Optionale Features auf der Steuerungsebene im Cluster aktivieren

Auf dieser Seite wird beschrieben, wie Sie optionale Features auf einer Steuerungsebene im Cluster aktivieren Informationen zur verwalteten Steuerungsebene finden Sie unter Verwaltetes Anthos Service Mesh konfigurieren.

Wenn Sie Anthos Service Mesh im Cluster installieren, unterscheiden sich die standardmäßig aktivierten Features je nach Plattform. Sie können die Standardkonfiguration überschreiben und ein optionales Feature aktivieren. Fügen Sie dazu eine Overlay-Datei hinzu, wenn Sie Anthos Service Mesh installieren oder upgraden. Eine Overlay-Datei ist eine YAML-Datei, die eine benutzerdefinierte IstioOperator-Ressource (CR) enthält, mit der Sie die Steuerungsebene konfigurieren. Geben Sie pro Overlay-Datei ein Feature an. Sie können mehrere Overlays überlagern. Mit jeder Overlay-Datei wird die Konfiguration auf den vorherigen Ebenen überschrieben.

Informationen zu Overlay-Dateien

Die Overlay-Dateien auf dieser Seite befinden sich im anthos-service-mesh-Paket in GitHub. Diese Dateien enthalten gängige Anpassungen der Standardkonfiguration. Sie können diese Dateien unverändert anwenden oder weitere Änderungen daran vornehmen.

Wenn Sie Anthos Service Mesh mit dem von Google bereitgestellten asmcli-Skript installieren, haben Sie die Möglichkeit, eine oder mehrere Overlay-Dateien mit der Option --option oder der Option --custom_overlay anzugeben. Wenn Sie keine Änderungen an den Dateien im anthos-service-mesh-Repository vornehmen müssen, können Sie --option verwenden. Das Skript ruft die Datei von GitHub ab. Sie können aber auch die Overlay-Datei ändern und die Änderungen mit der Option --custom_overlay an asmcli übergeben.

Fügen Sie nicht mehrere CRs in eine Overlay-Datei ein. Separate Overlay-Dateien für jede CR erstellen
Mehrere CRs in einer YAML-Datei Separate YAML-Dateien für jede CR

So aktivieren Sie optionale Features

Die folgenden Beispiele sind vereinfacht, damit nur die benutzerdefinierten Overlays zur Aktivierung optionaler Features angezeigt werden. Ersetzen Sie OTHER_FLAGS durch die erforderlichen Installations-Flags.

Der Befehl asmcli install bietet zwei Möglichkeiten zum Aktivieren eines optionalen Features. Welche Methode Sie verwenden, hängt davon ab, ob Sie Änderungen an der Overlay-Datei vornehmen müssen.

  • Verwenden Sie --option, wenn Sie keine Änderungen an der Overlay-Datei vornehmen müssen. Mit --option ruft asmcli die Datei aus dem GitHub-Repository für Sie ab. Dazu benötigen Sie eine Internetverbindung.

    ./asmcli install \
      OTHER_FLAGS \
      --option OPTION_NAME
    

    Ersetzen Sie OPTION_NAME durch die Option, die Sie aktivieren möchten. Lassen Sie die Erweiterung .yaml weg und geben Sie nur den Namen der Overlay-Datei an, z. B. iap-operator oder attached-cluster. Eine Liste der Optionen finden Sie im Paket anthos-service-mesh.

  • Verwenden Sie --custom_overlay, wenn Sie die Overlay-Datei anpassen müssen.

    ./asmcli install \
      OTHER_FLAGS \
      --custom_overlay PATH_TO_FILE
    

    Ersetzen Sie PATH_TO_FILE durch den Pfad zur Overlay-Datei, die Sie verwenden möchten.

YAML für optionale Features

Die folgenden Abschnitte enthalten die YAML-Datei, um optionale und unterstützte Funktionen zu aktivieren.

mTLS-STRICT-Modus

Die Konfiguration global.mtls.enabled wurde aus der IstioOperator-CR entfernt, um Probleme mit Upgrades zu vermeiden und eine flexiblere Installation zu ermöglichen. Konfigurieren Sie zum Aktivieren von STRICT mTLS stattdessen eine Peer-Authentifizierungsrichtlinie.

Proxy-Image löschen

Als Best Practice sollten Sie den Inhalt einer Containerlaufzeit auf die erforderlichen Pakete beschränken. Dieser Ansatz verbessert die Sicherheit und das Signal-Rausch-Verhältnis von CVE-Scannen (Common Vulnerabilities and Exposures). Istio stellt Proxy-Images bereit, die auf Distroless-Basis-Images basieren.

