Referência do asmcli

Nesta página, descrevemos os argumentos disponíveis para asmcli.

Opções

Identifique o cluster Você tem as seguintes opções para identificar o cluster:

Apenas GKE

-p|--project_id CLUSTER_PROJECT_ID: O ID do projeto em que o cluster foi criado.
-n|--cluster_name CLUSTER_NAME: O nome do cluster.
-l|--cluster_location CLUSTER_LOCATION: A zona (para clusters de zona única) ou a região (para clusters regionais) em que o cluster foi criado.

Todas as plataformas

--kubeconfig KUBECONFIG_FILE

--ctx|--context KUBE_CONTEXT O contexto kubeconfig a ser usado.

-c|--ca {mesh_ca|citadel}: A autoridade de certificação (CA) a ser usada para gerenciar certificados TLS mútuos. Especifique mesh_ca para usar a autoridade de certificação do Anthos Service Mesh (Mesh CA) ou citadel para usar a CA do Istio. Para mais informações sobre qual CA usar, consulte Como escolher uma autoridade de certificação. Para outras opções que você precisa especificar ao usar a CA do Istio, consulte Opções para o certificado personalizado da CA do Istio.
--co|--custom_overlay YAML_FILE: O nome do arquivo YAML de recurso personalizado (CR) IstioOperator para ativar um recurso que não é ativado por padrão. O script precisa localizar o arquivo YAML. Portanto, ele precisa estar no mesmo diretório que o script ou você pode especificar um caminho relativo. Para adicionar vários arquivos, especifique --co|--custom_overlay e o nome do arquivo, por exemplo: --co overlay_file1.yaml --co overlay_file2.yaml --co overlay_file3.yaml
--hub-registration-extra-flags HUB_REGISTRATION_EXTRA_FLAGS: Se estiver usando clusters do Amazon EKS anexados, use --hub-registration-extra-flags para registrar o cluster para a frota, caso ainda não esteja registrado.
--network_id NETWORK_ID: Use --network_id para definir o rótulo topology.istio.io/network aplicado ao namespace istio-system. Para o GKE, --network_id tem como padrão o nome da rede do cluster. Para outros ambientes, default será usado.
-o|--option OPTION_FILE: O nome de um arquivo YAML do pacote anthos-service-mesh que contém a resposta automática IstioOperator para ativar um recurso opcional. Ao incluir um desses arquivos, não é necessário fazer o download do pacote anthos-service-mesh primeiro nem especificar a extensão .yaml. Se você precisar modificar qualquer um dos arquivos, faça o download do pacote anthos-service-mesh, faça as alterações e use a opção --custom_overlay. Para adicionar vários arquivos, especifique -o|--option e o nome do arquivo, por exemplo: -o option_file1 -o option_file2 -o option_file3
-D|--output_dir DIR_PATH: Se não for especificado, o script criará um diretório temporário em que fará o download dos arquivos e das configurações necessárias para instalar o Anthos Service Mesh. Especifique a sinalização --output-dir para especificar um caminho relativo para um diretório a ser usado. Após a conclusão, o diretório especificado conterá os subdiretórios asm e istio-1.10.6-asm.2. O diretório asm contém a configuração da instalação. O diretório istio-1.10.6-asm.2 contém o conteúdo extraído do arquivo de instalação, que contém istioctl, amostras e manifestos. Se você especificar --output-dir e o diretório já contiver os arquivos necessários, o script usará esses arquivos em vez de fazer o download deles novamente.
-r|--revision_name REVISION NAME>: Um rótulo de revisão é um par de chave-valor definido no plano de controle. A chave do rótulo de revisão é sempre istio.io/rev. Por padrão, o script define o valor do rótulo de revisão com base na versão do Anthos Service Mesh, por exemplo: asm-1106-2. Inclua essa opção se quiser modificar o valor padrão e especificar seu próprio valor. O argumento REVISION NAME precisa ser um rótulo DNS-1035 e conter caracteres alfanuméricos minúsculos ou -, começar com um caractere alfabético e terminar com um caractere alfanumérico, como my-name' ou abc-123. A regex usada para validação é: '[a-z]([-a-z0-9]*[a-z0-9])?')
-s|--service_account ACCOUNT: O nome de uma conta de serviço usada para instalar o Anthos Service Mesh. Se não for especificado, a conta de usuário ativa na configuração de gcloud atual será usada. Se você precisar alterar a conta de usuário ativa, execute gcloud auth login.
-k|--key_file FILE_PATH: O arquivo de chave de uma conta de serviço. Omita essa opção se não estiver usando uma conta de serviço.

