集群内控制层面支持的功能

本页面介绍了具有集群内控制平面的 Anthos Service Mesh 1.12.9 支持的功能。如需查看采用代管式控制平面的 Anthos Service Mesh 1.12.9 支持的功能,请参阅代管式控制平面

支持的版本

对 Anthos Service Mesh 的支持遵循 GKE Enterprise 版本支持政策

对于代管式 Anthos Service Mesh,Google 支持每个发布渠道中提供的当前 Anthos Service Mesh 版本。

对于自行安装的集群内 Anthos Service Mesh,Google 支持当前 Anthos Service Mesh 版本和前两个 (n-2) 次要版本。

下表显示了受支持的自行安装的集群内 Anthos Service Mesh 版本以及版本的最早服务终止 (EOL) 日期。

发布版本 发布日期 最早服务终止日期
1.20 2024 年 2 月 8 日 2024 年 11 月 8 日
1.19 2023 年 10 月 31 日 2024 年 7 月 31 日
1.18 2023 年 8 月 3 日 2024 年 6 月 1 日

如果您使用的是不受支持的 Anthos Service Mesh 1.12 版本,则必须升级到 Anthos Service Mesh 或更高版本。如需了解如何升级,请参阅升级 Anthos Service Mesh

下表显示了不受支持的 Anthos Service Mesh 版本及其服务终止 (EOL) 日期。

发布版本 发布日期 服务终止日期
1.17 2023 年 4 月 4 日 不受支持(2024 年 2 月 8 日)
1.16 2023 年 2 月 21 日 不受支持(2023 年 12 月 11 日)
1.15 2022 年 10 月 25 日 不支持(2023 年 8 月 4 日)
1.14 2022 年 7 月 20 日 不支持(2023 年 4 月 20 日)
1.13 2022 年 3 月 30 日 不支持(2023 年 2 月 8 日)
1.12 2021 年 12 月 9 日 不受支持(2022 年 10 月 25 日)
1.11 2021 年 10 月 6 日 不受支持(2022 年 7 月 20 日)
1.10 2021 年 6 月 24 日 不支持(2022 年 3 月 30 日)
1.9 2021 年 3 月 4 日 不受支持(2021 年 12 月 14 日)
1.8 2020 年 12 月 15 日 不受支持(2021 年 12 月 14 日)
1.7 2020 年 11 月 3 日 不受支持(2021 年 12 月 14 日)
1.6 2020 年 6 月 30 日 不支持(2021 年 3 月 30 日)
1.5 2020 年 5 月 20 日 不支持(2021 年 2 月 17 日)
1.4 2019 年 12 月 20 日 不支持(2020 年 9 月 18 日)

如需详细了解我们的支持政策,请参阅获取支持

平台差异

受支持的功能在支持的平台之间存在差异。

其他 GKE Enterprise 集群列指的是 Google Cloud 外部的集群,例如:

  • Google Distributed Cloud Virtual - 包括 GKE on VMware 和 Google Distributed Cloud Virtual for Bare Metal。除非平台之间存在差异,否则本页面使用 Google Distributed Cloud Virtual。
  • GKE on AWS - 包括 GKE Multi-Cloud上一代
  • Amazon EKS 集群
  • Microsoft AKS 集群

在下表中:

  • - 表示该功能默认处于启用状态。
  • – 表示平台支持该功能且可启用,如启用可选功能或功能表中链接的功能指南中所述。
  • 兼容 - 表示该功能或第三方工具将与 Anthos Service Mesh 集成或配合使用,但不受 Google Cloud 支持团队的完全支持,并且不提供功能指南。
  • - 表示该功能不可用或不受 Anthos Service Mesh 1.12.9 支持。

Google Cloud 支持完全支持默认功能和可选功能。该表中未明确列出的功能会得到全力支持。

安全性

证书分发/轮替机制

特征 Google Cloud 上的 GKE 集群 其他 GKE Enterprise 集群
工作负载证书管理
入站流量出站流量网关的外部证书管理。

证书授权机构 (CA) 支持

特征 Google Cloud 上的 GKE 集群 本地 GKE Enterprise 集群 其他 GKE Enterprise 集群
Anthos Service Mesh 证书授权机构 (Mesh CA)
Certificate Authority Service * *
Istio CA(以前称为 Citadel) * *
插入您自己的 CA 证书 受 CA 服务和 Istio CA 支持 受 CA 服务和 Istio CA 支持 受 Istio CA 支持

Anthos Service Mesh 安全功能

除了支持 Istio 安全功能之外,Anthos Service Mesh 还提供了更多功能来帮助您保护应用。

特征 Google Cloud 上的 GKE 集群 Distributed Cloud Virtual GKE on AWS(多云) 其他 GKE Enterprise 集群
IAP 集成
最终用户身份验证
审核政策 *
试运行模式
拒绝日志记录

授权政策

特征 Google Cloud 上的 GKE 集群 其他 GKE Enterprise 集群
授权 v1beta1 政策

身份验证政策

对等身份验证

特征 Google Cloud 上的 GKE 集群 其他 GKE Enterprise 集群
自动 mTLS
mTLS PERMISSIVE 模式

如需了解如何启用 mTLS STRICT 模式,请参阅配置传输安全性

请求身份验证

特征 Google Cloud 上的 GKE 集群 其他 GKE Enterprise 集群
JWT 身份验证(备注 1)

