本页面介绍了具有集群内控制平面的 Anthos Service Mesh 1.12.9 支持的功能。如需查看采用代管式控制平面的 Anthos Service Mesh 1.12.9 支持的功能,请参阅代管式控制平面。
支持的版本
对 Anthos Service Mesh 的支持遵循 GKE Enterprise 版本支持政策。
对于代管式 Anthos Service Mesh,Google 支持每个发布渠道中提供的当前 Anthos Service Mesh 版本。
对于自行安装的集群内 Anthos Service Mesh,Google 支持当前 Anthos Service Mesh 版本和前两个 (n-2) 次要版本。
下表显示了受支持的自行安装的集群内 Anthos Service Mesh 版本以及版本的最早服务终止 (EOL) 日期。
发布版本 | 发布日期 | 最早服务终止日期 |
---|---|---|
1.20 | 2024 年 2 月 8 日 | 2024 年 11 月 8 日 |
1.19 | 2023 年 10 月 31 日 | 2024 年 7 月 31 日 |
1.18 | 2023 年 8 月 3 日 | 2024 年 6 月 1 日 |
如果您使用的是不受支持的 Anthos Service Mesh 1.12 版本,则必须升级到 Anthos Service Mesh 或更高版本。如需了解如何升级,请参阅升级 Anthos Service Mesh。
下表显示了不受支持的 Anthos Service Mesh 版本及其服务终止 (EOL) 日期。
发布版本 | 发布日期 | 服务终止日期 |
---|---|---|
1.17 | 2023 年 4 月 4 日 | 不受支持(2024 年 2 月 8 日) |
1.16 | 2023 年 2 月 21 日 | 不受支持(2023 年 12 月 11 日) |
1.15 | 2022 年 10 月 25 日 | 不支持(2023 年 8 月 4 日) |
1.14 | 2022 年 7 月 20 日 | 不支持(2023 年 4 月 20 日) |
1.13 | 2022 年 3 月 30 日 | 不支持(2023 年 2 月 8 日) |
1.12 | 2021 年 12 月 9 日 | 不受支持(2022 年 10 月 25 日) |
1.11 | 2021 年 10 月 6 日 | 不受支持(2022 年 7 月 20 日) |
1.10 | 2021 年 6 月 24 日 | 不支持(2022 年 3 月 30 日) |
1.9 | 2021 年 3 月 4 日 | 不受支持(2021 年 12 月 14 日) |
1.8 | 2020 年 12 月 15 日 | 不受支持(2021 年 12 月 14 日) |
1.7 | 2020 年 11 月 3 日 | 不受支持(2021 年 12 月 14 日) |
1.6 | 2020 年 6 月 30 日 | 不支持(2021 年 3 月 30 日) |
1.5 | 2020 年 5 月 20 日 | 不支持(2021 年 2 月 17 日) |
1.4 | 2019 年 12 月 20 日 | 不支持(2020 年 9 月 18 日) |
如需详细了解我们的支持政策,请参阅获取支持。
平台差异
受支持的功能在支持的平台之间存在差异。
其他 GKE Enterprise 集群列指的是 Google Cloud 外部的集群,例如:
- Google Distributed Cloud Virtual - 包括 GKE on VMware 和 Google Distributed Cloud Virtual for Bare Metal。除非平台之间存在差异,否则本页面使用 Google Distributed Cloud Virtual。
- GKE on AWS - 包括 GKE Multi-Cloud 和上一代。
- Amazon EKS 集群
- Microsoft AKS 集群
在下表中:
- - 表示该功能默认处于启用状态。
- – 表示平台支持该功能且可启用,如启用可选功能或功能表中链接的功能指南中所述。
- 兼容 - 表示该功能或第三方工具将与 Anthos Service Mesh 集成或配合使用,但不受 Google Cloud 支持团队的完全支持,并且不提供功能指南。
- - 表示该功能不可用或不受 Anthos Service Mesh 1.12.9 支持。
Google Cloud 支持完全支持默认功能和可选功能。该表中未明确列出的功能会得到全力支持。
