Cette page fournit des informations pour vous aider à planifier une nouvelle installation d'Anthos Service Mesh.
Personnaliser le plan de contrôle
Les fonctionnalités compatibles avec Anthos Service Mesh diffèrent selon les plates-formes. Nous vous recommandons de consulter la page Fonctionnalités compatibles pour connaître les fonctionnalités compatibles avec votre plate-forme. Certaines fonctionnalités sont activées par défaut. Vous pouvez activer les autres fonctionnalités en créant un fichier de superposition IstioOperator.
Lorsque vous exécutez asmcli install, vous pouvez personnaliser le plan de contrôle en spécifiant l'option --custom_overlayà l'aide du fichier de superposition.
Le package anthos-service-mesh dans GitHub contient de nombreux fichiers de superposition. Ces fichiers contiennent des personnalisations courantes de la configuration par défaut. Vous pouvez utiliser ces fichiers tels quels ou vous pouvez apporter des modifications supplémentaires si nécessaire. Certains de ces fichiers sont requis pour activer les fonctionnalités facultatives d'Anthos Service Mesh.
Le package anthos-service-mesh est téléchargé lorsque vous exécutez asmcli pour valider votre projet et votre cluster.
Lorsque vous installez Anthos Service Mesh à l'aide de asmcli install, vous pouvez spécifier un ou plusieurs fichiers de superposition avec --option ou --custom_overlay.
Si vous n'avez pas besoin de modifier les fichiers du dépôt anthos-service-mesh, vous pouvez utiliser --option. Le script récupère alors le fichier depuis GitHub à votre place. Sinon, vous pouvez apporter des modifications au fichier de superposition, puis utiliser l'option --custom_overlay pour le transmettre au script asmcli.
Choisir une autorité de certification
Vous pouvez utiliser l'autorité de certification Anthos Service Mesh (Mesh CA) ou Istio CA en tant qu'autorité de certification (CA) pour émettre des protocoles TLS mutuel (mTLS).
À moins que vous n'ayez besoin d'une autorité de certification personnalisée, telle que HashiCorp Vault, nous vous recommandons d'utiliser Mesh CA pour les raisons suivantes :
- Mesh CA est un service hautement fiable et évolutif, optimisé pour les charges de travail à scaling dynamique sur Google Cloud.
- Avec Mesh CA, Google gère la sécurité et la disponibilité du backend CA.
- Mesh CA vous permet de dépendre d'une seule racine de confiance dans les clusters.
Les certificats émis par l'autorité de certification d'Anthos Service Mesh (Mesh CA) incluent les données suivantes sur les services de votre application :
- L'ID de projet Google Cloud
- L'espace de noms GKE
- Le nom du compte de service GKE
Préparer la configuration de la passerelle
Anthos Service Mesh vous permet de déployer et de gérer des passerelles avec votre maillage de services. Une passerelle décrit un équilibreur de charge fonctionnant à la périphérie du réseau maillé recevant des connexions HTTP/TCP entrantes ou sortantes. Les passerelles sont des proxys Envoy qui vous permettent de contrôler avec précision le trafic entrant et sortant du réseau maillé.
Par défaut, asmcli n'installe pas la istio-ingressgateway. Nous vous recommandons de déployer et de gérer le plan de contrôle et les passerelles séparément.
Pour en savoir plus, consultez la section Installer et mettre à niveau des passerelles. Si vous avez besoin d'installer l'option istio-ingressgateway par défaut avec le plan de contrôle au sein du cluster, incluez l'argument --option legacy-default-ingressgateway.