このページでは、クラスタ内コントロール プレーンの Anthos Service Mesh 1.11.8 でサポートされている機能について説明します。Google が管理するコントロール プレーンの Anthos Service Mesh 1.11.8 でサポートされる機能については、Google が管理するコントロール プレーンでサポートされる機能をご覧ください。
サポート対象のバージョン
Anthos Service Mesh のサポートは、Anthos バージョン サポート ポリシーに従って提供されます。Google では、Anthos Service Mesh の現行バージョンと 2 つ前までのマイナー バージョン(n-2)をサポートしています。次の表に、Anthos Service Mesh のサポート対象バージョンと、各バージョンの最も早いサポート終了(EOL)の日付を示します。
| リリース バージョン | リリース日 | 最も早い EOL の日付 |
|---|---|---|
| 1.14 | 2022 年 7 月 20 日 | 2023 年 4 月 20 日 |
| 1.13 | 2022 年 3 月 30 日 | 2022 年 12 月 30 日 |
| 1.12 | 2021 年 12 月 9 日 | 2022 年 9 月 9 日 |
サポートされていないバージョンの Anthos Service Mesh を使用している場合は、Anthos Service Mesh v1.12 以降にアップグレードする必要があります。アップグレード方法については、Anthos Service Mesh のアップグレードをご覧ください。
次の表に、Anthos Service Mesh のサポートされていないバージョンとそれらのサポート終了(EOL)日を示します。
| リリース バージョン | リリース日 | EOL 日 |
|---|---|---|
| 1.11 | 2021 年 10 月 6 日 | サポート対象外(2022 年 7 月 20 日) |
| 1.10 | 2021 年 6 月 24 日 | サポート対象外(2022 年 3 月 30 日) |
| 1.9 | 2021 年 3 月 4 日 | サポート対象外(2021 年 12 月 14 日) |
| 1.8 | 2020 年 12 月 15 日 | サポート対象外(2021 年 12 月 14 日) |
| 1.7 | 2020 年 11 月 3 日 | サポート対象外(2021 年 12 月 14 日) |
| 1.6 | 2020 年 6 月 30 日 | サポート対象外(2021 年 3 月 30 日) |
| 1.5 | 2020 年 5 月 20 日 | サポート対象外(2021 年 2 月 17 日) |
| 1.4 | 2019 年 12 月 20 日 | サポート対象外(2020 年 9 月 18 日) |
サポート ポリシーの詳細については、サポートの利用をご覧ください。
プラットフォームの違い
サポートされているプラットフォームと Google Cloud クラスタの GKE が同じプロジェクトにあるのか、別のプロジェクトにあるのかによって、サポートされる機能に違いがあります。
その他の Anthos クラスタの列は、Google Cloud の外部にあるクラスタを指します。次に例を示します。
- Anthos オンプレミス - Anthos clusters on VMware(GKE On-Prem)とベアメタル版 Anthos が含まれます。プラットフォームに違いがない限り、このページでは Anthos オンプレミスを使用します。
- AWS 上の Anthos クラスタ - Anthos マルチクラウドと前の世代が含まれます。
- Amazon EKS クラスタ
以下の表の見方は次のとおりです。
- – 機能がデフォルトで有効になっていることを示します。
- * - 機能がプラットフォームでサポートされていることを示します。有効にする手順は、オプション機能の有効化または機能の表にリンクされている機能ガイドに記載されています。
- 互換 - 機能またはサードパーティ ツールが Anthos Service Mesh で統合または動作可能であることを示します。ただし、Google Cloud サポートで完全にはサポートされず、機能ガイドも使用できません。
- – 機能が利用できないか、Anthos Service Mesh 1.11.8 でサポートされていないことを示します。
デフォルト機能とオプション機能は、Google Cloud サポートで完全にサポートされています。表に記載されていない機能はベスト エフォート型のサポートになります。
インストール / アップグレード / ダウングレード
install_asm と istioctl install の使用は非推奨になり、Anthos Service Mesh 1.12 のリリース時に Anthos Service Mesh のインストールとアップグレードのサポートが削除されます。スクリプトとツールを更新して asmcli を使用してください。詳細については、asmcli への移行をご覧ください。他の方法で Istio をインストールすることはできません。
asmcli の使用
| 機能 | Google Cloud 上の GKE クラスタ | Anthos(オンプレミス) | Anthos clusters on AWS | Amazon EKS クラスタ |
|---|---|---|---|---|
| 新規インストール | ||||
| アップグレード | ||||
| オプション機能の有効化 |
install_asm スクリプトの使用
