本页面介绍了具有集群内控制层面的 Anthos Service Mesh 1.10.6 支持的功能。如需改用 Google 管理的控制平面的 Anthos Service Mesh 1.10.6 支持的功能,请参阅 Google 管理的控制平面。
支持的版本
对 Anthos Service Mesh 的支持遵循 Anthos 版本支持政策。Google 支持当前和以前的两个 (n-2) 次要版本的 Anthos Service Mesh。下表显示了受支持的 Anthos Service Mesh 版本以及某个版本的最早服务终止 (EOL) 日期。
如果您使用的是不受支持的 Anthos Service Mesh 版本,则必须升级到 Anthos Service Mesh 1.12 或更高版本。如需了解如何升级,请参阅升级 Anthos Service Mesh。
下表显示了不受支持的 Anthos Service Mesh 版本及其服务终止 (EOL) 日期。
如需详细了解我们的支持政策,请参阅获取支持。
支持的功能因支持的平台以及 GKE on Google Cloud 集群位于同一项目还是不同项目中而异。在下表中,任何带有 图标的功能表示该功能默认处于启用状态。支持的可选表示平台支持该功能且可启用,如启用可选功能中所述。
Google Cloud 支持完全支持默认功能和可选功能。该表中未明确列出的功能会得到全力支持。带有 图标的任何功能都表示该功能不可用或不受支持。
其他 Anthos 集群列指的是非 Google Cloud 上的 GKE 集群的集群,例如 Anthos clusters on VMware、裸机等。
安装/升级/降级
必须使用 istioctl install
完成 Anthos 服务网格的安装、升级和降级。不支持安装 Istio 的其他方法。
使用 install_asm
脚本
install_asm
脚本会调用 istioctl install
。如需详细了解 install_asm
脚本,请参阅 GKE 单项目。
特征 |
Google Cloud 同一项目上的 GKE 集群 |
Google Cloud 不同项目上的 GKE 集群 |
其他 Anthos 集群 |
新安装 |
|
|
|
升级 |
|
|
|
从 Istio 迁移 |
|
|
|
启用可选功能 |
|
|
|
使用 istioctl install
使用 asmcli
使用 asmcli
进行安装、升级或降级目前处于预览版。
特征 |
Google Cloud 上的 GKE 集群 |
本地 Anthos 集群 |
其他 Anthos 集群 |
新安装 |
|
|
|
升级 |
|
|
|
启用可选功能 |
|
|
|
安全
证书分发/轮替机制
特征 |
Google Cloud 上的 GKE 集群 |
其他 Anthos 集群 |
工作负载证书管理 |
|
|
网关上的外部证书管理 |
|
|
证书授权机构 (CA) 支持
特征 |
Google Cloud 同一项目上的 GKE 集群 |
Google Cloud 不同项目上的 GKE 集群 |
本地 Anthos 集群 |
其他 Anthos 集群 |
Anthos Service Mesh 证书授权机构 (Mesh CA) |
|
|
|
|
Certificate Authority Service(预览版) |
|
|
|
|
Istio CA(以前称为 Citadel) |
支持的可选 |
支持的可选 |
支持的可选 |
|
与自定义 CA 集成 |
|
|
|
|
授权政策
特征 |
Google Cloud 上的 GKE 集群 |
其他 Anthos 集群 |
授权 v1beta1 政策 |
|
|
身份验证政策
对等身份验证
特征 |
Google Cloud 上的 GKE 集群 |
其他 Anthos 集群 |
自动 mTLS |
|
|
mTLS PERMISSIVE 模式 |
|
|
mTLS STRICT 模式 |
支持的可选 |
支持的可选 |
请求身份验证
特征 |
Google Cloud 上的 GKE 集群 |
其他 Anthos 集群 |
JWT 身份验证 |
|
|
遥测
指标
特征 |
Google Cloud 上的 GKE 集群 |
本地 Anthos 集群 |
其他 Anthos 集群 |
Cloud Monitoring(HTTP 代理中指标) |
|
|
|
Cloud Monitoring(TCP 代理中指标) |
|
|
|
Prometheus 指标导出到客户安装的 Prometheus、Grafana 和 Kiali 信息中心 |
兼容 |
兼容 |
兼容 |
自定义适配器/后端,出入进程 |
|
|
|
任意遥测和日志记录后端 |
|
|
|
支持将 Anthos Service Mesh 与导出到 Prometheus 的指标之间的集成。 |
Google Cloud Console 中的拓扑图不再使用网格遥测服务作为其数据源。虽然拓扑图的数据源已更改,但界面保持不变。 |
访问日志记录
特征 |
Google Cloud 上的 GKE 集群 |
本地 Anthos 集群 |
其他 Anthos 集群 |
Cloud Logging |
|
|
|
将 Envoy 定向到 stdout |
支持的可选 |
支持的可选 |
支持的可选 |
跟踪
特征 |
Google Cloud 上的 GKE 集群 |
本地 Anthos 集群 |
其他 Anthos 集群 |
Cloud Trace |
支持的可选 |
支持的可选 |
|
Jaeger 跟踪(允许使用客户管理的 Jaeger) |
兼容 |
兼容 |
兼容 |
Zipkin 跟踪(允许使用客户管理的 Zipkin) |
兼容 |
兼容 |
兼容 |
支持 Anthos Service Mesh 与 Jaeger 或 Zipkin 之间的集成。如需了解详情,请参阅分布式跟踪。 |
