Prasyarat Anthos Service Mesh

Halaman ini menjelaskan prasyarat dan persyaratan penginstalan Anthos Service Mesh, seperti pemberian lisensi GKE Enterprise, persyaratan cluster, persyaratan fleet, dan persyaratan umum.

Project cloud

Sebelum memulai:

Pemberian lisensi GKE Enterprise

GKE

Anthos Service Mesh tersedia di GKE Enterprise atau sebagai layanan mandiri. Google API digunakan untuk menentukan cara penagihan Anda. Untuk menggunakan Anthos Service Mesh sebagai layanan mandiri, jangan aktifkan GKE Enterprise API di project Anda. asmcli mengaktifkan semua Google API lain yang diperlukan untuk Anda. Untuk mengetahui informasi tentang harga Anthos Service Mesh, lihat Harga.

  • Pelanggan GKE Enterprise, pastikan untuk mengaktifkan GKE Enterprise API.

Mengaktifkan API

  • Jika bukan pelanggan GKE Enterprise, Anda masih dapat menginstal Anthos Service Mesh, tetapi elemen dan fitur UI tertentu di Konsol Google Cloud hanya tersedia untuk pelanggan GKE Enterprise. Untuk mengetahui informasi tentang apa yang tersedia bagi pelanggan dan non-pelanggan, lihat perbedaan UI GKE Enterprise dan Anthos Service Mesh.

  • Jika Anda telah mengaktifkan GKE Enterprise API, tetapi ingin menggunakan Anthos Service Mesh sebagai layanan mandiri, nonaktifkan GKE Enterprise API.

Di luar Google Cloud

Untuk menginstal Anthos Service Mesh secara lokal, di GKE di AWS, di Amazon EKS, atau di Microsoft AKS, Anda harus menjadi pelanggan GKE Enterprise. Pelanggan GKE Enterprise tidak ditagih secara terpisah untuk Anthos Service Mesh karena sudah termasuk dalam harga GKE Enterprise. Untuk informasi selengkapnya, lihat panduan Harga GKE Enterprise.

Persyaratan umum

  • Agar dapat disertakan dalam mesh layanan, port layanan harus diberi nama, dan namanya harus menyertakan protokol port dalam sintaksis berikut: name: protocol[-suffix] dengan tanda kurung siku menunjukkan akhiran opsional yang harus diawali dengan tanda pisah. Untuk mengetahui informasi selengkapnya, lihat Penamaan port layanan.

  • Jika telah membuat perimeter layanan di organisasi, Anda mungkin perlu menambahkan layanan Mesh CA ke perimeter. Lihat Menambahkan Mesh CA ke perimeter layanan untuk mengetahui informasi selengkapnya.

  • Jika Anda ingin mengubah batas resource default untuk penampung file bantuan istio-proxy, nilai baru harus lebih besar dari nilai default untuk menghindari peristiwa kehabisan memori (OOM).

  • Project Google Cloud hanya dapat memiliki satu mesh yang terkait dengannya.

Persyaratan cluster

GKE

  • Pastikan versi cluster Anda tercantum di Platform yang didukung.

  • Cluster GKE Anda harus memenuhi persyaratan berikut:

    • Cluster GKE harus berupa Standar. Cluster autopilot hanya didukung dengan Anthos Service Mesh terkelola.

    • Jenis mesin yang memiliki minimal 4 vCPU, seperti e2-standard-4. Jika jenis mesin untuk cluster Anda tidak memiliki minimal 4 vCPU, ubah jenis mesin seperti yang dijelaskan dalam Memigrasikan beban kerja ke jenis mesin yang berbeda.

    • Jumlah minimum node bergantung pada jenis mesin Anda. Anthos Service Mesh memerlukan setidaknya 8 vCPU. Jika jenis mesin memiliki 4 vCPU, cluster Anda harus memiliki setidaknya 2 node. Jika jenis mesin memiliki 8 vCPU, cluster hanya memerlukan 1 node. Jika perlu menambahkan node, lihat Mengubah ukuran cluster.

