프로젝트 및 GKE 클러스터 직접 설정

asmcli를 사용하여 Anthos Service Mesh를 설치할 때 --enable_all 플래그나 더욱 세분화된 사용 설정 플래그가 포함된 경우 Google Cloud 클러스터에서 프로젝트와 GKE를 자동으로 구성할 수 있습니다. asmcli를 변경하지 않고 직접 설정하려면 이 페이지의 단계를 따르세요.

이전 버전의 Anthos Service Mesh가 이미 설치되어 있는 경우 최신 Anthos Service Mesh 버전으로 업그레이드하기 위해 asmcli을 사용하기 전에 프로젝트나 클러스터를 변경할 필요가 없습니다.

기본적으로 asmcli는 istio-ingressgateway를 설치하지 않습니다. 제어 영역과 게이트웨이를 개별적으로 배포하고 관리하는 것이 좋습니다. Anthos Service Mesh는 게이트웨이 배포에 자동 삽입을 지원하므로 Anthos Service Mesh 업그레이드가 더 쉬워집니다. Anthos Service Mesh를 업그레이드한 후 서비스와 마찬가지로 게이트웨이를 다시 시작하여 새 제어 영역 구성을 선택합니다. 자세한 내용은 게이트웨이 설치 및 업그레이드를 참조하세요.

시작하기 전에

• 기본 요건과 요구 사항 검토
• 설치 계획 또는 업그레이드 계획
• 필수 도구 설치

프로젝트 설정

1. 클러스터가 생성된 프로젝트의 프로젝트 ID와 프로젝트 번호를 가져옵니다.

   gcloud

   다음 명령어를 실행합니다.

   gcloud projects list
   

   콘솔

   1. Google Cloud 콘솔의 대시보드 페이지로 이동합니다.

      대시보드 페이지로 이동

   2. 페이지 상단의 프로젝트 드롭다운 목록을 클릭합니다. 선택 창이 나타나면 프로젝트를 선택합니다.

      프로젝트 ID와 프로젝트 번호가 프로젝트 대시보드 프로젝트 정보 카드에 표시됩니다.

2. 다음의 환경 변수를 만듭니다.

   • 프로젝트 ID를 사용하여 워크로드 풀을 설정합니다.

     export WORKLOAD_POOL=PROJECT_ID.svc.id.goog
     

   • 프로젝트 번호를 사용하여 메시 ID를 설정합니다.

     export MESH_ID="proj-PROJECT_NUMBER"
     

3. 필요한 Identity and Access Management(IAM) 역할을 설정합니다. 프로젝트 소유자인 경우 설치를 완료하는 데 필요한 모든 권한이 있습니다. 프로젝트 소유자가 아닌 경우 다음과 같은 특정 IAM 역할을 부여할 사람이 필요합니다. 다음 명령어에서 PROJECT_ID를 이전 단계의 프로젝트 ID로 바꾸고 GCP_EMAIL_ADDRESS를 Google Cloud에 로그인하는 데 사용하는 계정으로 바꿉니다.

   ROLES=(
   'roles/servicemanagement.admin' \
   'roles/serviceusage.serviceUsageAdmin' \
   'roles/meshconfig.admin' \
   'roles/compute.admin' \
   'roles/container.admin' \
   'roles/resourcemanager.projectIamAdmin' \
   'roles/iam.serviceAccountAdmin' \
   'roles/iam.serviceAccountKeyAdmin' \
   'roles/gkehub.admin')
   for role in "${ROLES[@]}"
   do
     gcloud projects add-iam-policy-binding PROJECT_ID \
       --member "user:GCP_EMAIL_ADDRESS" \
       --role="$role"
   done
   

   asmcli를 실행할 때 --enable_all 또는 --enable_gcp_iam_roles 플래그를 포함하면 필수 IAM 역할이 자동으로 설정됩니다.

4. 필요한 Google API를 사용 설정합니다.

   gcloud services enable \
       --project=PROJECT_ID \
       mesh.googleapis.com
   

   mesh.googleapis.com 외에도 이 명령어는 다음 API를 사용 설정합니다.

   API	설명
   meshconfig.googleapis.com	메시의 구성 데이터를 Google Cloud로 릴레이합니다. 또한 Google Cloud Console에서 Anthos Service Mesh 페이지에 액세스하고 Anthos Service Mesh 인증 기관(Mesh CA)을 사용할 수 있습니다.
   meshca.googleapis.com	Anthos Service Mesh Certificate Authority API Anthos Service Mesh에 포함된 관리형 인증서 제공업체의 사용을 허용합니다. 이 API는 Certificate Authority Service 또는 Istio CA를 사용하는 경우에도 사용 설정됩니다.
   container.googleapis.com	오픈소스 Kubernetes 기술을 바탕으로 컨테이너 기반 애플리케이션을 빌드하고 관리하는 데 사용됩니다.
   monitoring.googleapis.com	Cloud Monitoring 데이터 및 구성을 관리합니다. Google Cloud 콘솔에 표시된 애플리케이션 원격 분석을 저장하는 데 사용됩니다.
   gkehub.googleapis.com	메시의 범위를 구성하는 데 사용됩니다. 자세한 내용은 Fleet 관리 문서를 참조하세요.
   stackdriver.googleapis.com	Google Cloud 운영 제품군에서 Google Cloud 내부 및 외부 앱, 플랫폼, 서비스의 신호를 수집하는 데 사용됩니다.
   opsconfigmonitoring.googleapis.com	Google Cloud에서 리소스를 수집, 집계, 색인화하여 Anthos Service Mesh UI를 사용 설정합니다.
   connectgateway.googleapis.com	Google 인프라가 여러 클라우드 및 하이브리드 환경에서 등록된 GKE 클러스터에 안전하게 연결하도록 허용합니다.

