En esta página, se proporciona información para ayudarte a planificar una instalación nueva de Anthos Service Mesh.
Personaliza el plano de control
Las funciones que son compatibles con Anthos Service Mesh varían entre plataformas. Te recomendamos que revises las funciones compatibles para saber cuáles son compatibles con tu plataforma. Algunas funciones están habilitadas de forma predeterminada, y otras pueden habilitarse de forma opcional mediante la creación de un archivo de superposición IstioOperator
.
Cuando ejecutas asmcli install
, puedes personalizar el plano de control si especificas la opción --custom_overlay
con el archivo de superposición.
El paquete anthos-service-mesh
en GitHub contiene muchos archivos de superposición. Estos archivos contienen personalizaciones comunes de la configuración predeterminada. Puedes usar estos archivos tal como están o puedes realizar cambios adicionales según sea necesario. Algunos de los archivos son necesarios para habilitar las funciones opcionales de Anthos Service Mesh.
El paquete anthos-service-mesh
se descarga cuando ejecutas asmcli
para validar tu proyecto y clúster.
Cuando instalas Anthos Service Mesh mediante asmcli install
, puedes especificar uno o más archivos de superposición con --option
o --custom_overlay
.
Si no necesitas realizar cambios en los archivos del repositorio anthos-service-mesh
, puedes usar --option
y la secuencia de comandos recupera el archivo de GitHub. De lo contrario, puedes realizar cambios en el archivo de superposición y, luego, usar la opción --custom_overlay
para pasarlo a la secuencia de comandos asmcli
.
Elige una autoridad certificadora
Puedes usar la autoridad certificada de Anthos Service Mesh (CA de Mesh) oCA de Istio como autoridad certificada (CA) para la emisiónAutenticación mutua de TLS (mTLS) certificados.
A menos que necesites una CA personalizada, como HashiCorp Vault, te recomendamos que uses la CA de Mesh por los siguientes motivos:
- La CA de Mesh es un servicio altamente confiable y escalable que está optimizado para cargas de trabajo escaladas de forma dinámica en Google Cloud.
- Con la CA de Mesh, Google administra la seguridad y la disponibilidad del backend de CA.
- La CA de Mesh te permite tener una sola raíz de confianza entre clústeres.
En los certificados de CA de Mesh, se incluyen los siguientes datos sobre los servicios de tu aplicación:
- El ID del proyecto de Google Cloud
- El espacio de nombres de GKE
- El nombre de la cuenta de servicio de GKE
Prepara la configuración de la puerta de enlace
Anthos Service Mesh te brinda la opción de implementar y administrar puertas de enlace como parte de tu malla de servicios. Una puerta de enlace describe un balanceador de cargas que opera en el perímetro de la malla que recibe conexiones HTTP/TCP entrantes o salientes. Las puertas de enlace son proxies de Envoy que te brindan un control detallado sobre el tráfico que entra y sale de la malla.
De forma predeterminada, asmcli
no se instala istio-ingressgateway
. Te recomendamos que implementes y administres el plano de control y las puertas de enlace por separado.
Para obtener más información, consulta Instala y actualiza puertas de enlace. Si necesitas que el istio-ingressgateway
predeterminado esté instalado con el plano de control en el clúster, incluye el argumento --option legacy-default-ingressgateway
.