Halaman ini menyediakan informasi untuk membantu Anda merencanakan penginstalan baru Anthos Service Mesh.
Menyesuaikan bidang kontrol
Fitur yang didukung Anthos Service Mesh berbeda-beda di setiap platform. Sebaiknya
Anda meninjau Fitur yang didukung untuk
mempelajari fitur yang didukung di platform Anda. Beberapa fitur diaktifkan
secara default, dan fitur lainnya dapat Anda aktifkan secara opsional dengan membuat
file overlay IstioOperator
.
Saat menjalankan asmcli install
, Anda dapat menyesuaikan bidang kontrol dengan menentukan opsi --custom_overlay
dengan file overlay. Sebagai praktik terbaik, sebaiknya simpan
file overlay di sistem kontrol versi.
Paket
anthos-service-mesh
di GitHub berisi banyak file overlay. File ini berisi penyesuaian umum
pada konfigurasi default. Anda dapat menggunakan file ini sebagaimana adanya, atau membuat perubahan tambahan sesuai kebutuhan. Beberapa file diperlukan untuk mengaktifkan fitur Anthos Service Mesh opsional.
Paket anthos-service-mesh
didownload saat Anda menjalankan asmcli
untuk
memvalidasi project dan cluster.
Saat menginstal Anthos Service Mesh menggunakan asmcli install
, Anda dapat menentukan satu atau beberapa file overlay dengan --option
atau --custom_overlay
.
Jika tidak perlu melakukan perubahan pada file di repositori anthos-service-mesh
, Anda dapat menggunakan --option
, dan skrip akan mengambil file dari GitHub untuk Anda. Jika tidak, Anda dapat membuat perubahan pada file overlay, lalu menggunakan
opsi --custom_overlay
untuk meneruskannya ke asmcli
.
Pilih Certificate Authority
Bergantung pada kasus penggunaan, platform, dan jenis bidang kontrol (in-cluster atau managed), Anda dapat memilih salah satu opsi berikut sebagai certificate authority (CA) untuk mengeluarkan sertifikat multi-TLS (mTLS):
Bagian ini memberikan informasi tingkat tinggi tentang masing-masing opsi CA ini dan kasus penggunaannya.
Mesh CA
Jika Anda tidak memerlukan CA kustom, sebaiknya gunakan Mesh CA karena alasan berikut:
- Mesh CA adalah layanan yang sangat andal dan skalabel yang dioptimalkan untuk workload yang diskalakan secara dinamis di Google Cloud.
- Dengan Mesh CA, Google mengelola keamanan dan ketersediaan backend CA.
- Mesh CA memungkinkan Anda mengandalkan satu root kepercayaan di seluruh cluster.
Sertifikat dari Mesh CA mencakup data berikut tentang layanan aplikasi Anda:
- Project ID Google Cloud
- Namespace GKE
- Nama akun layanan GKE
CA Service
Selain Mesh CA, Anda dapat mengonfigurasi Anthos Service Mesh untuk menggunakan Certificate Authority Service. Panduan ini memberi Anda kesempatan untuk berintegrasi dengan CA Service, yang direkomendasikan untuk kasus penggunaan berikut:
- Jika Anda memerlukan certificate authority yang berbeda untuk menandatangani sertifikat beban kerja pada cluster yang berbeda.
- Jika Anda ingin menggunakan sertifikat plugin CA Kustom
istiod
. - Jika Anda perlu mencadangkan kunci penandatanganan di HSM terkelola.
- Jika Anda berada dalam industri yang diatur dengan regulasi ketat dan tunduk pada kepatuhan.
- Jika Anda ingin menggabungkan CA Anthos Service Mesh ke root certificate perusahaan kustom untuk menandatangani sertifikat workload.
Biaya Mesh CA termasuk dalam harga Anthos Service Mesh. CA Service tidak disertakan dalam harga dasar Anthos Service Mesh dan dikenai biaya secara terpisah. Selain itu, CA Service dilengkapi dengan SLA eksplisit, tetapi Mesh CA tidak memilikinya.
Untuk integrasi ini, semua workload di Anthos Service Mesh diberi peran IAM:
privateca.workloadCertificateRequester
privateca.auditor
privateca.template
(wajib jika menggunakan template sertifikat)
Istio CA
Sebaiknya gunakan Istio CA jika Anda memenuhi kriteria berikut:
- Mesh Anda sudah menggunakan Istio CA, dan Anda tidak perlu mengaktifkan manfaat yang diaktifkan oleh Mesh CA atau Layanan CA.
- Anda memerlukan root CA kustom.
- Anda memiliki workload di luar Google Cloud yang tidak dapat menerima layanan CA yang dikelola Google Cloud.
Menyiapkan konfigurasi gateway
Anthos Service Mesh memberi Anda opsi untuk men-deploy dan mengelola gateway sebagai bagian dari mesh layanan. Gateway menjelaskan load balancer yang beroperasi di edge mesh yang menerima koneksi HTTP/TCP masuk atau keluar. Gateway adalah proxy Envoy yang memberi Anda kontrol terperinci atas traffic yang masuk dan keluar dari mesh.
Secara default, asmcli
tidak menginstal istio-ingressgateway
. Sebaiknya
deploy dan kelola bidang kontrol dan gateway secara terpisah.
Untuk mengetahui informasi selengkapnya, lihat
Menginstal dan mengupgrade gateway. Jika Anda perlu
menginstal istio-ingressgateway
default dengan bidang kontrol dalam cluster,
sertakan argumen --option legacy-default-ingressgateway
.