Actualiza Anthos Service Mesh

En esta página se explica cómo:

  • Ejecuta asmcli para actualizar de Anthos Service Mesh o de Istio de código abierto 1.9 or a 1.10 patch release a Anthos Service Mesh 1.10.6. No se admiten las actualizaciones a versiones anteriores.

  • Realiza una actualización de la versión canary para migrar tus cargas de trabajo al plano de control nuevo.

Antes de comenzar

Antes de comenzar, asegúrate de lo siguiente:

Personalizaciones del plano de control

Si personalizaste la instalación anterior, necesitas las mismas personalizaciones cuando actualices a una versión nueva de Anthos Service Mesh o si migras desde Istio. Si personalizaste la instalación agregando la marca --set values a istioctl install, debes agregar esa configuración a un archivo YAML IstioOperator, denominado archivo de superposición. Especifica el archivo de superposición mediante la opción --custom_overlay con el nombre del archivo cuando ejecutes la secuencia de comandos. La secuencia de comandos pasa el archivo de superposición a istioctl install.

Autoridad certificadora

Cambiar la autoridad certificadora (CA) durante una actualización causa tiempo de inactividad. Durante la actualización, el tráfico de mTLS se interrumpe hasta que todas las cargas de trabajo cambien al plano de control nuevo con la CA nueva.

Actualizar Anthos Service Mesh

A continuación, se describe cómo actualizar Anthos Service Mesh:

  1. Ejecuta asmcli install para instalar Anthos Service Mesh en un solo clúster. Consulta las siguientes secciones para ver ejemplos de línea de comandos. Los ejemplos contienen argumentos obligatorios y opcionales, que pueden resultarte útiles. Te recomendamos que siempre especifiques el argumento output_dir para poder ubicar fácilmente puertas de enlace y herramientas de ejemplo, como istioctl. Consulta la barra de navegación de la derecha para ver una lista de los ejemplos.

  2. De manera opcional, instala o actualiza una puerta de enlace de entrada.

  3. Para completar la configuración de Anthos Service Mesh, debes habilitar la inyección automática del archivo adicional y, luego, implementar o volver a implementar las cargas de trabajo.

Actualizar con funciones predeterminadas y la CA de Mesh

En esta sección, se muestra cómo ejecutar asmcli para actualizar Anthos Service Mesh con las funciones compatibles predeterminadas en tu plataforma y habilitar la autoridad certificada (CA de Mesh) de Anthos Service Mesh como autoridad certificadora.

GKE

Ejecuta el siguiente comando para instalar el nuevo plano de control con las funciones predeterminadas. Ingresa los valores en los marcadores de posición proporcionados.

./asmcli install \
  --project_id PROJECT_ID \
  --cluster_name CLUSTER_NAME \
  --cluster_location CLUSTER_LOCATION \
  --fleet_id FLEET_PROJECT_ID \
  --output_dir DIR_PATH \
  --enable_all \
  --ca mesh_ca
  • --project_id, --cluster_name y --cluster_location Especifica el ID del proyecto en el que se encuentra el clúster, el nombre del clúster y la zona o región del clúster.
  • --fleet_id El ID del proyecto host de la flota. Si no incluyes esta opción, asmcli usará el proyecto en el que se creó el clúster cuando este se registró.
  • --output_dir incluye esta opción para especificar un directorio en el que asmcli descarga el paquete anthos-service-mesh y extrae el archivo de instalación, que contiene istioctl, muestras y manifiestos. De lo contrario, asmcli descarga los archivos en un directorio tmp. Puedes especificar una ruta de acceso relativa o una completa. La variable de entorno $PWD no funciona aquí.
  • --enable_all permite que la secuencia de comandos realice las siguientes acciones:
    • Otorga los permisos de IAM necesarios.
    • Habilita las API de Google necesarias.
    • Configura una etiqueta en el clúster que identifique la malla.
    • Registra el clúster en la flota si aún no está registrado.
  • --ca mesh_ca Usa la CA de Istio como la autoridad certificadora. Cambiar las autoridades certificadora durante una actualización causa tiempo de inactividad. asmcli configura la CA de Mesh para usar la identidad de carga de trabajo de la flota.

