本页面介绍了具有集群内控制层面的 Anthos Service Mesh 1.11.8 支持的功能。如需改用 Google 管理的控制平面的 Anthos Service Mesh 1.11.8 支持的功能,请参阅 Google 管理的控制平面。
支持的版本
对 Anthos Service Mesh 的支持遵循 Anthos 版本支持政策。Google 支持当前和以前的两个 (n-2) 次要版本的 Anthos Service Mesh。下表显示了受支持的 Anthos Service Mesh 版本以及某个版本的最早服务终止 (EOL) 日期。
| 发布版本 | 发布日期 | 最早服务终止日期 |
|---|---|---|
| 1.14 | 2022 年 7 月 20 日 | 2023 年 4 月 20 日 |
| 1.13 | 2022 年 3 月 30 日 | 2022 年 12 月 30 日 |
| 1.12 | 2021 年 12 月 9 日 | 2022 年 9 月 9 日 |
如果您使用的是不受支持的 Anthos Service Mesh 版本,则必须升级到 Anthos Service Mesh v1.12 或更高版本。如需了解如何升级,请参阅升级 Anthos Service Mesh。
下表显示了不受支持的 Anthos Service Mesh 版本及其服务终止 (EOL) 日期。
| 发布版本 | 发布日期 | 服务终止 (EOL) 日期 |
|---|---|---|
| 1.11 | 2021 年 10 月 6 日 | 不受支持(2022 年 7 月 20 日) |
| 1.10 | 2021 年 6 月 24 日 | 不支持(2022 年 3 月 30 日) |
| 1.9 | 2021 年 3 月 4 日 | 不受支持(2021 年 12 月 14 日) |
| 1.8 | 2020 年 12 月 15 日 | 不受支持(2021 年 12 月 14 日) |
| 1.7 | 2020 年 11 月 3 日 | 不受支持(2021 年 12 月 14 日) |
| 1.6 | 2020 年 6 月 30 日 | 不支持(2021 年 3 月 30 日) |
| 1.5 | 2020 年 5 月 20 日 | 不支持(2021 年 2 月 17 日) |
| 1.4 | 2019 年 12 月 20 日 | 不支持(2020 年 9 月 18 日) |
如需详细了解我们的支持政策,请参阅获取支持。
平台差异
受支持的功能因支持的平台以及 GKE on Google Cloud 集群位于同一项目中还是位于不同项目中而存在差异。
其他 Anthos 集群列指的是 Google Cloud 外部的集群,例如:
- Anthos On-Prem - 包括 Anthos clusters on VMware (GKE On-Prem) 和 Anthos on Bare Metal。除非平台之间存在差异,否则本页面使用 Anthos On-Prem。
- Anthos clusters on AWS - 包括 Anthos 多云和上一代。
- Amazon EKS 集群
在下表中:
- - 表示该功能默认处于启用状态。
- – 表示平台支持该功能且可启用,如启用可选功能或功能表中链接的功能指南中所述。
- 兼容 - 表示该功能或第三方工具将与 Anthos Service Mesh 集成或配合使用,但不受 Google Cloud 支持团队的完全支持,并且不提供功能指南。
- - 表示该功能不可用或不受 Anthos Service Mesh 1.11.8 支持。
Google Cloud 支持完全支持默认功能和可选功能。该表中未明确列出的功能会得到全力支持。
安装/升级/降级
install_asm 和 istioctl install 已被弃用,Anthos Service Mesh 1.12 发布后,将不再支持使用这些工具安装和升级 Anthos Service Mesh。请更新您的脚本和工具以使用 asmcli。如需了解详情,请参阅改用 asmcli。不支持安装 Istio 的其他方法。
使用 asmcli
| 特征 | Google Cloud 上的 GKE 集群 | Anthos On-Prem | AWS 上的 Anthos 集群 | Amazon EKS 集群 |
|---|---|---|---|---|
| 新安装 | ||||
| 升级 | ||||
| 启用可选功能 |
使用 install_asm 脚本
install_asm 脚本会调用 istioctl install。如需详细了解 install_asm 脚本,请参阅 GKE 单项目。
