Diese Seite enthält Informationen zum Planen einer neuen Installation von Anthos Service Mesh.
Steuerungsebene anpassen
Die von Anthos Service Mesh unterstützten Funktionen unterscheiden sich von Plattform zu Plattform. In den Hinweisen zu den unterstützten Funktionen erfahren Sie, welche Features auf Ihrer Plattform unterstützt werden. Einige Funktionen sind standardmäßig aktiviert, andere können optional aktiviert werden. Erstellen Sie dazu eine IstioOperator -Konfigurationsdatei.
Wenn Sie asmcli install ausführen, können Sie die Steuerungsebene anpassen. Geben Sie dazu die Option --custom_overlay mit der Overlay-Datei an.
Das Paket anthos-service-mesh in GitHub enthält viele Overlay-Dateien. Diese Dateien enthalten gängige Anpassungen der Standardkonfiguration. Sie können diese Dateien unverändert anwenden oder weitere Änderungen daran vornehmen. Einige Dateien sind erforderlich, um optionale Anthos Service Mesh-Features zu aktivieren.
Das Paket anthos-service-mesh wird heruntergeladen, wenn Sie asmcli ausführen, um Ihr Projekt und Ihren Cluster zu validieren.
Wenn Sie Anthos Service Mesh mit asmcli install installieren, können Sie mit --option oder --custom_overlay eine oder mehrere Overlay-Dateien angeben.
Wenn Sie keine Änderungen an den Dateien im anthos-service-mesh-Repository vornehmen müssen, können Sie --option verwenden. Das Skript ruft die Datei von GitHub ab. Sie können aber auch die Overlay-Datei ändern und die Änderungen mit der Option --custom_overlay an asmcli übergeben.
Zertifizierungsstelle wählen
Sie können die Anthos Service Mesh-Zertifizierungsstelle (Mesh CA) oder die Istio-Zertifizierungsstelle als Zertifizierungsstelle für die Ausstellung von mTLS-Zertifikaten (Mutual TLS) verwenden.
Sofern Sie keine benutzerdefinierte Zertifizierungsstelle wie HashiCorp Vault benötigen, empfehlen wir aus folgenden Gründen, Mesh CA zu verwenden:
- Mesh CA ist ein zuverlässiger und skalierbarer Dienst, der für dynamisch skalierte Arbeitslasten in Google Cloud optimiert ist.
- Mit Mesh CA verwaltet Google die Sicherheit und Verfügbarkeit des CA-Back-Ends.
- Mesh CA ermöglicht es Ihnen, sich für alle Cluster auf eine einzige Root of Trust zu verlassen.
Zertifikate der Mesh CA enthalten die folgenden Daten zu den Diensten Ihrer Anwendung:
- Die Google Cloud-Projekt-ID
- Der GKE-Namespace
- Der Name des GKE-Dienstkontos
Gateway-Konfiguration vorbereiten
Anthos Service Mesh bietet Ihnen die Möglichkeit, Gateways als Teil Ihres Service Mesh bereitzustellen und zu verwalten. Ein Gateway beschreibt einen Load-Balancer, der am Rand des Mesh-Netzwerks arbeitet und eingehende oder ausgehende HTTP/TCP-Verbindungen empfängt. Gateways sind Envoy-Proxys, die Ihnen eine detaillierte Kontrolle über den in das Mesh-Netzwerk eingehenden und ausgehenden Traffic ermöglichen.
Standardmäßig installiert asmcli das istio-ingressgateway nicht. Wir empfehlen, die Steuerungsebene und die Gateways separat bereitzustellen und zu verwalten.
Weitere Informationen finden Sie unter Gateways installieren und aktualisieren. Wenn Sie das standardmäßige istio-ingressgateway für die clusterinterne Steuerungsebene installieren möchten, fügen Sie das Argument --option legacy-default-ingressgateway ein.