install_asm スクリプトは istioctl install を呼び出します。install_asm スクリプトの詳細については、GKE 単一プロジェクトをご覧ください。
| 機能 | Google Cloud 上の GKE クラスタ(同じプロジェクト) | Google Cloud 上の GKE クラスタ(異なるプロジェクト) | その他の Anthos クラスタ |
|---|---|---|---|
| 新規インストール | |||
| アップグレード | |||
| オプション機能の有効化 |
istioctl install の使用
| 機能 | Google Cloud 上の GKE クラスタ | その他の Anthos クラスタ |
|---|---|---|
| 新規インストール | ||
| アップグレード | ||
| オプション機能の有効化 |
OSS Istio から Anthos Service Mesh への移行については、Istio 1.7 以降から Anthos Service Mesh と Mesh CA への移行をご覧ください。
セキュリティ
証明書の配布 / ローテーション メカニズム
| 機能 | Google Cloud 上の GKE クラスタ | その他の Anthos クラスタ |
|---|---|---|
| ワークロード証明書の管理 | ||
| Ingress ゲートウェイと Egress ゲートウェイでの外部証明書の管理。 |
認証局(CA)のサポート
| 機能 | Google Cloud 上の GKE クラスタ | オンプレミスの Anthos クラスタ | その他の Anthos クラスタ |
|---|---|---|---|
| Anthos Service Mesh 認証局(Mesh CA) | |||
| Certificate Authority Service | |||
| Istio CA(旧称 Citadel) | * | * | |
| カスタム CA との統合 |
Anthos Service Mesh のセキュリティ機能
Anthos Service Mesh は、Istio のセキュリティ機能をサポートしているだけでなく、アプリケーションの保護に役立つ機能をさらに提供します。
| 機能 | Google Cloud 上の GKE クラスタ | Anthos(オンプレミス) | Anthos clusters on AWS | Amazon EKS クラスタ |
|---|---|---|---|---|
| IAP の統合 | ||||
| エンドユーザー認証 | ||||
| 監査ポリシー | * | |||
| 認可ポリシーの高度な機能(ドライラン モードと拒否ロギング) |
認可ポリシー
| 機能 | Google Cloud 上の GKE クラスタ | その他の Anthos クラスタ |
|---|---|---|
| 認証 v1beta1 ポリシー |
認証ポリシー
ピア認証
| 機能 | Google Cloud 上の GKE クラスタ | その他の Anthos クラスタ |
|---|---|---|
| 自動 mTLS | ||
| mTLS PERMISSIVE モード |
mTLS の STRICT モードを有効にする方法については、トランスポート セキュリティを構成するをご覧ください。
認証のリクエスト
| 機能 | Google Cloud 上の GKE クラスタ | その他の Anthos クラスタ |
|---|---|---|
| JWT 認証 |
テレメトリー
指標
| 機能 | Google Cloud 上の GKE クラスタ | オンプレミスの Anthos クラスタ | その他の Anthos クラスタ |
|---|---|---|---|
| Cloud Monitoring(HTTP プロキシ内指標) | |||
| Cloud Monitoring(TCP プロキシ内指標) | |||
| お客様がインストールした Prometheus、Grafana、Kiali ダッシュボードへの Prometheus 指標のエクスポート | 互換 | 互換 | 互換 |
| カスタム アダプタ / バックエンド(プロセス内またはプロセス外) | |||
| 任意のテレメトリーとロギング バックエンド | |||
| Anthos Service Mesh 間の統合と Prometheus への指標のエクスポートがサポートされています。 | |||
| Google Cloud コンソールのトポロジグラフでは、データソースとしてメッシュ テレメトリー サービスが使用されなくなりました。トポロジグラフのデータソースは変更されましたが、UI は変わりません。 | |||
アクセス ロギング
| 機能 | Google Cloud 上の GKE クラスタ | オンプレミスの Anthos クラスタ | その他の Anthos クラスタ |
|---|---|---|---|
| Cloud Logging | |||
Envoy の stdout への誘導 |
* | * | * |
トレース
| 機能 | Google Cloud 上の GKE クラスタ | オンプレミスの Anthos クラスタ | その他の Anthos クラスタ |
|---|---|---|---|
| Cloud Trace | * | * | |
| Jaeger トレース(顧客管理の Jaeger の使用を許可する) | 互換 | 互換 | 互換 |
| Zipkin トレース(顧客管理の Zipkin の使用を許可する) | 互換 | 互換 | 互換 |
| Anthos Service Mesh と Jaeger または Zipkin の統合がサポートされています。詳細については、分散トレースをご覧ください。 | |||
ネットワーキング
トラフィックのインターセプト / リダイレクト メカニズム