Opções do certificado personalizado do Citadel

Se você especificou --ca citadel e está usando uma CA personalizada, inclua as seguintes opções:

--ca_cert FILE_PATH: o certificado intermediário
--ca_key FILE_PATH: a chave do certificado intermediário.
--root_cert FILE_PATH: o certificado raiz
--cert_chain FILE_PATH: a cadeia de certificados

Para ver mais informações, consulte Como conectar certificados de CA existentes.

Sinalizações de ativação

As sinalizações que começam com --enable permitem que o script ative as APIs do Google necessárias, definapermissões do Identity and Access Management (IAM) obrigatórias e atualize o cluster. Se preferir, atualize o projeto e o cluster antes de executar o script conforme descrito nas seções Como configurar o projeto e Como configurar o cluster do guia de instalação de vários projetos. Todas essas sinalizações são incompatíveis com --only_validate, e o script termina com um erro nesse caso.

-e|--enable_all

Permita que o script execute todas as ações de ativação individuais descritas abaixo.

--enable_cluster_roles

Permita que o script tente vincular a conta de usuário ou serviço do Google Cloud que está executando o script ao papel cluster-admin no cluster. O script determina a conta de usuário do comando gcloud config get core/account. Se você estiver executando o script localmente com uma conta de usuário, certifique-se de chamar o comando gcloud auth login antes de executar o script. Se você precisar alterar a conta de usuário, execute o comando gcloud config set core/account GCP_EMAIL_ADDRESS em que GCP_EMAIL_ADDRESS é a conta que você usa para fazer login no Google Cloud.

--enable_cluster_labels

Permita que o script defina rótulos de cluster obrigatórios.

--enable_gcp_components

Permita que o script ative os seguintes serviços e componentes gerenciados necessários do Google Cloud:

Identidade da carga de trabalho, que permite que os aplicativos do GKE acessem os serviços do Google Cloud com segurança.
Ative o Cloud Monitoring e o Cloud Logging no GKE.

--enable_gcp_apis

Permita que o script ative todas as APIs do Google necessárias.

--enable_gcp_iam_roles

Permita que o script defina as permissões de IAM necessárias.

--enable_registration

Permita que o script registre o cluster para o projeto no qual ele está. Se não incluir essa sinalização, siga as etapas em Como registrar um cluster e registre-o manualmente. Observe que, ao contrário das outras sinalizações de ativação, --enable_registration é incluído apenas em --enable_all quando você especifica uma opção (como --option vm ou --option hub-meshca) que requer registro do cluster. Caso contrário, será necessário especificar essa sinalização separadamente.

Outras sinalizações

--dry_run: Mostra comandos, mas não os executa.
--fleet_id: Registre um cluster em uma frota usando o ID do projeto host da frota. Essa sinalização é necessária para clusters que não são do Google Cloud. Quando não fornecido para clusters do Google Cloud, o padrão é o ID do projeto do cluster. Execute asmcli install com --fleet_id antes da instalação ou como parte da instalação transmitindo as sinalizações --enable-registration e --fleet-id. Não será possível mudar essa configuração depois.
--only_validate: Execute a validação, mas não atualize o projeto ou o cluster, nem instale o Anthos Service Mesh. Essa sinalização é incompatível com as sinalizações de ativação. O script termina com um erro se você especifica --only_validate com qualquer sinalização de ativação.
--print_config: Em vez de instalar o Anthos Service Mesh, imprima todo o YAML compilado para a saída padrão (stdout). Todas as outras saídas são gravadas no erro padrão (stderr), mesmo que você normalmente acesse stdout. O script ignora todas as validações e a configuração quando você especifica essa sinalização.
--disable_canonical_service: Por padrão, o script implanta o controlador de serviço canônico no cluster. Se você não quiser que o script implante o controlador, especifique --disable_canonical_service. Para mais informações, consulte Como ativar e desativar o controlador de serviço canônico.
-h|--help: Mostrar uma mensagem de ajuda com a descrição das opções, sinalizações e saída.
-v|--verbose: À medida que o script é executado, se imprimir o comando que ele executará em seguida. Com a sinalização --verbose, o script também imprime o comando após a execução.
--version: Imprime a versão de asmcli e sai. Se você não tiver a versão mais recente, poderá fazer o download da versão mais recente do install_asm_1.10.