이 페이지에서는 Anthos Service Mesh 신규 설치를 계획하는 데 도움이 되는 정보를 제공합니다.
제어 영역 맞춤설정
Anthos Service Mesh에서 지원되는 기능은 플랫폼마다 다릅니다. 지원되는 기능을 검토하여 플랫폼에서 지원되는 기능을 확인하는 것이 좋습니다. 일부 기능은 기본적으로 사용 설정되며, 다른 기능은 IstioOperator
오버레이 파일을 만들어서 선택적으로 사용 설정할 수 있습니다.
asmcli install
을 실행할 때 오버레이 파일에서 --custom_overlay
옵션을 지정하여 제어 영역을 맞춤설정할 수 있습니다. 버전 제어 시스템에 오버레이 파일을 저장할 것을 권장합니다.
GitHub의 anthos-service-mesh
패키지에는 다양한 오버레이 파일이 포함되어 있습니다. 이러한 파일에는 기본 구성에 대한 일반적인 맞춤설정이 포함되어 있습니다. 이러한 파일은 그대로 사용하거나 필요에 따라 추가로 변경할 수 있습니다. 선택적 Anthos Service Mesh 기능을 사용 설정하려면 일부 파일이 필요합니다.
asmcli
를 실행하여 프로젝트와 클러스터의 유효성을 검사하면 anthos-service-mesh
패키지가 다운로드됩니다.
asmcli install
을 사용하여 Anthos Service Mesh를 설치할 때 --option
또는 --custom_overlay
로 하나 이상의 오버레이 파일을 지정할 수 있습니다.
anthos-service-mesh
저장소의 파일을 변경할 필요가 없는 경우 --option
을 사용할 수 있으며 스크립트가 자동으로 GitHub에서 파일을 가져옵니다. 그렇지 않으면 오버레이 파일을 변경한 후 --custom_overlay
옵션을 사용하여 asmcli
에 전달할 수 있습니다.
인증 기관 선택
사용 사례, 플랫폼, 제어 영역 유형(클러스터 내 또는 관리형)에 따라 mTLS(상호 TLS) 인증서를 발급하기 위한 인증 기관(CA)으로 다음 중 하나를 선택할 수 있습니다.
이 섹션에서는 이러한 각 CA 옵션과 사용 사례에 대한 고급 정보를 제공합니다.
Mesh CA
커스텀 CA가 필요한 경우가 아니라도 다음과 같은 이유로 Mesh CA를 사용하는 것이 좋습니다.
- Mesh CA는 Google Cloud에서 동적으로 확장되는 워크로드에 최적화된 안정성과 확장성이 뛰어난 서비스입니다.
- Google은 Mesh CA를 사용하여 CA 백엔드의 보안과 가용성을 관리합니다.
- Mesh CA를 사용하면 여러 클러스터에서 신뢰할 수 있는 단일 루트를 사용할 수 있습니다.
Mesh CA의 인증서에는 애플리케이션 서비스에 대한 다음 데이터가 포함됩니다.
- Google Cloud 프로젝트 ID
- GKE 네임스페이스
- GKE 서비스 계정 이름
CA 서비스
Mesh CA 외에 Certificate Authority Service를 사용하도록 Anthos Service Mesh를 구성할 수 있습니다. 이 가이드에서는 다음과 같은 사용 사례에 권장되는 CA 서비스와 통합할 수 있는 기회를 제공합니다.
- 여러 클러스터에서 워크로드 인증서에 서명하는 데 다른 인증 기관이 필요한 경우
istiod
커스텀 CA 플러그인 인증서를 사용하려는 경우- Google 관리형 HSM에서 서명 키를 백업해야 하는 경우
- 규제가 심한 업종에 속해 있고 규정 준수해야 하는 경우
- Anthos Service Mesh CA를 커스텀 엔터프라이즈 루트 인증서에 연결하여 워크로드 인증서에 서명하려는 경우
Mesh CA 비용은 Anthos Service Mesh 가격 책정에 포함되어 있습니다. CA 서비스는 기본 Anthos Service Mesh 가격에 포함되지 않으며 요금이 별도로 청구됩니다. 또한 CA Service에는 명시적 SLA가 제공되지만 Mesh CA의 경우에는 그렇지 않습니다.
이러한 통합을 위해 Anthos Service Mesh의 모든 워크로드에는 다음과 같은 두 가지 IAM 역할이 부여됩니다.
Istio CA
다음 기준을 충족하는 경우 Istio CA를 사용하는 것이 좋습니다.
- 메시가 이미 Istio CA를 사용하고 있으므로 메시 CA 또는 CA 서비스에서 사용 설정한 이점이 필요하지 않습니다.
- 커스텀 루트 CA가 필요합니다.
- Google Cloud 관리형 CA 서비스가 허용되지 않는 Google Cloud 외부 워크로드가 있습니다.
게이트웨이 구성 준비
Anthos Service Mesh는 서비스 메시의 일부로 게이트웨이를 배포 및 관리하는 옵션을 제공합니다. 게이트웨이는 들어오거나 나가는 HTTP/TCP 연결을 수신하는 메시지의 에지에서 작동하는 부하 분산기를 설명합니다. 게이트웨이는 메시로 들어오고 나가는 트래픽을 미세하게 제어할 수 있는 Envoy 프록시입니다.
기본적으로 asmcli
는 istio-ingressgateway
를 설치하지 않습니다. 제어 영역과 게이트웨이를 개별적으로 배포하고 관리하는 것이 좋습니다.
자세한 내용은 게이트웨이 설치 및 업그레이드를 참조하세요. 클러스터 내 제어 영역과 함께 기본 istio-ingressgateway
를 설치해야 하는 경우에는 --option legacy-default-ingressgateway
인수를 포함합니다.