  • Workload Identity GKE wajib diisi. Sebaiknya aktifkan Workload Identity sebelum menginstal Anthos Service Mesh. Mengaktifkan Workload Identity akan mengubah cara pengamanan panggilan dari beban kerja Anda ke Google API, seperti yang dijelaskan dalam Batasan Workload Identity. Perhatikan bahwa Anda tidak perlu mengaktifkan Server Metadata GKE pada kumpulan node yang ada.

  • Opsional, tetapi direkomendasikan, daftarkan cluster di saluran rilis. Sebaiknya Anda mendaftar ke saluran Rilis reguler karena saluran lain mungkin didasarkan pada versi GKE yang tidak didukung dengan Anthos Service Mesh 1.15.7. Untuk mengetahui informasi selengkapnya, lihat Platform yang didukung. Ikuti petunjuk dalam Mendaftarkan cluster yang ada di saluran rilis jika Anda memiliki versi GKE statis.

  • Jika menginstal Anthos Service Mesh di cluster pribadi, Anda harus membuka port 15017 di firewall agar webhook dapat digunakan untuk injeksi file bantuan otomatis dan validasi konfigurasi agar berfungsi. Untuk informasi selengkapnya, lihat Membuka port di cluster pribadi.

  • Pastikan komputer klien tempat Anda menginstal Anthos Service Mesh memiliki konektivitas jaringan ke server API.

  • Untuk workload Windows Server, Anthos Service Mesh tidak didukung. Jika cluster memiliki node pool Linux dan Windows Server, Anda masih dapat menginstal Anthos Service Mesh dan menggunakannya pada workload Linux.

Di luar Google Cloud

  • Pastikan cluster pengguna tempat Anda menginstal Anthos Service Mesh memiliki minimal 4 vCPU, memori 15 GB, dan 4 node.

  • Pastikan versi cluster Anda tercantum di Platform yang didukung.

  • Pastikan komputer klien tempat Anda menginstal Anthos Service Mesh memiliki konektivitas jaringan ke server API.

  • Jika Anda men-deploy file bantuan di pod aplikasi yang tidak memiliki konektivitas langsung ke layanan CA (seperti meshca.googleapis.com dan privateca.googleapis.com), Anda harus mengonfigurasi proxy HTTPS berbasis CONNECT eksplisit.

  • Untuk cluster publik dengan kumpulan aturan firewall keluar yang memblokir aturan implisit, pastikan Anda telah mengonfigurasi aturan HTTP/HTTPS dan DNS untuk menjangkau Google API publik.

Persyaratan armada

Dengan Anthos Service Mesh 1.11 dan yang lebih baru, semua cluster harus didaftarkan ke fleet, dan fleet workload identity harus diaktifkan. Anda dapat menyiapkan cluster sendiri, atau mengizinkan asmcli mendaftarkan cluster selama memenuhi persyaratan berikut:

  • GKE: (berlaku untuk Anthos Service Mesh terkelola dan dalam cluster) Aktifkan GKE Workload Identity di cluster Google Kubernetes Engine Anda, jika belum diaktifkan. Selain itu, Anda harus mendaftarkan cluster menggunakan Workload Identity fleet.

  • Cluster GKE di luar Google Cloud: (berlaku untuk Anthos Service Mesh dalam cluster) GKE di VMware, GKE di Bare Metal, dan GKE di AWS otomatis terdaftar ke fleet project Anda pada waktu pembuatan cluster. Mulai GKE Enterprise 1.8, semua jenis cluster ini secara otomatis mengaktifkan Workload Identity fleet saat terdaftar. Cluster yang terdaftar akan diupdate untuk menggunakan Workload Identity fleet saat diupgrade ke GKE Enterprise 1.8.

  • Cluster Amazon EKS: (berlaku untuk Anthos Service Mesh dalam cluster) Cluster harus memiliki Penyedia Identitas OIDC IAM publik. Ikuti petunjuk dalam artikel Membuat penyedia OIDC IAM untuk cluster Anda guna memeriksa apakah penyedia ada, dan membuat penyedia jika perlu.

Saat menjalankan asmcli install, Anda menentukan project ID dari project host armada. asmcli akan mendaftarkan cluster jika belum terdaftar.

Apa langkah selanjutnya?