このページでは、クラスタ内コントロール プレーンの Anthos Service Mesh 1.10.6 でサポートされている機能について説明します。Google が管理するコントロール プレーンの Anthos Service Mesh 1.10.6 でサポートされる機能については、Google が管理するコントロール プレーンでサポートされる機能をご覧ください。
サポート対象のバージョン
Anthos Service Mesh のサポートは、Anthos バージョン サポート ポリシーに従って提供されます。Google では、Anthos Service Mesh の現行バージョンと 2 つ前までのマイナー バージョン(n-2)をサポートしています。次の表に、Anthos Service Mesh のサポート対象バージョンと、各バージョンの最も早いサポート終了(EOL)の日付を示します。
サポートされていないバージョンの Anthos Service Mesh を使用している場合は、Anthos Service Mesh v1.12 以降にアップグレードする必要があります。アップグレード方法については、Anthos Service Mesh のアップグレードをご覧ください。
次の表に、Anthos Service Mesh のサポートされていないバージョンとそれらのサポート終了(EOL)日を示します。
サポート ポリシーの詳細については、サポートの利用をご覧ください。
サポートされる機能は、対応プラットフォームによって異なります。また、Google Cloud クラスタの GKE が同じプロジェクトにあるのか、別のプロジェクトにあるのかによっても異なります。次の表で、 アイコンが付いている機能はデフォルトで有効になっていることを示します。サポートされるオプションは、その機能がプラットフォームでサポートされていて、オプション機能の有効化の手順で有効にできることを示しています。
デフォルト機能とオプション機能は、Google Cloud サポートで完全にサポートされています。表に記載されていない機能はベスト エフォート型のサポートになります。 アイコンが付いている機能は利用できないか、サポートされていません。その他の Anthos クラスタ列は、Google Cloud 上の GKE クラスタではないクラスタを表します(Anthos clusters on VMware、ベアメタルなど)。
インストール / アップグレード / ダウングレード
Anthos Service Mesh のインストール、アップグレード、ダウングレードは istioctl install
で行う必要があります。他の方法で Istio をインストールすることはできません。
install_asm
スクリプトの使用
install_asm
スクリプトは istioctl install
を呼び出します。install_asm
スクリプトの詳細については、GKE 単一プロジェクトをご覧ください。
機能 |
Google Cloud 上の GKE クラスタ(同じプロジェクト) |
Google Cloud 上の GKE クラスタ(異なるプロジェクト) |
その他の Anthos クラスタ |
新規インストール |
|
|
|
アップグレード |
|
|
|
Istio から移行する |
|
|
|
オプション機能の有効化 |
|
|
|
istioctl install
の使用
asmcli
の使用
現在、asmcli
を使用してインストール、アップグレード、ダウングレードを行う機能はプレビュー版です。
セキュリティ
証明書の配布 / ローテーション メカニズム
機能 |
Google Cloud 上の GKE クラスタ |
その他の Anthos クラスタ |
ワークロード証明書の管理 |
|
|
ゲートウェイ上の外部証明書の管理 |
|
|
認証局(CA)のサポート
機能 |
Google Cloud 上の GKE クラスタ(同じプロジェクト) |
Google Cloud 上の GKE クラスタ(異なるプロジェクト) |
オンプレミスの Anthos クラスタ |
その他の Anthos クラスタ |
Anthos Service Mesh 認証局(Mesh CA) |
|
|
|
|
Certificate Authority Service(プレビュー) |
|
|
|
|
Istio CA(旧称 Citadel) |
サポートされるオプション |
サポートされるオプション |
サポートされるオプション |
|
カスタム CA との統合 |
|
|
|
|
認証ポリシー
機能 |
Google Cloud 上の GKE クラスタ |
その他の Anthos クラスタ |
認証 v1beta1 ポリシー |
|
|
認証ポリシー
ピア認証
機能 |
Google Cloud 上の GKE クラスタ |
その他の Anthos クラスタ |
自動 mTLS |
|
|
mTLS PERMISSIVE モード |
|
|
mTLS の STRICT モード |
サポートされるオプション |
サポートされるオプション |