| 特征 | Google Cloud 同一项目上的 GKE 集群 | Google Cloud 不同项目上的 GKE 集群 | 其他 Anthos 集群 |
|---|---|---|---|
| 新安装 | |||
| 升级 | |||
| 启用可选功能 |
使用 istioctl install
| 特征 | Google Cloud 上的 GKE 集群 | 其他 Anthos 集群 |
|---|---|---|
| 新安装 | ||
| 升级 | ||
| 启用可选功能 |
如需了解如何从 OSS Istio 迁移到 Anthos Service Mesh,请参阅从 Istio 1.7 或更高版本迁移到 Anthos Service Mesh 和 Mesh CA。
安全
证书分发/轮替机制
| 特征 | Google Cloud 上的 GKE 集群 | 其他 Anthos 集群 |
|---|---|---|
| 工作负载证书管理 | ||
| 入站流量和出站流量网关的外部证书管理。 |
证书授权机构 (CA) 支持
| 特征 | Google Cloud 上的 GKE 集群 | 本地 Anthos 集群 | 其他 Anthos 集群 |
|---|---|---|---|
| Anthos Service Mesh 证书授权机构 (Mesh CA) | |||
| 证书授权服务 | |||
| Istio CA(以前称为 Citadel) | * | * | |
| 与自定义 CA 集成 |
Anthos Service Mesh 安全功能
除了支持 Istio 安全功能之外,Anthos Service Mesh 还提供了更多功能来帮助您保护应用。
| 特征 | Google Cloud 上的 GKE 集群 | Anthos On-Prem | AWS 上的 Anthos 集群 | Amazon EKS 集群 |
|---|---|---|---|---|
| IAP 集成 | ||||
| 最终用户身份验证 | ||||
| 审核政策 | * | |||
| 授权政策高级功能(试运行模式和拒绝日志记录) |
授权政策
| 特征 | Google Cloud 上的 GKE 集群 | 其他 Anthos 集群 |
|---|---|---|
| 授权 v1beta1 政策 |
身份验证政策
对等身份验证
| 特征 | Google Cloud 上的 GKE 集群 | 其他 Anthos 集群 |
|---|---|---|
| 自动 mTLS | ||
| mTLS PERMISSIVE 模式 |
如需了解如何启用 mTLS STRICT 模式,请参阅配置传输安全性。
请求身份验证
| 特征 | Google Cloud 上的 GKE 集群 | 其他 Anthos 集群 |
|---|---|---|
| JWT 身份验证 |
遥测
指标
| 特征 | Google Cloud 上的 GKE 集群 | 本地 Anthos 集群 | 其他 Anthos 集群 |
|---|---|---|---|
| Cloud Monitoring(HTTP 代理中指标) | |||
| Cloud Monitoring(TCP 代理中指标) | |||
| Prometheus 指标导出到客户安装的 Prometheus、Grafana 和 Kiali 信息中心 | 兼容 | 兼容 | 兼容 |
| 自定义适配器/后端,出入进程 | |||
| 任意遥测和日志记录后端 | |||
| 支持将 Anthos Service Mesh 与导出到 Prometheus 的指标之间的集成。 | |||
| Google Cloud Console 中的拓扑图不再使用网格遥测服务作为其数据源。虽然拓扑图的数据源已更改,但界面保持不变。 | |||
访问日志记录
| 特征 | Google Cloud 上的 GKE 集群 | 本地 Anthos 集群 | 其他 Anthos 集群 |
|---|---|---|---|
| Cloud Logging | |||
将 Envoy 定向到 stdout |
* | * | * |
跟踪
| 特征 | Google Cloud 上的 GKE 集群 | 本地 Anthos 集群 | 其他 Anthos 集群 |
|---|---|---|---|
| Cloud Trace | * | * | |
| Jaeger 跟踪(允许使用客户管理的 Jaeger) | 兼容 | 兼容 | 兼容 |
| Zipkin 跟踪(允许使用客户管理的 Zipkin) | 兼容 | 兼容 | 兼容 |