安全性
证书分发/轮替机制
特征 | Google Cloud 上的 GKE 集群 | 其他 GKE Enterprise 集群 |
---|---|---|
工作负载证书管理 | ||
入站流量和出站流量网关的外部证书管理。 |
证书授权机构 (CA) 支持
特征 | Google Cloud 上的 GKE 集群 | 本地 GKE Enterprise 集群 | 其他 GKE Enterprise 集群 |
---|---|---|---|
Anthos Service Mesh 证书授权机构 (Mesh CA) | |||
Certificate Authority Service | * | * | |
Istio CA(以前称为 Citadel) | * | * | |
插入您自己的 CA 证书 | 受 CA 服务和 Istio CA 支持 | 受 CA 服务和 Istio CA 支持 | 受 Istio CA 支持 |
Anthos Service Mesh 安全功能
除了支持 Istio 安全功能之外,Anthos Service Mesh 还提供了更多功能来帮助您保护应用。
特征 | Google Cloud 上的 GKE 集群 | Distributed Cloud Virtual | GKE on AWS(多云) | 其他 GKE Enterprise 集群 |
---|---|---|---|---|
IAP 集成 | ||||
最终用户身份验证 | ||||
审核政策 | * | |||
试运行模式 | ||||
拒绝日志记录 |
授权政策
特征 | Google Cloud 上的 GKE 集群 | 其他 GKE Enterprise 集群 |
---|---|---|
授权 v1beta1 政策 |
身份验证政策
对等身份验证
特征 | Google Cloud 上的 GKE 集群 | 其他 GKE Enterprise 集群 |
---|---|---|
自动 mTLS | ||
mTLS PERMISSIVE 模式 |
如需了解如何启用 mTLS STRICT 模式,请参阅配置传输安全性。
请求身份验证
特征 | Google Cloud 上的 GKE 集群 | 其他 GKE Enterprise 集群 |
---|---|---|
JWT 身份验证(备注 1) |
注意:
- 第三方 JWT 默认处于启用状态。
基础映像
特征 | Google Cloud 上的 GKE 集群 | 其他 GKE Enterprise 集群 |
---|---|---|
Distroless 代理映像 |
遥测
指标
特征 | Google Cloud 上的 GKE 集群 | 本地 GKE Enterprise 集群 | 其他 GKE Enterprise 集群 |
---|---|---|---|
Cloud Monitoring(HTTP 代理中指标) | |||
Cloud Monitoring(TCP 代理中指标) | |||
Prometheus 指标导出到客户安装的 Prometheus、Grafana 和 Kiali 信息中心 | 兼容 | 兼容 | 兼容 |
自定义适配器/后端,出入进程 | |||
任意遥测和日志记录后端 | |||
支持将 Anthos Service Mesh 与导出到 Prometheus 的指标之间的集成。 | |||
Google Cloud 控制台中的拓扑图不再使用网格遥测服务作为其数据源。虽然拓扑图的数据源已更改,但界面保持不变。 |
访问日志记录
特征 | Google Cloud 上的 GKE 集群 | 本地 GKE Enterprise 集群 | 其他 GKE Enterprise 集群 |
---|---|---|---|
Cloud Logging | |||
将 Envoy 定向到 stdout |
* | * | * |
跟踪
特征 | Google Cloud 上的 GKE 集群 | 本地 GKE Enterprise 集群 | 其他 GKE Enterprise 集群 |
---|---|---|---|
Cloud Trace | * | * | |
Jaeger 跟踪(允许使用客户管理的 Jaeger) | 兼容 | 兼容 | 兼容 |
Zipkin 跟踪(允许使用客户管理的 Zipkin) | 兼容 | 兼容 | 兼容 |
支持 Anthos Service Mesh 与 Jaeger 或 Zipkin 之间的集成。如需了解详情,请参阅分布式跟踪。 |
网络
