asmcli-Referenz

Auf dieser Seite werden die für asmcli verfügbaren Argumente erläutert.

Optionen

Sie haben folgende Möglichkeiten, den Cluster zu identifizieren:

-c|--ca {mesh_ca|citadel}

Die Zertifizierungsstelle, die zum Verwalten von Zertifikaten für gegenseitiges TLS verwendet werden soll. Geben Sie entweder mesh_ca an, um die Anthos Service Mesh-Zertifizierungsstelle (Mesh-CA) zu verwenden, oder citadel, um die Istio-Zertifizierungsstelle zu verwenden. Informationen dazu, welche CA verwendet werden soll, finden Sie unter Zertifizierungsstelle auswählen. Weitere Optionen, die Sie bei der Verwendung von Istio CA angeben müssen, finden Sie unter Optionen für benutzerdefiniertes Istio CA-Zertifikat.

--co|--custom_overlay YAML_FILE

Der Name der YAML-Datei für die benutzerdefinierte Ressource IstioOperator, um eine Funktion zu aktivieren, die nicht standardmäßig aktiviert ist. Das Skript muss die YAML-Datei finden können, sodass sich die Datei im selben Verzeichnis wie das Skript befindet. Sie können aber auch einen relativen Pfad angeben. Wenn Sie mehrere Dateien hinzufügen möchten, geben Sie --co|--custom_overlay und den Dateinamen ein. Beispiel: --co overlay_file1.yaml --co overlay_file2.yaml --co overlay_file3.yaml

--hub-registration-extra-flags HUB_REGISTRATION_EXTRA_FLAGS

Wenn Sie angehängte Amazon EKS-Cluster verwenden, nutzen Sie --hub-registration-extra-flags, um den Cluster in der Flotte zu registrieren, wenn er nicht bereits registriert ist.

--network_id NETWORK_ID

Verwenden Sie --network_id um das Label topology.istio.io/network festzulegen, das auf den Namespace istio-system angewendet wird. Bei GKE ist --network_id standardmäßig der Netzwerkname für den Cluster. In anderen Umgebungen wird default verwendet.

-o|--option OPTION_FILE

Der Name einer YAML-Datei aus dem Paket anthos-service-mesh, die die CR IstioOperator enthält, um eine optionale Funktion zu aktivieren. Wenn Sie eine dieser Dateien einschließen, müssen Sie das Paket anthos-service-mesh nicht zuerst herunterladen und die Erweiterung .yaml nicht angeben. Wenn Sie eine der Dateien ändern müssen, laden Sie das Paket anthos-service-mesh herunter, nehmen Sie die Änderungen vor und verwenden Sie die Option --custom_overlay. Wenn Sie mehrere Dateien hinzufügen möchten, geben Sie -o|--option und den Dateinamen ein. Beispiel: -o option_file1 -o option_file2 -o option_file3

-D|--output_dir DIR_PATH

Wenn keine Angabe erfolgt, erstellt das Skript ein temporäres Verzeichnis, in das die Dateien und Konfigurationen für die Installation von Anthos Service Mesh heruntergeladen werden. Verwenden Sie das Flag --output-dir, um einen relativen Pfad zu einem Verzeichnis anzugeben, das stattdessen verwendet werden soll. Nach Abschluss enthält das angegebene Verzeichnis die Unterverzeichnisse asm und istio-1.10.6-asm.2. Das Verzeichnis asm enthält die Konfiguration für die Installation. Das Verzeichnis istio-1.10.6-asm.2 enthält den extrahierten Inhalt der Installationsdatei, die istioctl, Beispiele und Manifeste enthält. Wenn Sie --output-dir angeben und das Verzeichnis bereits die erforderlichen Dateien enthält, verwendet das Skript diese Dateien, anstatt sie noch einmal herunterzuladen.

-r|--revision_name REVISION NAME>

Ein Überarbeitungslabel ist ein Schlüssel/Wert-Paar, das auf der Steuerungsebene festgelegt wird. Der Schlüssel des Überarbeitungslabels ist immer istio.io/rev. Standardmäßig legt das Skript den Wert für das Überarbeitungslabel anhand der Anthos Service Mesh-Version fest, z. B. asm-1106-2. Fügen Sie diese Option ein, wenn Sie den Standardwert überschreiben und einen eigenen Wert angeben möchten. Das Argument REVISION NAME muss ein DNS-1035-Label sein und aus alphanumerischen Zeichen in Kleinbuchstaben oder - bestehen, mit einem Buchstaben beginnen und mit einem alphanumerischen Zeichen enden (z. B. my-name' oder abc-123). Der für die Validierung verwendete Regex lautet '[a-z]([-a-z0-9]*[a-z0-9])?').

-s|--service_account ACCOUNT

Der Name eines Dienstkontos, das zum Installieren von Anthos Service Mesh verwendet wird. Wenn nicht angegeben, wird das aktive Nutzerkonto in der aktuellen gcloud-Konfiguration verwendet. Wenn Sie das aktive Nutzerkonto ändern müssen, führen Sie gcloud auth login aus.

-k|--key_file FILE_PATH

Die Schlüsseldatei für ein Dienstkonto. Lassen Sie diese Option weg, wenn Sie kein Dienstkonto verwenden.

