Cette page décrit les conditions préalables et la configuration requise pour installer Anthos Service Mesh.
Projet Cloud
Avant de commencer :
Vérifiez que la facturation est activée pour votre projet.
Attribution de licences GKE Enterprise
GKE
Anthos Service Mesh est disponible avec GKE Enterprise ou en tant que service autonome.
Les API Google permettent de déterminer votre mode de facturation. Pour utiliser Anthos Service Mesh en tant que service autonome, n'activez pas l'API GKE Enterprise dans votre projet.
Le script asmcli active toutes les autres API Google requises à votre place. Pour en savoir plus sur la tarification d'Anthos Service Mesh, consultez la page Tarifs.
- Si vous êtes abonné à GKE Enterprise, veillez à activer l'API GKE Enterprise.
Si vous n'êtes pas abonné à GKE Enterprise, vous pouvez toujours installer Anthos Service Mesh, mais certains éléments d'interface utilisateur et fonctionnalités de la console Google Cloud ne sont disponibles que pour les abonnés GKE Enterprise. Pour en savoir plus sur ce qui est disponible pour les abonnés et les non-abonnés, consultez la section Différences entre les interfaces utilisateur de GKE Enterprise et d'Anthos Service Mesh.
Si vous avez activé l'API GKE Enterprise, mais que vous souhaitez utiliser Anthos Service Mesh en tant que service autonome, désactivez l'API GKE Enterprise.
Sur site
Les clients GKE Enterprise ne sont pas facturés séparément pour Anthos Service Mesh, car celui-ci est déjà inclus dans les tarifs de GKE Enterprise. Pour en savoir plus, consultez le guide des tarifs de GKE Enterprise.
Conditions générales requises
Pour être inclus dans le maillage de services, les ports de service doivent être nommés et le nom de protocole du port doit respecter la syntaxe suivante :
name: protocol[-suffix], où les crochets indiquent un suffixe facultatif qui doit commencer par un tiret. Pour plus d'informations, consultez la section Nommer les ports de service.Si vous avez créé un périmètre de service dans votre organisation, vous devrez peut-être ajouter le service Mesh CA au périmètre. Pour en savoir plus, consultez la section Ajouter l'autorité de certification Mesh CA à un périmètre de service.
Si vous souhaitez modifier les limites de ressources par défaut pour le conteneur side-car
istio-proxy, les nouvelles valeurs doivent être supérieures aux valeurs par défaut afin d'éviter -Événements de mémoire (OOM).Un projet Google Cloud ne peut être associé qu'à un seul réseau maillé.
Configuration requise pour les clusters
GKE
Vérifiez que la version de votre cluster est répertoriée dans la section Environnements compatibles.
Votre cluster GKE doit répondre aux exigences suivantes :
Le cluster GKE doit être standard, car les clusters Autopilot ont des limites de webhooks qui n'autorisent pas
MutatingWebhookConfigurationpour leistio-sidecar-injector.Type de machine comportant au moins quatre processeurs virtuels, par exemple
e2-standard-4. Si le type de machine de votre cluster ne comporte pas au moins quatre processeurs virtuels, modifiez le type de machine comme décrit dans la section Migrer des charges de travail vers différents types de machines.Le nombre minimal de nœuds dépend du type de machine. Anthos Service Mesh nécessite au moins huit processeurs virtuels. Si le type de machine comporte quatre processeurs virtuels, votre cluster doit comporter au moins deux nœuds. Si le type de machine comporte huit processeurs virtuels, le cluster n'a besoin que d'un nœud. Si vous devez ajouter des nœuds, consultez la page Redimensionner un cluster.
Vous devez disposer de Workload Identity. Si la charge de travail n'est pas déjà activée sur votre cluster, vous pouvez l'activer vous-même (en suivant l'étape 3 de la configuration du cluster) ou inclure les paramètres
--enable_allou--enable_gcp_componentslorsque vous exécutezasmcli install.Workload Identity est la méthode recommandée pour appeler les API Google. L'activation de Workload Identity modifie la manière dont les appels de vos charges de travail vers les API Google sont sécurisés, comme décrit dans la section Limites de Workload Identity.
Il n'existe qu'un seul pool d'identités de charge de travail fixe par projet Google Cloud :
PROJECT_ID.svc.id.goog. Si votre cluster est enregistré auprès d'un parc, le fichierPROJECT_IDdu pool d'identités de charge de travail est le projet hôte du parc. Si votre cluster n'est pas enregistré auprès d'un parc, le champPROJECT_IDdu pool d'identités de charge de travail est le projet dans lequel le cluster a été créé. Pour en savoir plus, consultez la section Identité de charge de travail de parc.Nous vous recommandons d'inscrire le cluster dans une version disponible, mais cela n'est pas obligatoire. Nous vous recommandons de vous inscrire à la version disponible standard, car d'autres versions peuvent être basées sur une version de GKE non compatible avec Anthos Service Mesh 1.10.6. Pour plus d'informations, consultez la section Environnements compatibles. Suivez les instructions de la page Enregistrer un cluster existant dans une version disponible si vous disposez d'une version GKE statique.
Si vous installez Anthos Service Mesh sur un cluster privé, vous devez ouvrir le port 15017 dans le pare-feu pour que les webhooks utilisés pour l'injection side-car automatique et la validation de la configuration fonctionnent correctement. Pour en savoir plus, consultez la page Ouvrir un port sur un cluster privé.
Pour les charges de travail Windows Server, Istio n'est pas compatible. Si votre cluster comporte à la fois des pools de nœuds Linux et Windows Server, vous pouvez toujours installer Anthos Service Mesh et l'utiliser sur vos charges de travail Linux.
Sur site
Vérifiez que la version de votre cluster est répertoriée dans la section Environnements compatibles.
VMWare
Pour vérifier la version de votre cluster, vous pouvez utiliser l'outil de ligne de commande
gkectl. Si vous n'avez pas installégkectl, consultez la section Téléchargements de GKE sur VMware.gkectl versionBare Metal
Pour vérifier la version de votre cluster, vous pouvez utiliser l'outil de ligne de commande
bmctl. Si vous n'avez pas installébmctl, consultez le guide de démarrage rapide de GDCV pour Bare Metal.bmctl versionVérifiez que le cluster d'utilisateur sur lequel vous installez Anthos Service Mesh dispose d'au moins quatre processeurs virtuels, 15 Go de mémoire et quatre nœuds.
Vous devez utiliser l'identité de charge de travail de parc. GKE sur VMware et bare metal sont automatiquement enregistrés dans votre parc de projets au moment de la création du cluster. Depuis GKE Enterprise 1.8, ces types de clusters activent automatiquement l'identité de la charge de travail du parc lorsqu'ils sont enregistrés. Les clusters enregistrés existants sont mis à jour pour utiliser la fonctionnalité Workload Identity du parc lorsqu'ils sont mis à niveau vers GKE Enterprise 1.8. Pour vérifier l'état de votre cluster, consultez la page Afficher les clusters enregistrés.
Vos nœuds de cluster d'utilisateur ont besoin d'Internet pour effectuer l'installation d'Anthos Service Mesh. L'accès à Internet via un proxy HTTP n'est pas possible.