Nesta página, descrevemos os pré-requisitos e os requisitos para instalar o Anthos Mesh Service.
Projeto na nuvem
Antes de começar:
Verifique se o faturamento foi ativado para o projeto.
Licenciamento do GKE Enterprise
GKE;
O Anthos Service Mesh está disponível no GKE Enterprise ou como um serviço independente.
As APIs do Google são usadas para determinar como você é cobrado. Para usar o Anthos Service Mesh como um serviço independente, não ative a API GKE Enterprise no seu projeto.
O asmcli ativa para você todas as outras APIs do Google necessárias. Para mais informações sobre preços do Anthos Service Mesh, consulte Preços.
- Os assinantes do GKE Enterprise precisam ativar a API GKE Enterprise.
Mesmo que você não seja um assinante do GKE Enterprise, ainda é possível instalar o Anthos Service Mesh, mas alguns elementos e recursos da IU no console do Google Cloud estão disponíveis apenas para assinantes do GKE Enterprise. Para informações sobre o que está disponível para assinantes e não assinantes, consulte Diferenças na interface do GKE Enterprise e Anthos Service Mesh.
Se você ativou a API GKE Enterprise, mas quer usar o Anthos Service Mesh como um serviço independente, desative a API GKE Enterprise.
Infraestrutura local
Os clientes do GKE Enterprise não são cobrados separadamente pelo Anthos Service Mesh porque ele já está incluído no preço do GKE Enterprise. Para mais informações, consulte o Guia de preços do GKE Enterprise.
Requisitos gerais
Para serem incluídos na malha de serviço, as portas precisam ser nomeadas, e o nome precisa incluir o protocolo da porta na seguinte sintaxe:
name: protocol[-suffix], em que os colchetes indicam um sufixo opcional que precisa começar com um traço. Saiba mais em Como nomear portas de serviço.Se você tiver criado um perímetro de serviço na sua organização, talvez seja necessário adicionar o serviço Mesh CA ao perímetro. Saiba mais em Como adicionar o Mesh CA a um perímetro de serviço.
Se você quiser alterar os limites de recursos padrão do contêiner secundário
istio-proxy, os novos valores precisarão ser maiores que os padrão para evitar eventos de memória (OOM).Um projeto do Google Cloud só pode ter uma malha associada a ele.
Requisitos de cluster
GKE;
Verifique se a versão do cluster está listada em Ambientes compatíveis.
Seu cluster do GKE precisa atender aos seguintes requisitos:
O cluster do GKE precisa ser Padrão, porque os clusters do Autopilot têm limitações de Webhooks que não permitem a
MutatingWebhookConfigurationpara oistio-sidecar-injector.Um tipo de máquina que tem pelo menos 4 vCPUs, como
e2-standard-4. Se o tipo de máquina do cluster não tiver pelo menos 4 vCPUs, altere o tipo de máquina conforme descrito em Como migrar cargas de trabalho para diferentes tipos de máquina.O número mínimo de nós depende do seu tipo de máquina. O Anthos Service Mesh requer pelo menos 8 vCPUs. Se o tipo de máquina tiver 4 vCPUs, o cluster precisará ter pelo menos 2 nós. Se o tipo de máquina tiver 8 vCPUs, o cluster precisará apenas de 1 nó. Se for preciso adicionar nós, veja Como redimensionar um cluster.
A Identidade da carga de trabalho é obrigatória. Se o cluster ainda não tiver a identidade da carga de trabalho ativada, é possível ativá-la você mesmo (seguindo a etapa 3 em "Configurar o cluster") ou incluir
--enable_allou--enable_gcp_componentsao executarasmcli install.A identidade da carga de trabalho é o método recomendado para chamar APIs do Google. A ativação da Identidade da carga de trabalho altera a forma como as chamadas das cargas de trabalho para as APIs do Google são protegidas, conforme descrito em Limitações da Identidade da carga de trabalho.
Há apenas um pool de identidades de carga de trabalho fixo por projeto do Google Cloud,
PROJECT_ID.svc.id.goog. Se o cluster for registrado com uma frota, oPROJECT_IDdo pool da Identidades da carga de trabalho será o projeto host da frota. Se o cluster não estiver registrado com uma frota, oPROJECT_IDdo pool da Identidades da carga de trabalho será o projeto em que o cluster foi criado. Para mais informações, consulte Identidade da carga de trabalho do conjunto de dispositivos.Como opção recomendada, inscreva o cluster em um canal de lançamento. Recomendamos que você se inscreva no canal de lançamento regular porque outros canais podem estar baseados em uma versão do GKE que não é compatível com o 1.10.6 do Anthos Service Mesh. Saiba mais em Ambientes compatíveis. Siga as instruções em Como registrar um cluster existente em um canal de lançamento se você tiver uma versão estática do GKE.
Se você estiver instalando o Anthos Service Mesh em um cluster particular, abra a porta 15017 no firewall para que os webhooks usados para a injeção automática de sidecar e a validação da configuração funcionem. Para mais informações, consulte Como abrir uma porta em um cluster particular.
Para cargas de trabalho do Windows Server, o Istio não é compatível. Se o cluster tiver pools de nós do Linux e do Windows Server, ainda será possível instalar o Anthos Service Mesh e usá-lo nas cargas de trabalho do Linux.
No local
Verifique se a versão do cluster está listada em Ambientes compatíveis.
VMWare
Para verificar a versão do cluster, use a ferramenta de linha de comando
gkectl. Se você não tivergkectlinstalado, consulte Downloads do GKE no VMware.gkectl versionBare Metal
Para verificar a versão do cluster, use a ferramenta de linha de comando
bmctl. Se você não tiver obmctlinstalado, consulte o Guia de início rápido do GDCV para Bare Metal.bmctl versionVerifique se o cluster de usuário em que você instala o Anthos Service Mesh tem pelo menos quatro vCPUs, 15 GB de memória e quatro nós.
A identidade da carga de trabalho da frota é obrigatória. O GKE no VMware e o bare metal são registrados automaticamente na frota do projeto no momento da criação do cluster. A partir do GKE Enterprise 1.8, esses tipos de cluster ativam automaticamente a identidade da carga de trabalho da frota quando registrados. Os clusters registrados atuais são atualizados para usar a identidade da carga de trabalho da frota quando forem atualizados para o GKE Enterprise 1.8. Para verificar o status do cluster consulte Como visualizar clusters registrados.
Os nós do cluster de usuário precisam da Internet para concluir a instalação do Anthos Service Mesh. Não é possível acessar a Internet por meio de um proxy HTTP.