   API를 사용 설정하려면 완료하는 데 1분 이상 걸릴 수 있습니다. API가 사용 설정되면 다음과 비슷한 출력이 표시됩니다.

   Operation "operations/acf.601db672-88e6-4f98-8ceb-aa3b5725533c" finished
   successfully.
   

   asmcli를 실행할 때 --enable_all 또는 --enable_apis 플래그를 포함하면 필수 API가 자동으로 사용 설정됩니다.

클러스터 설정

--enable_all 플래그 또는 더욱 세분화된 사용 설정 플래그 중 하나를 포함하면 asmcli에서 자동으로 클러스터를 설정합니다.

1. Google Cloud CLI의 기본 영역 또는 리전을 설정합니다. 여기서 기본값을 설정하지 않으면 이 페이지의 gcloud container clusters 명령어에 --zone 또는 --region 옵션을 지정해야 합니다.

   • 단일 영역 클러스터가 있는 경우 기본 영역을 설정합니다.

     gcloud config set compute/zone CLUSTER_LOCATION
     

   • 리전 클러스터가 있는 경우 기본 리전을 설정합니다.

     gcloud config set compute/region CLUSTER_LOCATION
     

2. 클러스터에 mesh_id 라벨을 설정합니다. 클러스터에 보존하려는 기존 라벨이 있으면 mesh_id 라벨을 추가할 때 이러한 라벨을 포함해야 합니다.

   1. 클러스터에 기존 라벨이 있는지 확인하려면 다음 안내를 따르세요.

      gcloud container clusters describe CLUSTER_NAME \
          --project PROJECT_ID
      

      출력에서 resourceLabels 필드를 찾습니다. 각 라벨은 resourceLabels 필드 아래에 있는 별도의 줄에 저장됩니다. 예를 들면 다음과 같습니다.

      resourceLabels:
        csm: ''
        env: dev
        release: stable

      편의를 위해 환경 변수에 라벨을 추가할 수 있습니다. 다음에서 YOUR_EXISTING_LABELS를 쉼표로 구분된 클러스터의 기존 라벨 목록을 KEY=VALUE(예: env=dev,release=stable)로 바꿉니다.

      export EXISTING_LABELS="YOUR_EXISTING_LABELS"
      

   2. mesh_id 라벨을 설정합니다.

      • 클러스터에 보존하려는 기존 라벨이 있으면 mesh_id와 기존 라벨을 사용하여 클러스터를 업데이트합니다.

        gcloud container clusters update CLUSTER_NAME \
            --project PROJECT_ID \
            --update-labels=mesh_id=${MESH_ID},${EXISTING_LABELS}
        

      • 클러스터에 기존 라벨이 없는 경우 mesh_id 라벨로만 클러스터를 업데이트합니다.

        gcloud container clusters update CLUSTER_NAME \
            --project=PROJECT_ID \
            --update-labels=mesh_id=${MESH_ID}
        

3. 워크로드 아이덴티티를 사용 설정합니다.

   gcloud container clusters update CLUSTER_NAME \
       --project=PROJECT_ID \
       --workload-pool=${WORKLOAD_POOL}
   

   워크로드 아이덴티티를 사용 설정하는 데 최대 10~15분이 걸릴 수 있습니다.

4. Fleet에 클러스터를 등록합니다.

5. 프로젝트를 설치할 수 있도록 초기화합니다. 무엇보다도 이 명령어는 사이드카 프록시와 같은 데이터 영역 구성요소가 프로젝트의 데이터 및 리소스에 안전하게 액세스할 수 있도록 서비스 계정을 만듭니다. 다음 명령어에서 FLEET_PROJECT_ID를 Fleet 호스트 프로젝트로 바꿉니다.

   curl --request POST  \
    --header "Authorization: Bearer $(gcloud auth print-access-token)" \
    --header "Content-Type: application/json" \
    --data '{"workloadIdentityPools":["FLEET_PROJECT_ID.hub.id.goog","FLEET_PROJECT_ID.svc.id.goog","PROJECT_ID.svc.id.goog"]}' \
    "https://meshconfig.googleapis.com/v1alpha1/projects/PROJECT_ID:initialize"
   

   이 명령어는 빈 중괄호({})를 사용하여 응답합니다.

6. GKE에서 Cloud Monitoring 및 Cloud Logging을 사용 설정합니다.

   gcloud container clusters update CLUSTER_NAME \
       --project=PROJECT_ID \
       --enable-stackdriver-kubernetes
   

이제 asmcli를 사용하여 프로젝트와 클러스터를 새로 설치할 수 있습니다.

다음 단계

• 종속 도구 설치 및 클러스터 검증