Nesta página, você encontra informações para ajudar a planejar uma nova instalação do Mesh Service Mesh.
Personalizar o plano de controle
Os recursos do Anthos Service Mesh são compatíveis com as diferentes plataformas. Recomendamos que você revise os Recursos compatíveis para saber quais recursos são compatíveis com sua plataforma. Alguns recursos são ativados por padrão, e outros
podem ser ativados opcionalmente criando um arquivo de configuração IstioOperator.
Ao executar asmcli install, é possível personalizar o plano de controle especificando
a opção --custom_overlay
com o arquivo de sobreposição.
O pacote anthos-service-mesh (em inglês) no GitHub contém muitos arquivos de sobreposição. Esses arquivos contêm personalizações comuns da configuração
padrão. É possível usar esses arquivos como estão ou fazer outras
alterações neles conforme necessário. Alguns dos arquivos são necessários para ativar os recursos opcionais do Anthos Service Mesh.
O pacote anthos-service-mesh é transferido por download ao executar asmcli para
validar o projeto e o cluster.
Ao instalar o Anthos Service Mesh com asmcli install, é
possível especificar um ou mais arquivos de sobreposição com --option ou --custom_overlay.
Caso você não precise fazer mudanças nos arquivos no repositório
anthos-service-mesh, use --option e o script buscará o arquivo no GitHub
para você. Caso contrário, você pode fazer alterações no arquivo de sobreposição e usar a
opção --custom_overlay para passá-la para asmcli.
Escolher uma autoridade de certificação
É possível usar a autoridade de certificação do Mesh Service Mesh (Mesh CA) ou a autoridade de certificação Istio CA como a autoridade de certificação (CA) para emitir TLS mútuo (mTLS) certificados.
A menos que você precise de uma CA personalizada, como o HashiCorp Vault (em inglês), recomendamos que use o Mesh CA pelos seguintes motivos:
- A Mesh CA é um serviço altamente confiável e escalonável, otimizado para cargas de trabalho escalonadas dinamicamente no Google Cloud.
- Com ela, o Google gerencia a segurança e a disponibilidade do back-end da CA.
- Esta autoridade de certificação possibilita confiar em uma única raiz de confiança entre os clusters.
Os certificados da CA do Mesh incluem os seguintes dados sobre os serviços do aplicativo:
- O ID do projeto do Google Cloud
- O namespace do GKE
- O nome da conta de serviço do GKE
Preparar a configuração do gateway
O Anthos Service Mesh oferece a opção de implantar e gerenciar gateways como parte da malha de serviço. Um gateway descreve um balanceador de carga operando na borda da malha que recebe conexões HTTP/TCP de entrada ou saída. Os gateways são proxies Envoy que fornecem um controle refinado sobre o tráfego que entra e sai da malha.
Por padrão, asmcli não instala o istio-ingressgateway. Recomendamos
que você implante e gerencie o plano de controle e os gateways separadamente.
Para mais informações, consulte
Como instalar e fazer upgrade de gateways. Se você precisar do
istio-ingressgateway padrão instalado com o plano de controle no cluster,
inclua o argumento --option legacy-default-ingressgateway.