認証のリクエスト
機能 |
Google Cloud 上の GKE クラスタ |
その他の Anthos クラスタ |
JWT 認証 |
|
|
テレメトリー
指標
機能 |
Google Cloud 上の GKE クラスタ |
オンプレミスの Anthos クラスタ |
その他の Anthos クラスタ |
Cloud Monitoring(HTTP プロキシ内指標) |
|
|
|
Cloud Monitoring(TCP プロキシ内指標) |
|
|
|
お客様がインストールした Prometheus、Grafana、Kiali ダッシュボードへの Prometheus 指標のエクスポート |
互換 |
互換 |
互換 |
カスタム アダプタ / バックエンド(プロセス内またはプロセス外) |
|
|
|
任意のテレメトリーとロギング バックエンド |
|
|
|
Anthos Service Mesh 間の統合と Prometheus への指標のエクスポートがサポートされています。 |
Google Cloud コンソールのトポロジグラフでは、データソースとしてメッシュ テレメトリー サービスが使用されなくなりました。トポロジグラフのデータソースは変更されましたが、UI は変わりません。 |
アクセス ロギング
機能 |
Google Cloud 上の GKE クラスタ |
オンプレミスの Anthos クラスタ |
その他の Anthos クラスタ |
Cloud Logging |
|
|
|
Envoy の stdout への誘導 |
サポートされるオプション |
サポートされるオプション |
サポートされるオプション |
トレース
機能 |
Google Cloud 上の GKE クラスタ |
オンプレミスの Anthos クラスタ |
その他の Anthos クラスタ |
Cloud Trace |
サポートされるオプション |
サポートされるオプション |
|
Jaeger トレース(顧客管理の Jaeger の使用を許可する) |
互換 |
互換 |
互換 |
Zipkin トレース(顧客管理の Zipkin の使用を許可する) |
互換 |
互換 |
互換 |
Anthos Service Mesh と Jaeger または Zipkin の統合がサポートされています。詳細については、分散トレースをご覧ください。 |
ネットワーキング
トラフィックのインターセプト / リダイレクト メカニズム
機能 |
Google Cloud 上の GKE クラスタ |
その他の Anthos クラスタ |
CAP_NET_ADMIN と init コンテナを使用する iptables の従来の使用 |
|
|
Istio Container Network Interface(CNI) |
サポートされるオプション |
サポートされるオプション |
ホワイトボックス サイドカー |
|
|
プロトコル サポート
機能 |
Google Cloud 上の GKE クラスタ |
その他の Anthos クラスタ |
IPv4 |
|
|
HTTP/1.1 |
|
|
HTTP/2 |
|
|
TCP バイト ストリーム(注 1) |
|
|
gRPC |
|
|
IPv6 |
|
|
注:
- TCP はネットワーキング用のプロトコルですが、TCP 指標は収集または報告されません。指標は、コンソール内の HTTP サービスにのみ表示されます。
- レイヤ 7 機能で WebSocket、MongoDB、Redis、Kafka、Cassandra、RabbitMQ、Cloud SQL のプロトコル向けに構成されているサービスはサポートされません。TCP バイト ストリームのサポートを使用して、プロトコルを機能させることができます。TCP バイト ストリームがプロトコルをサポートできない場合(たとえば、Kafka がプロトコル固有の応答でリダイレクト アドレスを送信し、このリダイレクトが Anthos Service Mesh のルーティング ロジックと互換性がない場合)、プロトコルはサポートされません。
Envoy のデプロイ
機能 |
Google Cloud 上の GKE クラスタ |
その他の Anthos クラスタ |
サイドカー |
|
|
Ingress ゲートウェイ |
|
|
サイドカーから直接の下り(外向き) |
|
|
Egress ゲートウェイを使用した下り(外向き) |
サポートされるオプション |
サポートされるオプション |
CRD サポート
機能 |
Google Cloud 上の GKE クラスタ |
その他の Anthos クラスタ |
サイドカー リソース |
|
|
サービス エントリ リソース |
|
|
割合、フォールト インジェクション、パスマッチング、リダイレクト、再試行、書き換え、タイムアウト、再試行、ミラーリング、ヘッダー操作、CORS ルーティング ルール |
|
|
カスタム Envoy フィルタ |
|
|
Istio Ingress Gateway のロードバランサ
機能 |
Google Cloud 上の GKE クラスタ |