Local

  1. Configura el contexto actual en tu clúster de usuario:

    kubectl config use-context CLUSTER_NAME

  2. Ejecuta el siguiente comando para instalar el nuevo plano de control con las funciones predeterminadas. Ingresa los valores en los marcadores de posición proporcionados.

    ./asmcli install \
  --fleet_id FLEET_PROJECT_ID \
  --kubeconfig KUBECONFIG_FILE \
  --output_dir DIR_PATH \
  --platform multicloud \
  --enable_all \
  --ca mesh_ca
    • --fleet_id El ID del proyecto host de la flota.
    • --kubeconfig es la ruta a kubeconfig. Puedes especificar una ruta de acceso relativa o una completa. La variable de entorno $PWD no funciona aquí.
    • --output_dir incluye esta opción para especificar un directorio en el que asmcli descarga el paquete anthos-service-mesh y extrae el archivo de instalación, que contiene istioctl, muestras y manifiestos. De lo contrario, asmcli descarga los archivos en un directorio tmp. Puedes especificar una ruta de acceso relativa o una completa. La variable de entorno $PWD no funciona aquí.
    • --platform multicloud Especifica que la plataforma local es la plataforma.
    • --enable_all permite que la secuencia de comandos realice las siguientes acciones:
      • Otorga los permisos de IAM necesarios.
      • Habilita las API de Google necesarias.
      • Configura una etiqueta en el clúster que identifique la malla.
      • Registra el clúster en la flota si aún no está registrado.
    • --ca mesh_ca Usa la CA de Istio como la autoridad certificadora. Cambiar las autoridades certificadoras durante una actualización causa tiempo de inactividad. asmcli configura la CA de Mesh para usar la identidad de carga de trabajo de la flota.

Actualiza las funciones predeterminadas con la CA de Istio

En esta sección, se muestra cómo ejecutar asmcli para actualizar Anthos Service Mesh con las funciones compatibles predeterminadas en tu plataforma y habilitar la CA de Istio.

GKE 

./asmcli install \
  --project_id PROJECT_ID \
  --cluster_name CLUSTER_NAME \
  --cluster_location CLUSTER_LOCATION \
  --fleet_id FLEET_PROJECT_ID \
  --output_dir DIR_PATH \
  --enable_all \
  --ca citadel
  • --project_id, --cluster_name y --cluster_location Especifica el ID del proyecto en el que se encuentra el clúster, el nombre del clúster y la zona o región del clúster.
  • --fleet_id El ID del proyecto host de la flota. Si no incluyes esta opción, asmcli usará el proyecto en el que se creó el clúster cuando este se registró.
  • --output_dir incluye esta opción para especificar un directorio en el que asmcli descarga el paquete anthos-service-mesh y extrae el archivo de instalación, que contiene istioctl, muestras y manifiestos. De lo contrario, asmcli descarga los archivos en un directorio tmp. Puedes especificar una ruta de acceso relativa o una completa. La variable de entorno $PWD no funciona aquí.
  • --enable_all permite que la secuencia de comandos realice las siguientes acciones:
    • Otorga los permisos de IAM necesarios.
    • Habilita las API de Google necesarias.
    • Configura una etiqueta en el clúster que identifique la malla.
    • Registra el clúster en la flota si aún no está registrado.
  • -ca citadel Usa la CA de Istio. Cambiar las autoridades certificadoras durante una actualización causa tiempo de inactividad.

