기본 요건

이 페이지에서는 Anthos Service Mesh를 설치하기 위한 기본 요건과 요구사항을 설명합니다.

Cloud 프로젝트

시작하기 전에 다음 사항을 확인하세요.

GKE Enterprise 라이선스

GKE

Anthos Service Mesh는 GKE Enterprise에서 또는 독립형 서비스로 사용 가능합니다. Google API는 청구 방식을 결정하는 데 사용됩니다. Anthos Service Mesh를 독립형 서비스로 사용하려면 프로젝트에 GKE Enterprise API를 사용 설정하지 마세요. asmcli는 다른 모든 필수 Google API를 사용 설정합니다. Anthos Service Mesh 가격에 대한 자세한 내용은 가격 책정을 참조하세요.

  • GKE Enterprise 구독자는 GKE Enterprise API를 사용 설정해야 합니다.

API 사용 설정하기

  • GKE Enterprise 구독자가 아니어도 Anthos Service Mesh를 설치할 수 있지만 GKE Enterprise 구독자만 Google Cloud 콘솔의 특정 UI 요소와 기능을 사용할 수 있습니다. 구독자와 비구독자가 사용할 수 있는 항목에 대한 자세한 내용은 GKE Enterprise 및 Anthos Service Mesh UI 차이점을 참조하세요.

  • GKE Enterprise API를 사용 설정했지만 Anthos Service Mesh를 독립형 서비스로 사용하려면 GKE Enterprise API를 사용 중지합니다.

온프레미스

Anthos Service Mesh가 이미 GKE Enterprise 가격 책정에 포함되어 있으므로 GKE Enterprise 고객에게는 별도로 비용이 청구되지 않습니다. 자세한 내용은 GKE Enterprise 가격 책정 가이드를 참조하세요.

일반 요구사항

  • 서비스 메시에 포함하려면 서비스 포트의 이름이 지정되어야 하며 이름은 name: protocol[-suffix] 구문에서 포트 프로토콜을 포함해야 합니다. 여기서 대괄호는 대시로 시작해야 하는 선택적 서픽스를 나타냅니다. 자세한 내용은 서비스 포트 이름 지정을 참조하세요.

  • 조직에서 서비스 경계를 만든 경우 경계에 Mesh CA 서비스를 추가해야 할 수도 있습니다. 자세한 내용은 서비스 경계에 Mesh CA 추가를 참조하세요.

  • istio-proxy 사이드카 컨테이너의 기본 리소스 한도를 변경하려면 메모리 부족(OOM) 이벤트를 방지하기 위해 새 값이 기본값보다 커야 합니다.

  • Google Cloud 프로젝트에는 하나의 메시만 연결할 수 있습니다.

클러스터 요구사항

GKE

  • 클러스터 버전이 지원되는 환경에 나열되어 있는지 확인합니다.

  • GKE 클러스터는 다음 요구사항을 충족해야 합니다.

    • Autopilot 클러스터에 istio-sidecar-injector에 대해 MutatingWebhookConfiguration을 허용하지 않는 웹훅 제한이 포함되기 때문에 GKE 클러스터가 Standard여야 합니다.

    • vCPU가 4개 이상 있는 머신 유형(예: e2-standard-4). 클러스터의 머신 유형에 4개 미만의 vCPU가 있으면 여러 머신 유형에 워크로드 마이그레이션에 설명된 대로 머신 유형을 변경합니다.

    • 최소 노드 수는 머신 유형에 따라 다릅니다. Anthos Service Mesh에는 최소 8개의 vCPU가 필요합니다. 머신 유형에 vCPU가 4개 있는 경우 클러스터에는 노드가 2개 이상 있어야 합니다. 머신 유형에 vCPU가 8개 있는 경우 클러스터에는 노드가 1개만 필요합니다. 노드를 추가해야 하는 경우 클러스터 크기 조절을 참조하세요.