| 支持 Anthos Service Mesh 与 Jaeger 或 Zipkin 之间的集成。如需了解详情,请参阅分布式跟踪。 | |||
网络
流量拦截/重定向机制
| 特征 | Google Cloud 上的 GKE 集群 | 其他 Anthos 集群 |
|---|---|---|
iptables 的传统用法:将 init 容器与 CAP_NET_ADMIN 结合使用 |
||
| 容器网络接口 (CNI) | * | * |
协议支持
不支持将配置有第 7 层功能的服务用于以下协议:WebSocket、MongoDB、Redis、Kafka、Cassandra、RabbitMQ、Cloud SQL。您可以通过 TCP 字节流支持来使协议正常工作。如果 TCP 字节流无法支持协议(例如,Kafka 在特定于协议的回复中发送重定向地址,并且此重定向与 Anthos Service Mesh 的路由逻辑不兼容),则协议不受支持。
| 特征 | Google Cloud 上的 GKE 集群 | 其他 Anthos 集群 |
|---|---|---|
| IPv4 | ||
| HTTP/1.1 | ||
| HTTP/2 | ||
| TCP 字节流(备注 1) | ||
| gRPC | ||
| IPv6 |
备注:
- 虽然 TCP 是网络支持的协议,但系统不会收集或报告 TCP 指标。系统仅针对控制台中的 HTTP 服务显示指标。
Envoy 部署
| 特征 | Google Cloud 上的 GKE 集群 | 其他 Anthos 集群 |
|---|---|---|
| Sidecar | ||
| 入站流量网关 | ||
| 直接从 Sidecar 出站 | ||
| 使用出站流量网关出站 | * | * |
CRD 支持
| 特征 | Google Cloud 上的 GKE 集群 | 其他 Anthos 集群 |
|---|---|---|
| Istio API 支持(有以下例外) | ||
| 自定义 Envoy 过滤器 |
Istio 入站流量网关的负载平衡器
| 特征 | Google Cloud 上的 GKE 集群 | 其他 Anthos 集群 |
|---|---|---|
| 公共负载平衡器 | ||
| Google Cloud 内部负载平衡器 | * | 不受支持。请参阅以下链接。 |
如需了解如何配置负载平衡器,请参阅以下内容:
- 为 Anthos clusters on VMware 设置负载平衡器
- Anthos clusters on AWS:创建负载平衡器
负载平衡政策
| 特征 | Google Cloud 上的 GKE 集群 | 其他 Anthos 集群 |
|---|---|---|
| 轮循 | ||
| 最少连接 | ||
| 随机 | ||
| 直通 | ||
| 一致的哈希 | ||
| 位置加权 |
如需详细了解负载均衡政策,请参阅目标规则。
多集群支持
对于不同项目中的 GKE 集群的多主模式部署,所有集群都必须位于共享 Virtual Private Cloud (VPC) 中。
网络
| 特征 | Google Cloud 上的 GKE 集群 | 本地 Anthos 集群 | 其他 Anthos 集群 |
|---|---|---|---|
| 单网络 | |||
| 多网络 |
部署模型
| 特征 | Google Cloud 上的 GKE 集群 | 本地 Anthos 集群 | 其他 Anthos 集群 |
|---|---|---|---|
| 多主模式 | |||
| 主远程 |
有关术语的注意事项
主集群是具有控制层面的集群。单个网格可以有多个主集群来实现高可用性或缩短延迟时间。在 Istio 1.7 文档中,多主模式部署称为复制的控制层面。
远程集群是连接到集群外部的控制层面的集群。远程集群可以连接到在主集群中运行的控制层面或外部控制层面。
Anthos Service Mesh 会根据通用连接使用简化的网络定义。如果工作负载实例无需使用网关就可以直接通信,则它们位于同一网络上。
界面
| 特征 | Google Cloud 同一项目上的 GKE 集群 | Google Cloud 不同项目上的 GKE 集群 | Anthos clusters on VMware (GKE on-prem) | Anthos on Bare Metal | 其他 Anthos 集群 |
|---|---|---|---|---|---|
| 控制台中的 Anthos Service Mesh 信息中心 | |||||
| Cloud Monitoring | |||||
| Cloud Logging | |||||
| Cloud Trace |