
europe-west4 |
荷兰 |
europe-west6 |
瑞士 |
europe-west8 |
意大利 |
europe-west9 |
法国 |
me-central1 |
多哈 |
me-central2 |
沙特阿拉伯达曼 |
me-west1 |
特拉维夫 |
northamerica-northeast1 |
加拿大蒙特利尔 |
northamerica-northeast2 |
加拿大多伦多 |
southamerica-east1 |
巴西 |
southamerica-west1 |
智利 |
us-central1 |
爱荷华 |
us-east1 |
南卡罗来纳 |
us-east4 |
北弗吉尼亚 |
us-east5 |
俄亥俄 |
us-south1 |
达拉斯 |
us-west1 |
俄勒冈 |
us-west2 |
洛杉矶 |
us-west3 |
盐湖城 |
us-west4 |
拉斯维加斯 |
界面
| 特征 |
稳定版 |
普通 |
快速 |
| Google Cloud 控制台中的 Anthos Service Mesh 信息中心 |
|
|
|
| Cloud Monitoring |
|
|
|
| Cloud Logging |
|
|
|
| 特征 |
稳定版 |
普通 |
快速 |
istioctl 与 Anthos Service Mesh 1.9.x 兼容 |
|
|
|
istioctl ps |
|
|
|
istioctl x ps(带有 --xds-via-agents 标志) |
|
|
|