网络
流量拦截/重定向机制
特征 |
Google Cloud 上的 GKE 集群 |
其他 Anthos 集群 |
iptables 的传统用法:将 init 容器与 CAP_NET_ADMIN 结合使用 |
|
|
Istio 容器网络接口 (CNI) |
支持的可选 |
支持的可选 |
白盒 Sidecar |
|
|
协议支持
特征 |
Google Cloud 上的 GKE 集群 |
其他 Anthos 集群 |
IPv4 |
|
|
HTTP/1.1 |
|
|
HTTP/2 |
|
|
TCP 字节流(备注 1) |
|
|
gRPC |
|
|
IPv6 |
|
|
备注:
- 虽然 TCP 是网络支持的协议,但系统不会收集或报告 TCP 指标。系统仅针对控制台中的 HTTP 服务显示指标。
- 不支持将配置有第 7 层功能的服务用于以下协议:WebSocket、MongoDB、Redis、Kafka、Cassandra、RabbitMQ、Cloud SQL。您可以通过 TCP 字节流支持来使协议正常工作。如果 TCP 字节流无法支持协议(例如,Kafka 在特定于协议的回复中发送重定向地址,并且此重定向与 Anthos Service Mesh 的路由逻辑不兼容),则协议不受支持。
Envoy 部署
特征 |
Google Cloud 上的 GKE 集群 |
其他 Anthos 集群 |
Sidecar |
|
|
入站流量网关 |
|
|
直接从 Sidecar 出站 |
|
|
使用出站流量网关出站 |
支持的可选 |
支持的可选 |
CRD 支持
特征 |
Google Cloud 上的 GKE 集群 |
其他 Anthos 集群 |
Sidecar 资源 |
|
|
服务条目资源 |
|
|
百分比、故障注入、路径匹配、重定向、重试、重写、超时、重试、镜像、标头操纵和 CORS 路由规则 |
|
|
自定义 Envoy 过滤器 |
|
|
Istio 入站流量网关的负载平衡器
特征 |
Google Cloud 上的 GKE 集群 |
其他 Anthos 集群 |
公共负载平衡器 |
|
|
Google Cloud 内部负载平衡器 |
支持的可选 |
不受支持。请参阅以下链接。 |
如需了解如何配置负载平衡器,请参阅以下内容:
负载平衡政策
特征 |
Google Cloud 上的 GKE 集群 |
其他 Anthos 集群 |
轮询 |
|
|
最少连接 |
|
|
随机 |
|
|
直通 |
|
|
一致的哈希 |
|
|
位置加权 |
|
|
多集群支持
对于不同项目中的 GKE 集群的多主模式部署,所有集群都必须位于共享 Virtual Private Cloud (VPC) 中。
网络
特征 |
Google Cloud 上的 GKE 集群 |
本地 Anthos 集群 |
其他 Anthos 集群 |
单网络 |
|
|
|
多网络 |
|
|
|
部署模型
特征 |
Google Cloud 上的 GKE 集群 |
本地 Anthos 集群 |
其他 Anthos 集群 |
多主模式 |
|
|
|
主远程 |
|
|
|
有关术语的注意事项
主集群是具有控制层面的集群。单个网格可以有多个主集群来实现高可用性或缩短延迟时间。在 Istio 1.7 文档中,多主模式部署称为复制的控制层面。
远程集群是连接到集群外部的控制层面的集群。远程集群可以连接到在主集群中运行的控制层面或外部控制层面。
Anthos Service Mesh 会根据通用连接使用简化的网络定义。如果工作负载实例无需使用网关就可以直接通信,则它们位于同一网络上。
界面
特征 |
Google Cloud 同一项目上的 GKE 集群 |
Google Cloud 不同项目上的 GKE 集群 |
本地 Anthos 集群 |
其他 Anthos 集群 |
控制台中的 Anthos Service Mesh 信息中心 |
|
|
|
|
Cloud Monitoring |
|
|
|
|
Cloud Logging |
|
|
|
|
Cloud Trace |
|
|
|
|
Anthos Service Mesh 1.10.6 仅支持以下环境。所有其他环境均不受支持。
平台 |
版本 |
GKE on Google Cloud |
我们建议您在发布渠道中注册 Google Cloud 上的 GKE 集群。注册时,请使用常规发布版本,因为其他发布版本可能基于不支持的 GKE 版本。Anthos Service Mesh 1.10.6 支持以下 GKE 版本:1.18 或更高版本。 如需详细了解每个发布版本中包含的 GKE 版本,请参阅以下内容:
GKE 集群必须是标准集群,因为 Autopilot 集群具有网络钩子限制,不允许 MutatingWebhookConfiguration 用于 istio-sidecar-injector 。
|
Anthos clusters on VMware 1.8 |
Kubernetes 版本 1.20 |
Anthos on Bare Metal 1.8 |
Kubernetes 版本 1.20 |
Anthos clusters on AWS 1.8 |
Kubernetes 版本 1.20 |
Anthos 连接的集群 |
Anthos Service Mesh 1.10.6-asm.2 未满足 Anthos 关联集群(Amazon EKS 和 Microsoft AKS)的要求且为不支持的状态。这些平台合格且已通过 Kubernetes Service 1.17 的 Anthos Service Mesh 1.7 全面支持。如果您在这些平台上安装了 Anthos Service Mesh 1.7,请勿升级到 Anthos Service Mesh 1.10.6-asm.2。如需了解详情,请参阅在 Anthos 关联的集群上安装 Anthos Service Mesh 1.7。 |