Optionen für das benutzerdefinierte Citadel-Zertifikat

Wenn Sie --ca citadel angegeben haben und eine benutzerdefinierte Zertifizierungsstelle nutzen, verwenden Sie die folgenden Optionen:

• --ca_cert FILE_PATH: Zwischenzertifikat
• --ca_key FILE_PATH: Schlüssel für das Zwischenzertifikat
• --root_cert FILE_PATH: Root-Zertifikat
• --cert_chain FILE_PATH: Zertifikatskette

Weitere Informationen finden Sie unter Vorhandene CA-Zertifikate einbinden.

Flags zur Aktivierung

Über die Flags, die mit --enable starten, kann das Skript die erforderlichen Google APIs aktivieren, die erforderlichen IAM-Berechtigungen (Identity and Access Management) festlegen und Ihre Cluster aktualisieren. Sie können Ihr Projekt und Ihre Cluster bei Bedarf selbst aktualisieren, bevor Sie das Skript ausführen, wie unter Projekt einrichten und Cluster einrichten des Installationsleitfadens für mehrere Projekte beschrieben. Keines dieser Flags ist mit --only_validate kompatibel und das Skript wird in diesem Fall mit einem Fehler beendet.

-e|--enable_all

Das Skript kann alle unten beschriebenen Aktivierungsaktionen ausführen.

--enable_cluster_roles

Lassen Sie zu, dass das Skript versucht, den Google Cloud-Nutzer oder das Dienstkonto, von dem das Skript ausgeführt wird, an die Rolle cluster-admin in Ihrem Cluster zu binden. Das Skript ermittelt das Nutzerkonto mit dem Befehl gcloud config get core/account. Wenn Sie das Skript lokal mit einem Nutzerkonto ausführen möchten, müssen Sie vor der Ausführung den Befehl gcloud auth login aufrufen. Wenn Sie das Nutzerkonto ändern müssen, führen Sie den Befehl gcloud config set core/account GCP_EMAIL_ADDRESS aus. Dabei ist GCP_EMAIL_ADDRESS das Konto, mit dem Sie sich bei Google Cloud anmelden.

--enable_cluster_labels

Das Skript kann die erforderlichen Clusterlabels festlegen.

--enable_gcp_components

Das Skript kann die folgenden von Google Cloud verwalteten Dienste und Komponenten aktivieren:

• Workload Identity, mit der GKE-Anwendungen sicher auf Google Cloud-Dienste zugreifen können.

• Cloud Monitoring and Cloud Logging in GKE.

--enable_gcp_apis

Das Skript kann alle erforderlichen Google APIs aktivieren.

--enable_gcp_iam_roles

Das Skript kann die erforderlichen IAM-Berechtigungen festlegen.

--enable_registration

Erlauben Sie dem Skript, den Cluster für das Projekt zu registrieren, in dem sich der Cluster befindet. Wenn Sie dieses Flag nicht hinzufügen, führen Sie die Schritte unter Cluster registrieren aus, um den Cluster manuell zu registrieren. Im Gegensatz zu den anderen Aktivierungs-Flags ist --enable_registration nur in --enable_all enthalten, wenn Sie eine Option wie --option vm oder --option hub-meshca angeben, für die eine Cluster-Registrierung erforderlich ist. Andernfalls müssen Sie dieses Flag separat angeben.

Weitere Flags

--dry_run

Befehle drucken, aber nicht ausführen

--fleet_id

Registrieren Sie einen Cluster mit der Hostprojekt-ID des Gerätepools für eine Flotte. Dieses Flag ist für Nicht-Google Cloud-Cluster erforderlich. Wenn nicht für Google Cloud-Cluster angegeben, wird standardmäßig die Projekt-ID des Clusters verwendet. Sie können asmcli install vor der Installation zusammen mit --fleet_id oder als Teil der Installation ausführen, indem Sie die Flags --enable-registration und --fleet-id übergeben. Diese Einstellung kann nach der Konfiguration nicht mehr geändert werden.

--only_validate

Führen Sie die Validierung durch, aber aktualisieren Sie nicht das Projekt oder den Cluster und installieren Sie nicht Anthos Service Mesh. Dieses Flag ist nicht mit den Flags zur Aktivierung kompatibel. Das Skript wird mit einem Fehler beendet, wenn Sie --only_validate mit einem Flag zur Aktivierung angeben.

--print_config

Anstatt die Anthos Service Mesh zu installieren, drucken Sie die gesamte kompilierte YAML als Standardausgabe (stdout). Alle anderen Ausgaben werden in Standardfehler (stderr) geschrieben, auch wenn sie normalerweise an stdout gesendet würden. Das Skript überspringt alle Validierungen und die Einrichtung, wenn Sie dieses Flag angeben.

--disable_canonical_service

Standardmäßig stellt das Skript den Canonical Service-Controller in Ihrem Cluster bereit. Wenn Sie nicht möchten, dass das Skript den Controller bereitstellt, geben Sie --disable_canonical_service an. Weitere Informationen finden Sie unter Canonical Service-Controller aktivieren und deaktivieren.

-h|--help

In einer Hilfemeldung werden die Optionen und Flags beschrieben und der Vorgang beendet.

-v|--verbose

Gibt bei Ausführung des Skripts den Befehl aus, der als Nächstes ausgeführt wird. Mit dem Flag --verbose gibt das Skript den Befehl auch nach der Ausführung aus.

--version

Gibt die Version von asmcli aus und beendet den Vorgang. Wenn Sie nicht die neueste Version haben, können Sie die neueste Version von install_asm_1.10 herunterladen.

Nächste Schritte

• Beispielanwendung Online Boutique auf Anthos Service Mesh bereitstellen
• Cluster zu einem Anthos Service Mesh hinzufügen