| 機能 | Google Cloud 上の GKE クラスタ | その他の Anthos クラスタ |
|---|---|---|
CAP_NET_ADMIN と init コンテナを使用する iptables の従来の使用 |
||
| Container Network Interface(CNI) | * | * |
プロトコル サポート
レイヤ 7 機能で WebSocket、MongoDB、Redis、Kafka、Cassandra、RabbitMQ、Cloud SQL のプロトコル向けに構成されているサービスはサポートされません。TCP バイト ストリームのサポートを使用して、プロトコルを機能させることができます。TCP バイト ストリームがプロトコルをサポートできない場合、プロトコルはサポートされません(たとえば、Kafka がプロトコル固有の応答でリダイレクト アドレスを送信し、このリダイレクトが Anthos Service Mesh のルーティング ロジックと互換性がない場合など)。
| 機能 | Google Cloud 上の GKE クラスタ | その他の Anthos クラスタ |
|---|---|---|
| IPv4 | ||
| HTTP/1.1 | ||
| HTTP/2 | ||
| TCP バイト ストリーム(注 1) | ||
| gRPC | ||
| IPv6 |
注:
- TCP はネットワーキング用のプロトコルですが、TCP 指標は収集または報告されません。指標は、コンソール内の HTTP サービスにのみ表示されます。
Envoy のデプロイ
| 機能 | Google Cloud 上の GKE クラスタ | その他の Anthos クラスタ |
|---|---|---|
| サイドカー | ||
| Ingress ゲートウェイ | ||
| サイドカーから直接の下り(外向き) | ||
| Egress ゲートウェイを使用した下り(外向き) | * | * |
CRD サポート
| 機能 | Google Cloud 上の GKE クラスタ | その他の Anthos クラスタ |
|---|---|---|
| Istio API のサポート(以下は例外) | ||
| カスタム Envoy フィルタ |
Istio Ingress Gateway のロードバランサ
| 機能 | Google Cloud 上の GKE クラスタ | その他の Anthos クラスタ |
|---|---|---|
| パブリック ロードバランサ | ||
| Google Cloud 内部ロードバランサ | * | サポートされていません。以下のリンクをご覧ください。 |
ロードバランサの構成については、次をご覧ください。
- Anthos clusters on VMware 用のロードバランサの設定
- Anthos clusters on AWS: ロードバランサの作成
負荷分散ポリシー
| 機能 | Google Cloud 上の GKE クラスタ | その他の Anthos クラスタ |
|---|---|---|
| ラウンドロビン | ||
| 最小接続 | ||
| ランダム | ||
| パススルー | ||
| コンシステント ハッシュ | ||
| 局所加重 |
ロード バランシング ポリシーの詳細については、宛先ルールをご覧ください。
マルチクラスタのサポート
別のプロジェクト内の GKE クラスタのマルチプライマリ デプロイでは、すべてのクラスタが共有 Virtual Private Cloud(VPC)内に存在する必要があります。
ネットワーク
| 機能 | Google Cloud 上の GKE クラスタ | オンプレミスの Anthos クラスタ | その他の Anthos クラスタ |
|---|---|---|---|
| 単一ネットワーク | |||
| マルチネットワーク |
デプロイモデル
| 機能 | Google Cloud 上の GKE クラスタ | オンプレミスの Anthos クラスタ | その他の Anthos クラスタ |
|---|---|---|---|
| マルチプライマリ | |||
| プライマリリモート |
用語に関する注意事項
プライマリ クラスタは、コントロール プレーンを含むクラスタです。1 つのメッシュで複数のプライマリ クラスタを使用することで、高可用性の実現やレイテンシの短縮が可能です。Istio 1.7 ドキュメントでは、マルチプライマリ デプロイはレプリケートされたコントロール プレーンと呼ばれます。
リモート クラスタは、クラスタの外部に存在するコントロール プレーンに接続するクラスタです。リモート クラスタは、プライマリ クラスタで実行されているコントロール プレーンまたは外部コントロール プレーンに接続できます。
Anthos Service Mesh では、一般的な接続に基づいて、簡素化されたネットワーク定義を使用しています。ワークロード インスタンスは、ゲートウェイなしで直接通信できる場合は同じネットワーク上に存在します。
ユーザー インターフェース
| 機能 | Google Cloud 上の GKE クラスタ(同じプロジェクト) | Google Cloud 上の GKE クラスタ(異なるプロジェクト) | Anthos clusters on VMware(GKE On-Prem) | ベアメタル版 Anthos | その他の Anthos クラスタ |
|---|---|---|---|---|---|
| コンソールの Anthos Service Mesh ダッシュボード | |||||
| Cloud Monitoring | |||||
| Cloud Logging | |||||
| Cloud Trace |