Local

  1. Configura el contexto actual en tu clúster de usuario:

     kubectl config use-context CLUSTER_NAME

  2. Ejecuta el siguiente comando para instalar Anthos Service Mesh con las funciones predeterminadas y la CA de Istio:

     ./asmcli install \
   --fleet_id FLEET_PROJECT_ID \
   --kubeconfig KUBECONFIG_FILE \
   --output_dir DIR_PATH \
   --platform multicloud \
   --enable_all \
   --ca citadel \

    • --fleet_id El ID del proyecto host de la flota.
    • --kubeconfig es la ruta a kubeconfig. Puedes especificar una ruta de acceso relativa o una completa. La variable de entorno $PWD no funciona aquí.
    • --output_dir incluye esta opción para especificar un directorio en el que asmcli descarga el paquete anthos-service-mesh y extrae el archivo de instalación, que contiene istioctl, muestras y manifiestos. De lo contrario, asmcli descarga los archivos en un directorio tmp. Puedes especificar una ruta de acceso relativa o una completa. La variable de entorno $PWD no funciona aquí.
    • --platform multicloud Especifica que la plataforma local es la plataforma.
    • --enable_all permite que la secuencia de comandos realice las siguientes acciones:
      • Otorga los permisos de IAM necesarios.
      • Habilita las API de Google necesarias.
      • Configura una etiqueta en el clúster que identifique la malla.
      • Registra el clúster en la flota si aún no está registrado.

    • -ca citadel Usa la CA de Istio. Cambiar la autoridad certificadora (CA) durante una actualización causa tiempo de inactividad.

Actualiza con funciones opcionales

Un archivo de superposición es un archivo YAML que contiene un recurso personalizado (CR) IstioOperator que pasas a asmcli para configurar el plano de control. Puedes anular la configuración predeterminada del plano de control y habilitar una función opcional si pasas el archivo YAML a asmcli. Puedes agregar capas a más superposiciones, y cada archivo superpuesto anula la configuración de las capas anteriores.

GKE

Ejecuta el siguiente comando para instalar el nuevo plano de control con las funciones predeterminadas. Ingresa los valores en los marcadores de posición proporcionados.

./asmcli install \
  --project_id PROJECT_ID \
  --cluster_name CLUSTER_NAME \
  --cluster_location CLUSTER_LOCATION \
  --fleet_id FLEET_PROJECT_ID \
  --output_dir DIR_PATH \
  --enable_all \
  --ca mesh_ca \
  --custom_overlay OVERLAY_FILE
  • --project_id, --cluster_name y --cluster_location Especifica el ID del proyecto en el que se encuentra el clúster, el nombre del clúster y la zona o región del clúster.
  • --fleet_id El ID del proyecto host de la flota. Si no incluyes esta opción, asmcli usará el proyecto en el que se creó el clúster cuando este se registró.
  • --output_dir incluye esta opción para especificar un directorio en el que asmcli descarga el paquete anthos-service-mesh y extrae el archivo de instalación, que contiene istioctl, muestras y manifiestos. De lo contrario, asmcli descarga los archivos en un directorio tmp. Puedes especificar una ruta de acceso relativa o una completa. La variable de entorno $PWD no funciona aquí.
  • --enable_all permite que la secuencia de comandos realice las siguientes acciones:
    • Otorga los permisos de IAM necesarios.
    • Habilita las API de Google necesarias.
    • Configura una etiqueta en el clúster que identifique la malla.
    • Registra el clúster en la flota si aún no está registrado.
  • --ca mesh_ca Usa la CA de Istio como la autoridad certificadora. Cambiar las autoridades certificadora durante una actualización causa tiempo de inactividad. asmcli configura la CA de Mesh para usar la identidad de carga de trabajo de la flota.
  • --custom_overlay Especifica el nombre del archivo de superposición.

Local

  1. Configura el contexto actual en tu clúster de usuario:

    kubectl config use-context CLUSTER_NAME

  2. Ejecuta el siguiente comando para instalar el nuevo plano de control con las funciones predeterminadas. Ingresa los valores en los marcadores de posición proporcionados.