流量拦截/重定向机制
特征 | Google Cloud 上的 GKE 集群 | 其他 GKE Enterprise 集群 |
---|---|---|
iptables 的传统用法:将 init 容器与 CAP_NET_ADMIN 结合使用 |
||
容器网络接口 (CNI) | * | * |
协议支持
不支持将配置有第 7 层功能的服务用于以下协议:WebSocket、MongoDB、Redis、Kafka、Cassandra、RabbitMQ、Cloud SQL。您可以通过 TCP 字节流支持来使协议正常工作。如果 TCP 字节流无法支持协议(例如,Kafka 在特定于协议的回复中发送重定向地址,并且此重定向与 Anthos Service Mesh 的路由逻辑不兼容),则协议不受支持。
特征 | Google Cloud 上的 GKE 集群 | 其他 GKE Enterprise 集群 |
---|---|---|
IPv4 | ||
HTTP/1.1 | ||
HTTP/2 | ||
TCP 字节流(备注 1) | ||
gRPC | ||
IPv6 |
备注:
- 虽然 TCP 是网络支持的协议,但系统不会收集或报告 TCP 指标。系统仅针对 Google Cloud 控制台中的 HTTP 服务显示指标。
Envoy 部署
特征 | Google Cloud 上的 GKE 集群 | 其他 GKE Enterprise 集群 |
---|---|---|
Sidecar | ||
入站流量网关 | ||
直接从 Sidecar 出站 | ||
使用出站流量网关出站 | * | * |
CRD 支持
特征 | Google Cloud 上的 GKE 集群 | 其他 GKE Enterprise 集群 |
---|---|---|
Istio API 支持(有以下例外) | ||
自定义 Envoy 过滤器 |
Istio 入站流量网关的负载均衡器
特征 | Google Cloud 上的 GKE 集群 | 其他 GKE Enterprise 集群 |
---|---|---|
公共负载均衡器 | ||
Google Cloud 内部负载均衡器 | * | 不受支持。请参阅以下链接。 |
如需了解如何配置负载均衡器,请参阅以下内容:
- 为 GKE on VMware 设置负载均衡器
- GKE on AWS:创建负载均衡器
负载均衡政策
特征 | Google Cloud 上的 GKE 集群 | 其他 GKE Enterprise 集群 |
---|---|---|
轮循机制 | ||
最少连接 | ||
随机 | ||
直通 | ||
一致的哈希 | ||
局部 |
如需详细了解负载均衡政策,请参阅目标规则。
多集群支持
对于不同项目中的 GKE 集群的多主模式部署,所有集群都必须位于共享 Virtual Private Cloud (VPC) 中。
网络
特征 | Google Cloud 上的 GKE 集群 | 本地 GKE Enterprise 集群 | 其他 GKE Enterprise 集群 |
---|---|---|---|
单网络 | |||
多网络 |
部署模型
特征 | Google Cloud 上的 GKE 集群 | 本地 GKE Enterprise 集群 | 其他 GKE Enterprise 集群 |
---|---|---|---|
多主模式 | |||
主远程 |
有关术语的注意事项
主集群是具有控制层面的集群。单个网格可以有多个主集群来实现高可用性或缩短延迟时间。在 Istio 1.7 文档中,多主模式部署称为复制的控制层面。
远程集群是连接到集群外部的控制层面的集群。远程集群可以连接到在主集群中运行的控制层面或外部控制层面。
Anthos Service Mesh 会根据通用连接使用简化的网络定义。如果工作负载实例无需使用网关就可以直接通信,则它们位于同一网络上。
界面
特征 | Google Cloud 同一项目上的 GKE 集群 | Google Cloud 不同项目上的 GKE 集群 | GKE on VMware | Google Distributed Cloud Virtual for Bare Metal | 其他 GKE Enterprise 集群 |
---|---|---|---|---|---|
Google Cloud 控制台中的 Anthos Service Mesh 信息中心 | |||||
Cloud Monitoring | |||||
Cloud Logging | |||||
Cloud Trace |