本页面提供的信息可帮助您规划 Anthos Service Mesh 的新安装。
自定义控制层面
Anthos Service Mesh 支持的功能因平台而异。我们建议您查看支持的功能,了解您的平台支持哪些功能。某些功能默认启用,其他功能可以通过创建 IstioOperator叠加文件视需要启用。运行 asmcli install 时,您可以通过使用叠加文件指定 --custom_overlay 选项来自定义控制层面。
GitHub 中的 anthos-service-mesh 软件包包含许多叠加层文件。这些文件包含默认配置的常见自定义。您可以按原样使用这些文件,也可以根据需要对这些文件进行其他更改。启用可选的 Anthos Service Mesh 功能需要一些文件。当您运行 asmcli 来验证项目和集群时,系统会下载 anthos-service-mesh 软件包。
使用 asmcli install 安装 Anthos Service Mesh 时,您可以使用 --option 或 --custom_overlay 指定一个或多个叠加层文件。如果您不需要对 anthos-service-mesh 代码库中的文件进行任何更改,则可以使用 --option,该脚本将从 GitHub 中提取文件。否则,您可以更改叠加文件,然后使用 --custom_overlay 选项将其传递给 asmcli。
选择证书授权机构
您可以使用 Anthos Service Mesh 证书授权机构 (Mesh CA),或Istio CA作为颁发证书的证书授权机构 (CA)双向 TLS (mTLS)证书。
除非您需要自定义 CA(例如 HashiCorp Vault),否则我们建议您使用 Mesh CA,原因如下:
- Mesh CA 是一项高度可靠的可扩缩服务,针对 Google Cloud 上动态扩缩的工作负载进行了优化。
- 通过 Mesh CA,Google 负责管理 CA 后端的安全性和可用性。
- Mesh CA 让您可在集群中依赖单个信任根。
来自 Mesh CA 的证书包含有关应用的服务的以下数据:
- Google Cloud 项目 ID
- GKE 命名空间
- GKE 服务账号名称
准备网关配置
Anthos Service Mesh 允许您将网关部署和管理为服务网格的一部分。网关描述了在网格边缘运行的负载均衡器,用于接收传入或传出 HTTP/TCP 连接。网关是 Envoy 代理,可让您精确控制进出网格的流量。
默认情况下,asmcli 不会安装 istio-ingressgateway。我们建议您单独部署和管理控制平面和网关。如需了解详情,请参阅安装和升级网关。如果您需要随集群内控制层面安装的默认 istio-ingressgateway,请添加 --option legacy-default-ingressgateway 参数。