その他の Anthos クラスタ |
パブリック ロードバランサ |
|
|
Google Cloud Internal load balancer |
サポートされるオプション |
サポートされていません。以下のリンクをご覧ください。 |
ロードバランサの構成については、次をご覧ください。
負荷分散ポリシー
機能 |
Google Cloud 上の GKE クラスタ |
その他の Anthos クラスタ |
ラウンドロビン |
|
|
最小接続 |
|
|
ランダム |
|
|
パススルー |
|
|
コンシステント ハッシュ |
|
|
局所加重 |
|
|
マルチクラスタのサポート
別のプロジェクト内の GKE クラスタのマルチプライマリ デプロイでは、すべてのクラスタが共有 Virtual Private Cloud(VPC)内に存在する必要があります。
ネットワーク
機能 |
Google Cloud 上の GKE クラスタ |
オンプレミスの Anthos クラスタ |
その他の Anthos クラスタ |
単一ネットワーク |
|
|
|
マルチネットワーク |
|
|
|
デプロイモデル
機能 |
Google Cloud 上の GKE クラスタ |
オンプレミスの Anthos クラスタ |
その他の Anthos クラスタ |
マルチプライマリ |
|
|
|
プライマリリモート |
|
|
|
用語に関する注意事項
プライマリ クラスタは、コントロール プレーンを含むクラスタです。1 つのメッシュで複数のプライマリ クラスタを使用することで、高可用性の実現やレイテンシの短縮が可能です。Istio 1.7 ドキュメントでは、マルチプライマリ デプロイはレプリケートされたコントロール プレーンと呼ばれます。
リモート クラスタは、クラスタの外部に存在するコントロール プレーンに接続するクラスタです。リモート クラスタは、プライマリ クラスタで実行されているコントロール プレーンまたは外部コントロール プレーンに接続できます。
Anthos Service Mesh では、一般的な接続に基づいて、簡素化されたネットワーク定義を使用しています。ワークロード インスタンスは、ゲートウェイなしで直接通信できる場合は同じネットワーク上に存在します。
ユーザー インターフェース
機能 |
Google Cloud 上の GKE クラスタ(同じプロジェクト) |
Google Cloud 上の GKE クラスタ(異なるプロジェクト) |
オンプレミスの Anthos クラスタ |
その他の Anthos クラスタ |
コンソールの Anthos Service Mesh ダッシュボード |
|
|
|
|
Cloud Monitoring |
|
|
|
|
Cloud Logging |
|
|
|
|
Cloud Trace |
|
|
|
|
Anthos Service Mesh 1.10.6 では、次の環境のみがサポートされています。その他の環境はすべてサポート対象外です。
プラットフォーム |
バージョン |
Google Cloud 上の GKE |
Google Cloud 上の GKE クラスタは、リリース チャンネルに登録することをおすすめします。登録時には、Regular のリリース チャンネルを使用してください。他のチャンネルは、サポートされていない GKE バージョンをベースにしていることがあります。Anthos Service Mesh 1.10.6 は、GKE バージョン 1.18 以降をサポートしています。 各リリース チャンネルに含まれる GKE バージョンの詳細については、以下をご覧ください。
Autopilot クラスタには、istio-sidecar-injector の MutatingWebhookConfiguration を許可しないという Webhook の制限があります。このため、GKE クラスタは Standard でなければなりません。
|
Anthos clusters on VMware 1.8 |
Kubernetes バージョン 1.20 |
ベアメタル版 Anthos 1.8 |
Kubernetes バージョン 1.20 |
Anthos clusters on AWS 1.8 |
Kubernetes バージョン 1.20 |
Anthos 接続クラスタ |
Anthos 接続クラスタ(Amazon EKS および Microsoft AKS)で Anthos Service Mesh 1.10.6-asm.2 はテストされていないため、サポートされていません。これらのプラットフォームは、Kubernetes 1.17 の Anthos Service Mesh 1.7 で動作が確認され、完全にサポートされています。これらのプラットフォームに Anthos Service Mesh 1.7 をインストールしている場合は、Anthos Service Mesh 1.10.6-asm.2 にアップグレードしないでください。詳細については、Anthos 接続クラスタへの Anthos Service Mesh 1.7 のインストールをご覧ください。 |