    ./asmcli install \
  --fleet_id FLEET_PROJECT_ID \
  --kubeconfig KUBECONFIG_FILE \
  --output_dir DIR_PATH \
  --platform multicloud \
  --enable_all \
  --ca mesh_ca \
  --custom_overlay OVERLAY_FILE
    • --fleet_id El ID del proyecto host de la flota.
    • --kubeconfig es la ruta a kubeconfig. Puedes especificar una ruta de acceso relativa o una completa. La variable de entorno $PWD no funciona aquí.
    • --output_dir incluye esta opción para especificar un directorio en el que asmcli descarga el paquete anthos-service-mesh y extrae el archivo de instalación, que contiene istioctl, muestras y manifiestos. De lo contrario, asmcli descarga los archivos en un directorio tmp. Puedes especificar una ruta de acceso relativa o una completa. La variable de entorno $PWD no funciona aquí.
    • --platform multicloud Especifica que la plataforma local es la plataforma.
    • --enable_all permite que la secuencia de comandos realice las siguientes acciones:
      • Otorga los permisos de IAM necesarios.
      • Habilita las API de Google necesarias.
      • Configura una etiqueta en el clúster que identifique la malla.
      • Registra el clúster en la flota si aún no está registrado.
    • --ca mesh_ca Usa la CA de Istio como la autoridad certificadora. Cambiar las autoridades certificadora durante una actualización causa tiempo de inactividad. asmcli configura la CA de Mesh para usar la identidad de carga de trabajo de la flota.
    • --custom_overlay Especifica el nombre del archivo de superposición.

Actualiza puertas de enlace

Si tienes puertas de enlace implementadas, también deberás actualizarlas. Para realizar una actualización simple, sigue la sección sobre actualizaciones locales en la guía Instala y actualiza puertas de enlace.

Cambia al nuevo plano de control

  1. Obtén la etiqueta de revisión que está en istiod.

    kubectl get pod -n istio-system -L istio.io/rev

    El resultado del comando es similar al siguiente:

    NAME                                             READY   STATUS    RESTARTS   AGE   REV
istiod-asm-176-1-67998f4b55-lrzpz                1/1     Running   0          68m   asm-198-3
istiod-asm-176-1-67998f4b55-r76kr                1/1     Running   0          68m   asm-198-3
istiod-asm-182-2-5cd96f88f6-n7tj9                1/1     Running   0          27s   asm-1106-2
istiod-asm-182-2-5cd96f88f6-wm68b                1/1     Running   0          27s   asm-1106-2

    1. En el resultado, en la columna REV, anota el valor de la etiqueta de revisión de la versión nueva. En este ejemplo, el valor es asm-1106-2.

    2. Observa también el valor en la etiqueta de revisión de la versión istiod anterior. Necesitarás esto para borrar la versión anterior de istiod cuando termines de migrar las cargas de trabajo a la versión nueva. En el resultado de ejemplo, el valor de la etiqueta de revisión para la versión anterior es asm-198-3.

  2. Agrega la etiqueta de revisión a un espacio de nombres de la aplicación y quita la etiqueta istio-injection (si existe). En el siguiente comando, cambia REVISION por el valor que coincide con la nueva revisión de istiod.

    kubectl label namespace NAMESPACE istio.io/rev=REVISION istio-injection- --overwrite

    Si ves "istio-injection not found" en el resultado, puedes ignorarlo. Esto significa que el espacio de nombres no tenía la etiqueta istio-injection antes. Debido a que la inserción automática falla si un espacio de nombres tiene tanto la istio-injection como la etiqueta de revisión, todos los comandos kubectl label de la documentación de Anthos Service Mesh incluyen la acción de quitar la etiqueta istio-injection.

  3. Reinicia los Pods para activar la reinserción:

    kubectl rollout restart deployment -n NAMESPACE

  4. Verifica que tus pods estén configurados para apuntar a la nueva versión de istiod.

    kubectl get pods -n NAMESPACE -l istio.io/rev=REVISION

  5. Prueba la aplicación para verificar que las cargas de trabajo funcionen de forma correcta.

  6. Si tienes cargas de trabajo en otros espacios de nombres, repite los pasos para etiquetar el espacio de nombres y reiniciar los pods.