Die folgende Konfiguration aktiviert Distributions-Images für das gesamte Anthos Service Mesh. Bei einer Änderung des Image-Typs muss jeder Pod neu gestartet und neu eingefügt werden, um wirksam zu werden.

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  meshConfig:
    defaultConfig:
      image:
        imageType: distroless

Das Distroless-Image enthält keine anderen Binärdateien als den Proxy. Daher ist es nicht möglich, eine Shell mit exec zu versehen oder curl, ping oder andere Fehlerbehebungsfunktionen im Container zu verwenden. Wenn Sie versuchen, eine Shell auszuführen, wird der folgende Fehler angezeigt.

error: Internal error occurred: error executing command in container: failed to exec in container: failed to start exec "<container-id>"
OCI runtime exec failed: exec failed: container_linux.go:380: starting container process caused: exec: "sh": executable file not found in $PATH: unknown

Wenn Sie für bestimmte Pods Zugriff auf diese Tools benötigen, können Sie imageType mit der folgenden Pod-Annotation überschreiben.

sidecar.istio.io/proxyImageType: debug

Nachdem Sie den Image-Typ einer Bereitstellung über die Annotation geändert haben, sollte die Bereitstellung neu gestartet werden.

kubectl rollout restart deployment -n NAMESPACE DEPLOYMENT_NAME

Für die meisten Arten von Proxy-Debugging sollte istioctl proxy-cmd verwendet werden, für das kein Debug-Basis-Image erforderlich ist.

Benutzerdefiniertes Overlay für eine benutzerdefinierte Registry verwenden

Sie können ein benutzerdefiniertes Overlay für benutzerdefinierte Registries verwenden, z. B. wenn Sie Anthos Service Mesh aus einer benutzerdefinierten Container-Registry installieren müssen. Beispiel:

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  hub: {private_registry_url}

Im Folgenden finden Sie eine Liste von Images für Anthos Service Mesh, die Sie in die benutzerdefinierte Container Registry spiegeln müssen:

  • Install-cni - gke.gcr.io/asm/install-cni:1.15.7-asm.23
  • Verwaltete Datenebene - gke.gcr.io/asm/mdp:1.15.7-asm.23
  • Pilot - gke.gcr.io/asm/pilot:1.15.7-asm.23
  • Proxyv2 - gke.gcr.io/asm/proxyv2:1.15.7-asm.23

Images zu einer privaten Registry hinzufügen

Führen Sie die folgenden Schritte aus, um Anthos Service Mesh-Images in eine private Registry zu übertragen.

  1. Rufen Sie die Anthos Service Mesh-Images ab:
    docker pull gke.gcr.io/asm/install-cni:1.15.7-asm.23
    docker pull gke.gcr.io/asm/mdp:1.15.7-asm.23
    docker pull gke.gcr.io/asm/pilot:1.15.7-asm.23
    docker pull gke.gcr.io/asm/proxyv2:1.15.7-asm.23
    
  2. Erstellen Sie eine Variable für Ihre private Registry-URL:
    export PRIVATE_REGISTRY_URL=PRIVATE_REGISTRY_URL
    
    Ersetzen Sie PRIVATE_REGISTRY_URL durch Ihre private Registry-URL.
  3. Taggen Sie die Images mit Ihrer privaten Registry-URL:
    docker tag gke.gcr.io/asm/install-cni:1.15.7-asm.23 \
     ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/install-cni:1.15.7-asm.23
    docker tag gke.gcr.io/asm/mdp:1.15.7-asm.23 \
     ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/mdp:1.15.7-asm.23
    docker tag gke.gcr.io/asm/pilot:1.15.7-asm.23 \
     ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/pilot:1.15.7-asm.23
    docker tag gke.gcr.io/asm/proxyv2:1.15.7-asm.23 \
     ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/proxyv2:1.15.7-asm.23
    
  4. Übertragen Sie die getaggten Images in Ihre private Registry:
    docker push ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/install-cni:1.15.7-asm.23
    docker push ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/mdp:1.15.7-asm.23
    docker push ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/pilot:1.15.7-asm.23
    docker push ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/proxyv2:1.15.7-asm.23
    
  5. (Optional) Wenn Sie einen kanonischen Dienst verwenden, fügen Sie die kanonischen Dienst-Images Ihrer privaten Registry hinzu.
    1. Rufen Sie die kanonischen Dienst-Images von Anthos Service Mesh ab:
              docker pull gcr.io/kubebuilder/kube-rbac-proxy:v0.13.1
              docker pull gke.gcr.io/asm/canonical-service-controller:1.10.3-asm.16
              