  • 워크로드 아이덴티티가 필요합니다. 클러스터에 워크로드 아이덴티티가 아직 사용 설정되지 않은 경우에는 직접 사용 설정(클러스터 설정의 3단계에 따라)하거나 asmcli install을 실행할 때 --enable_all 또는 --enable_gcp_components를 포함하면 됩니다.

    워크로드 아이덴티티는 Google API 호출에 권장되는 방법입니다. 워크로드 아이덴티티를 사용 설정하면 워크로드 아이덴티티 제한사항의 설명대로 워크로드에서 Google API로 호출이 보호되는 방식이 변경됩니다.

    Cloud 프로젝트별로 하나의 고정된 워크로드 아이덴티티 풀PROJECT_ID.svc.id.goog만 있습니다. 클러스터가 Fleet으로 등록된 경우 워크로드 아이덴티티 풀의 PROJECT_IDFleet 호스트 프로젝트입니다. 클러스터가 Fleet으로 등록되지 않은 경우 워크로드 아이덴티티 풀의 PROJECT_ID는 클러스터가 생성된 프로젝트입니다. 자세한 내용은 Fleet 워크로드 아이덴티티를 참조하세요.

  • 선택사항이지만 출시 채널에 클러스터를 등록하는 것이 좋습니다. 다른 채널은 Anthos Service Mesh 1.10.6에서 지원되지 않는 GKE 버전을 기반으로 하는 경우가 있으므로 일반 출시 채널에 등록하는 것이 좋습니다. 자세한 내용은 지원되는 환경을 참조하세요. 정적 GKE 버전이 있는 경우 출시 채널에 기존 클러스터 등록의 안내를 따릅니다.

  • 비공개 클러스터에 Anthos Service Mesh를 설치하는 경우 자동 사이드카 삽입에 사용되는 웹훅 및 구성 검증을 작동하기 위해 방화벽에서 포트 15017을 열어야 합니다. 자세한 내용은 비공개 클러스터에서 포트 열기를 참조하세요.

  • Windows Server 워크로드의 경우 Istio가 지원되지 않습니다. 클러스터에 Linux 및 Windows Server 노드 풀이 둘 다 있는 경우에도 Anthos Service Mesh를 설치하고 Linux 워크로드에서 사용할 수 있습니다.

온프레미스

  • 클러스터 버전이 지원되는 환경에 나열되어 있는지 확인합니다.

    VMWare

    클러스터 버전을 확인하려면 gkectl 명령줄 도구를 사용합니다. gkectl이 설치되어 있지 않으면 VMware용 GKE 다운로드를 참조하세요.

    gkectl version

    베어메탈

    클러스터 버전을 확인하려면 bmctl 명령줄 도구를 사용합니다. bmctl이 설치되어 있지 않으면 베어메탈용 GDCV 빠른 시작을 참조하세요.

    bmctl version

  • Anthos Service Mesh를 설치하는 사용자 클러스터에 최소 4개의 vCPU, 15GB 메모리, 4개의 노드가 있는지 확인합니다.

  • Fleet 워크로드 아이덴티티가 필요합니다. VMware용 GKE 및 베어메탈용 GKE는 클러스터 생성 시 프로젝트 Fleet에 자동으로 등록됩니다. GKE Enterprise 1.8부터 이러한 클러스터 유형은 등록 시 Fleet 워크로드 아이덴티티가 자동으로 사용 설정됩니다. 기존에 등록된 클러스터는 GKE Enterprise 1.8로 업그레이드되면 Fleet 워크로드 아이덴티티를 사용하도록 업데이트됩니다. 클러스터 상태를 확인하려면 등록된 클러스터 보기를 참조하세요.

  • Anthos Service Mesh를 성공적으로 설치하려면 사용자 클러스터 노드에 인터넷 연결이 필요합니다. HTTP 프록시를 통한 인터넷 액세스는 불가능합니다.

다음 단계