Planifier une installation
Cette page fournit des informations pour vous aider à planifier une nouvelle installation d'Anthos Service Mesh.
Personnaliser le plan de contrôle
Les fonctionnalités compatibles avec Anthos Service Mesh diffèrent selon les plates-formes. Nous vous recommandons de consulter la page Fonctionnalités compatibles pour connaître les fonctionnalités compatibles avec votre plate-forme. Certaines fonctionnalités sont activées par défaut. Vous pouvez activer les autres fonctionnalités en créant un fichier de superposition IstioOperator
.
Lorsque vous exécutez asmcli install
, vous pouvez personnaliser le plan de contrôle en spécifiant l'option --custom_overlay
à l'aide du fichier de superposition. Nous vous conseillons d'enregistrer les fichiers superposés dans votre système de contrôle des versions.
Le package anthos-service-mesh
dans GitHub contient de nombreux fichiers de superposition. Ces fichiers contiennent des personnalisations courantes de la configuration par défaut. Vous pouvez utiliser ces fichiers tels quels ou vous pouvez apporter des modifications supplémentaires si nécessaire. Certains de ces fichiers sont requis pour activer les fonctionnalités facultatives d'Anthos Service Mesh.
Le package anthos-service-mesh
est téléchargé lorsque vous exécutez asmcli
pour valider votre projet et votre cluster.
Lorsque vous installez Anthos Service Mesh à l'aide de asmcli install
, vous pouvez spécifier un ou plusieurs fichiers de superposition avec --option
ou --custom_overlay
.
Si vous n'avez pas besoin de modifier les fichiers du dépôt anthos-service-mesh
, vous pouvez utiliser --option
. Le script récupère alors le fichier depuis GitHub à votre place. Sinon, vous pouvez apporter des modifications au fichier de superposition, puis utiliser l'option --custom_overlay
pour le transmettre au script asmcli
.
Choisir une autorité de certification
Selon votre cas d'utilisation, votre plate-forme et votre type de plan de contrôle (au sein du cluster ou géré), vous pouvez choisir l'une des options suivantes comme autorité de certification pour émettre des certificats TLS mutuels (mTLS) :
- Autorité de certification Anthos Service Mesh (Mesh CA)
- Certificate Authority Service
- Autorité de certification Istio
Cette section fournit des informations générales sur chacune de ces options d'autorité de certification et leurs cas d'utilisation.
Mesh CA
À moins que vous n'ayez besoin d'une autorité de certification personnalisée, nous vous recommandons d'utiliser Mesh CA pour les raisons suivantes :
- Mesh CA est un service hautement fiable et évolutif, optimisé pour les charges de travail à scaling dynamique sur Google Cloud.
- Avec Mesh CA, Google gère la sécurité et la disponibilité du backend CA.
- Mesh CA vous permet de dépendre d'une seule racine de confiance dans les clusters.
Les certificats émis par l'autorité de certification d'Anthos Service Mesh (Mesh CA) incluent les données suivantes sur les services de votre application :
- L'ID de projet Google Cloud
- L'espace de noms GKE
- Le nom du compte de service GKE
Service d'autorité de certification
Outre Mesh CA, vous pouvez configurer Anthos Service Mesh pour qu'il utilise le Certificate Authority Service. Ce guide vous offre l'occasion d'intégrer le service CA, qui est recommandé pour les cas d'utilisation suivants :
- Vous avez besoin de plusieurs autorités de certification différentes pour signer des certificats de charge de travail sur différents clusters.
- Vous souhaitez utiliser des certificats de plug-in d'autorités de certification personnalisées
istiod
. - Vous devez sauvegarder vos clés de signature dans un HSM géré.
- Vous travaillez dans un secteur hautement réglementé et vous êtes soumis à des exigences de conformité.
- Vous souhaitez associer votre autorité de certification Anthos Service Mesh à un certificat racine d'entreprise personnalisé pour signer les certificats de charge de travail.
Les coûts liés à l'utilisation de Mesh CA sont inclus dans la tarification d'Anthos Service Mesh. Le service d'autorité de certification n'est pas inclus dans le prix de base d'Anthos Service Mesh et est facturé séparément. En outre, le service d'autorité de certification est fourni avec un contrat de niveau de service explicite, contrairement à Mesh CA.
Pour cette intégration, toutes les charges de travail dans Anthos Service Mesh disposent de rôles IAM :
privateca.workloadCertificateRequester
privateca.auditor
privateca.template
(obligatoire si vous utilisez un modèle de certificat)
Istio CA
Nous vous recommandons d'utiliser l'autorité de certification Istio si vous répondez aux critères suivants :
- Votre maillage utilise déjà l'autorité de certification Istio et vous n'avez pas besoin des avantages activés par Mesh CA ou le service d'autorité de certification.
- Vous avez besoin d'une autorité de certification racine personnalisée.
- Vous avez des charges de travail en dehors de Google Cloud pour lesquelles un service d'autorité de certification géré par Google Cloud n'est pas acceptable.
Préparer la configuration de la passerelle
Anthos Service Mesh vous permet de déployer et de gérer des passerelles avec votre maillage de services. Une passerelle décrit un équilibreur de charge fonctionnant à la périphérie du réseau maillé recevant des connexions HTTP/TCP entrantes ou sortantes. Les passerelles sont des proxys Envoy qui vous permettent de contrôler avec précision le trafic entrant et sortant du réseau maillé.
Par défaut, asmcli
n'installe pas la istio-ingressgateway
. Nous vous recommandons de déployer et de gérer le plan de contrôle et les passerelles séparément.
Pour en savoir plus, consultez la section Installer et mettre à niveau des passerelles. Si vous avez besoin d'installer l'option istio-ingressgateway
par défaut avec le plan de contrôle au sein du cluster, incluez l'argument --option legacy-default-ingressgateway
.