    2. Taggen Sie die Images mit Ihrer privaten Registry-URL:
              docker tag gcr.io/kubebuilder/kube-rbac-proxy:v0.13.1 \
              ${PRIVATE_REGISTRY_URL}/gcr.io/kubebuilder/kube-rbac-proxy:v0.13.1
              docker tag gke.gcr.io/asm/canonical-service-controller:1.10.3-asm.16 \
              ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/canonical-service-controller:1.10.3-asm.16
              
    3. Übertragen Sie die getaggten Images in Ihre private Registry:
              docker push ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/kube-rbac-proxy:v0.13.1
              docker push ${PRIVATE_REGISTRY_URL}/gke.gcr.io/asm/canonical-service-controller:1.10.3-asm.16
              

Wenn Sie die getaggten Images aus Ihrer privaten Registry abrufen können, war der Vorgang erfolgreich.

Dauer des Beendigungsvorgangs verlängern

Wenn ein Pod beendet wird, wartet Envoy standardmäßig fünf Sekunden (5s), bis vorhandene Verbindungen abgeschlossen sind.

Pod terminationGracePeriodSeconds muss größer als der Wert terminationDrainDuration sein.

Weitere Informationen finden Sie unter Globale Mesh-Optionen.

---
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  meshConfig:
    defaultConfig:
      terminationDrainDuration: 30s

Zugriffslogs aktivieren

---
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  meshConfig:
    accessLogFile: "/dev/stdout"

Weitere Informationen finden Sie unter Zugriffs-Logging von Envoy aktivieren.

Cloud Trace

Cloud Trace ist mit Anthos Service Mesh-Installationen auf den folgenden Plattformen verfügbar:

  • GKE in Google Cloud
  • GKE Enterprise-Cluster lokal, wenn Sie mit der Anthos Service Mesh-Zertifizierungsstelle (Mesh CA) installieren
---
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  meshConfig:
    enableTracing: true
  values:
    global:
      proxy:
        tracer: stackdriver

Weitere Informationen finden Sie unter Auf Traces zugreifen.

Ausgehender Traffic über Egress-Gateways

Wir empfehlen, ein injiziertes Gateway zu installieren, wie unter Gateways installieren und aktualisieren beschrieben.

Container-Netzwerkschnittstelle von Istio

Wie Sie die Container-Netzwerkschnittstelle (CNI) von Istio aktivieren, hängt von der Umgebung ab, in der Anthos Service Mesh installiert ist.

  1. Netzwerkrichtlinien aktivieren

  2. Wählen Sie die Overlay-Datei aus, die Ihrer Plattform entspricht.

CNI in GKE aktivieren

---
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  components:
    cni:
      enabled: true
      namespace: kube-system
  values:
    cni:
      cniBinDir: /home/kubernetes/bin
      excludeNamespaces:
        - istio-system
        - kube-system

CNI lokal aktivieren

---
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  components:
    cni:
      enabled: true
      namespace: kube-system
  values:
    cni:
      cniBinDir: /opt/cni/bin
      excludeNamespaces:
        - istio-system
        - kube-system
        - gke-system

Trafficlogs für externe Google Cloud aktivieren

Die Installation von Anthos Service Mesh mit Istio-Zertifizierungsstelle außerhalb von Google Cloud meldet Messwerte standardmäßig an Prometheus. Verwenden Sie diese Option, um stattdessen Traffic-Logs zur Berichterstellung zu aktivieren oder sowohl Prometheus als auch Stackdriver, um die Anthos Service Mesh-Dashboards zu verwenden.

Nur Stackdriver

---
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  values:
    telemetry:
      enabled: true
      v2:
        enabled: true
        prometheus:
          enabled: false
        stackdriver:
          enabled: true

Stackdriver und Prometheus

---
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  values:
    telemetry:
      enabled: true
      v2:
        enabled: true
        prometheus:
          enabled: true
        stackdriver:
          enabled: true

Internen Load-Balancer aktivieren

Wir empfehlen, ein injiziertes Gateway zu installieren, wie unter Gateways installieren und aktualisierenbeschrieben, um einen internen Load-Balancer in GKE einzurichten. Beim Konfigurieren des Gateway-Dienstes geben Sie die Annotation networking.gke.io/load-balancer-type: "Internal" an.

Externe Zertifikatsverwaltung auf dem Ingress-Gateway

Informationen zum Aktivieren der externen Zertifikatsverwaltung auf dem Ingress-Gateway mit Envoy SDS finden Sie unter Sichere Gateways.