  7. Si estás seguro de que tu aplicación funciona como se esperaba, continúa con los pasos para completar la transición a la versión nueva de istiod. Si hay un problema con tu aplicación, sigue los pasos para revertirla.

    Completa la transición

    Si estás seguro de que tu aplicación funciona como se esperaba, quita el plano de control anterior para completar la transición a la nueva versión.

    1. Cambia al directorio en el que se encuentran los archivos del repositorio de GitHub anthos-service-mesh.

    2. Configura el webhook de validación para usar el plano de control nuevo.

      kubectl apply -f asm/istio/istiod-service.yaml

    3. Borra la versión anterior de istiod. El comando que debes usar depende de si migras desde Istio o actualizas desde una versión anterior de Anthos Service Mesh.

      Migra

      Si migraste desde Istio, la istio-ingressgateway anterior no tiene una etiqueta de revisión.

      kubectl delete Service,Deployment,HorizontalPodAutoscaler,PodDisruptionBudget istiod -n istio-system --ignore-not-found=true

      Actualizar

      Si actualizaste desde una versión anterior de Anthos Service Mesh, en el siguiente comando, asegúrate de que OLD_REVISION coincida con la etiqueta de revisión de la versión anterior de istiod.

      kubectl delete Service,Deployment,HorizontalPodAutoscaler,PodDisruptionBudget istiod-OLD_REVISION -n istio-system --ignore-not-found=true

    4. Quita la versión anterior de la configuración IstioOperator.

      kubectl delete IstioOperator installed-state-OLD_REVISION -n istio-system

      El resultado esperado es similar al siguiente:

      istiooperator.install.istio.io "installed-state-OLD_REVISION" deleted

    Revertir

    Si encontraste un problema cuando probaste tu aplicación con la versión nueva de istiod, sigue estos pasos para realizar una reversión a la versión anterior:

    1. Vuelve a etiquetar tu espacio de nombres para habilitar la inserción automática con la versión anterior de istiod. El comando que uses depende de si usaste una etiqueta de revisión o istio-injection=enabled con la versión anterior.

      • Si usaste una etiqueta de revisión para la inserción automática, haz lo siguiente:

        kubectl label namespace NAMESPACE istio.io/rev=OLD_REVISION --overwrite

      • Si usaste istio-injection=enabled:

        kubectl label namespace NAMESPACE istio.io/rev- istio-injection=enabled --overwrite

      Resultado esperado:

      namespace/NAMESPACE labeled

    2. Confirma que la etiqueta de revisión en el espacio de nombres coincida con la etiqueta de revisión en la versión anterior de istiod:

      kubectl get ns NAMESPACE --show-labels

    3. Reinicia los Pods para activar la reinserción a fin de que los proxies tengan la versión previa:

      kubectl rollout restart deployment -n NAMESPACE

    4. Quita la versión nueva de istiod. Asegúrate de que el valor de REVISION en el siguiente comando sea correcto.

      kubectl delete Service,Deployment,HorizontalPodAutoscaler,PodDisruptionBudget istiod-REVISION -n istio-system --ignore-not-found=true

    5. Quita la versión nueva de la configuración IstioOperator.

      kubectl delete IstioOperator installed-state-REVISION -n istio-system

      El resultado esperado es similar al siguiente:

      istiooperator.install.istio.io "installed-state-REVISION" deleted

    6. Si no incluiste la marca --disable_canonical_service, la secuencia de comandos habilitó el controlador del servicio canónico. Recomendamos que lo habilites, pero si necesitas inhabilitarlo, consulta Habilita o inhabilita el controlador de servicio canónico.

    7. Si tienes puertas de enlace implementadas, asegúrate de cambiar la etiqueta de revisión en el espacio de nombres o la implementación para que coincida con la versión anterior de istiod. Sigue el mismo proceso que se describe en la sección Actualizaciones locales de la guía Instala y actualiza puertas de enlace.