注意

  1. 第三方 JWT 默认处于启用状态。

基础映像

特征 Google Cloud 上的 GKE 集群 其他 GKE Enterprise 集群
Distroless 代理映像

遥测

指标

特征 Google Cloud 上的 GKE 集群 本地 GKE Enterprise 集群 其他 GKE Enterprise 集群
Cloud Monitoring(HTTP 代理中指标)
Cloud Monitoring(TCP 代理中指标)
Prometheus 指标导出到客户安装的 Prometheus、Grafana 和 Kiali 信息中心 兼容 兼容 兼容
自定义适配器/后端,出入进程
任意遥测和日志记录后端
支持将 Anthos Service Mesh 与导出到 Prometheus 的指标之间的集成。
Google Cloud 控制台中的拓扑图不再使用网格遥测服务作为其数据源。虽然拓扑图的数据源已更改,但界面保持不变。

访问日志记录

特征 Google Cloud 上的 GKE 集群 本地 GKE Enterprise 集群 其他 GKE Enterprise 集群
Cloud Logging
将 Envoy 定向到 stdout * * *

跟踪

特征 Google Cloud 上的 GKE 集群 本地 GKE Enterprise 集群 其他 GKE Enterprise 集群
Cloud Trace * *
Jaeger 跟踪(允许使用客户管理的 Jaeger) 兼容 兼容 兼容
Zipkin 跟踪(允许使用客户管理的 Zipkin) 兼容 兼容 兼容
支持 Anthos Service Mesh 与 Jaeger 或 Zipkin 之间的集成。如需了解详情,请参阅分布式跟踪

网络

流量拦截/重定向机制

特征 Google Cloud 上的 GKE 集群 其他 GKE Enterprise 集群
iptables 的传统用法:将 init 容器与 CAP_NET_ADMIN 结合使用
容器网络接口 (CNI) * *

协议支持

不支持将配置有第 7 层功能的服务用于以下协议:WebSocket、MongoDB、Redis、Kafka、Cassandra、RabbitMQ、Cloud SQL。您可以通过 TCP 字节流支持来使协议正常工作。如果 TCP 字节流无法支持协议(例如,Kafka 在特定于协议的回复中发送重定向地址,并且此重定向与 Anthos Service Mesh 的路由逻辑不兼容),则协议不受支持。

特征 Google Cloud 上的 GKE 集群 其他 GKE Enterprise 集群
IPv4
HTTP/1.1
HTTP/2
TCP 字节流(备注 1)
gRPC
IPv6

备注

  1. 虽然 TCP 是网络支持的协议,但系统不会收集或报告 TCP 指标。系统仅针对 Google Cloud 控制台中的 HTTP 服务显示指标。

Envoy 部署

特征 Google Cloud 上的 GKE 集群 其他 GKE Enterprise 集群
Sidecar
入站流量网关
直接从 Sidecar 出站
使用出站流量网关出站 * *

CRD 支持

特征 Google Cloud 上的 GKE 集群 其他 GKE Enterprise 集群
Istio API 支持(有以下例外)
自定义 Envoy 过滤器

Istio 入站流量网关的负载均衡器

特征 Google Cloud 上的 GKE 集群 其他 GKE Enterprise 集群
公共负载均衡器
Google Cloud 内部负载均衡器 * 不受支持。请参阅以下链接。

如需了解如何配置负载均衡器,请参阅以下内容:

负载均衡政策

特征 Google Cloud 上的 GKE 集群 其他 GKE Enterprise 集群
轮循机制
最少连接
随机
直通
一致的哈希
局部

如需详细了解负载均衡政策,请参阅目标规则

多集群支持

对于不同项目中的 GKE 集群的多主模式部署,所有集群都必须位于共享 Virtual Private Cloud (VPC) 中。

网络

特征 Google Cloud 上的 GKE 集群 本地 GKE Enterprise 集群 其他 GKE Enterprise 集群
单网络
多网络

部署模型

特征 Google Cloud 上的 GKE 集群 本地 GKE Enterprise 集群 其他 GKE Enterprise 集群
多主模式
主远程

有关术语的注意事项

  • 主集群是具有控制层面的集群。单个网格可以有多个主集群来实现高可用性或缩短延迟时间。在 Istio 1.7 文档中,多主模式部署称为复制的控制层面。

  • 远程集群是连接到集群外部的控制层面的集群。远程集群可以连接到在主集群中运行的控制层面或外部控制层面。

  • Anthos Service Mesh 会根据通用连接使用简化的网络定义。如果工作负载实例无需使用网关就可以直接通信,则它们位于同一网络上。

界面

特征 Google Cloud 同一项目上的 GKE 集群 Google Cloud 不同项目上的 GKE 集群 GKE on VMware Google Distributed Cloud Virtual for Bare Metal 其他 GKE Enterprise 集群
Google Cloud 控制台中的 Anthos Service Mesh 信息中心
Cloud Monitoring
Cloud Logging
Cloud Trace