将集群内 Anthos Service Mesh 迁移到新集群上的代管式 Anthos Service Mesh

本教程将介绍如何从 使用集群内 Cloud Service Mesh 的 Google Kubernetes Engine (GKE) 集群迁移到新集群 使用代管式 Cloud Service Mesh - Google 兼容 Istio 的全代管式服务 网格。

在本教程中,您将执行以下操作:

  1. 创建新的 Google Kubernetes Engine 集群,并安装集群内 Cloud Service Mesh 和集群上的 Cloud Service Mesh 入站流量网关。此集群将用作您要从中迁移出的现有集群。
  2. 部署 网上精品店 通过集群内 Cloud Service Mesh 将示例应用部署到集群上。
  3. 在同一个 Google Cloud 项目中创建另一个 Google Kubernetes Engine 集群。
  4. 在第二个集群上预配托管式 Cloud Service Mesh 并部署 Cloud Service Mesh 入站流量网关。
  5. 通过托管式 Cloud Service Mesh 将 Online Boutique 部署到集群上, 使用集群内 Cloud Service Mesh 从集群复制部署。
  6. 将 50% 的用户流量从具有集群内 Cloud Service Mesh 的集群转移到 通过 Istio 的流量拆分功能部署代管式 Cloud Service Mesh 和集群内 Cloud Service Mesh 功能。
  7. 通过以下方式完成从集群内 Cloud Service Mesh 到代管式 Cloud Service Mesh 的迁移: 将集群的域名系统 (DNS) 条目指向 集群内 Cloud Service Mesh 连接到集群。

用户流量在具有集群内 Cloud Service Mesh 的集群与具有代管式 Cloud Service Mesh 的集群之间按 50-50 的比例分配。每个集群都包含各自的 Online Boutique 部署。

Canary 部署

“Canary 部署”是软件开发中使用的一种技术,用于在向所有用户发布新版本之前测试某些软件的新版本。它涉及逐步增加发送到新版本的流量的百分比。在本教程中,您将使用代管式服务 Cloud Service Mesh,并逐步将用户流量转移到 Cloud Service Mesh。首先将 0% 的用户流量定向到新集群,然后定向 50%,最后定向 100%。在生产环境中,您应该使用更多的较小增量。如果您在任何时候发现新集群无法处理一定比例的流量,则可以通过将百分比降低到 0% 进行回滚。

Canary 控制平面与 Canary 集群

从集群内 Cloud Service Mesh 到 代管式 Cloud Service Mesh:

  • Canary 控制平面迁移:在此策略中,您需要 托管式 Cloud Service Mesh 已安装集群内 Cloud Service Mesh。
  • Canary 集群迁移:在此策略中,您需要创建一个新集群并 然后在其上预配代管式 Cloud Service Mesh。

在本教程中,您将了解 Canary 集群迁移策略。

费用

本教程使用 Google Cloud 的以下收费组件:

完成本教程后,您可以删除所创建的资源以避免持续产生费用。如需了解详情,请参阅清理

准备工作

  1. 登录您的 Google Cloud 账号。如果您是 Google Cloud 新手,请创建一个账号来评估我们的产品在实际场景中的表现。新客户还可获享 $300 赠金,用于运行、测试和部署工作负载。
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. 确保您的 Google Cloud 项目已启用结算功能

  4. Enable the required APIs.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. 确保您的 Google Cloud 项目已启用结算功能

  7. Enable the required APIs.

    Enable the APIs

启动 Cloud Shell

在本教程中,您将使用 Cloud Shell,这是一个托管在 Google Cloud 上的 Shell 环境,可让您管理 Google Cloud 资源。

Cloud Shell 预安装有 Google Cloud CLIkubectlistioctl 命令行。gcloud CLI 为 Google Cloud 提供了主要 CLI。

从本页面的右上角打开 Cloud Shell 会话,点击 ,然后点击确认。本页面下方的框架内会打开一个 Cloud Shell 会话。在该 Cloud Shell 会话中完成以下命令。

下载示例代码

克隆您将使用的 Kubernetes 和 Istio 资源所在的 git 代码库:

  git clone https://github.com/GoogleCloudPlatform/anthos-service-mesh-samples.git
  git clone https://github.com/GoogleCloudPlatform/microservices-demo.git

使用集群内 Cloud Service Mesh 设置集群

创建集群并安装集群内 Cloud Service Mesh

在本部分中,您将创建使用集群内 Cloud Service Mesh 的集群。实际上,这是您已经在使用的集群。

  1. PROJECT_ID 替换为您的项目 ID 并创建一个新集群:

    gcloud container clusters create cluster-with-in-cluster-asm \
      --project=PROJECT_ID \
      --zone=us-central1-a \
      --machine-type=e2-standard-4 --num-nodes=2 \
      --workload-pool=PROJECT_ID.svc.id.goog
    
  2. 重命名集群上下文,以便更轻松地使用集群:

    kubectl config rename-context \
      gke_PROJECT_ID_us-central1-a_cluster-with-in-cluster-asm \
      cluster-with-in-cluster-asm
    
  3. 检查集群上下文是否已重命名:

    kubectl config get-contexts --output="name"
    
  4. 下载安装 Cloud Service Mesh 的版本 1.18.7 当前工作目录:

    curl https://storage.googleapis.com/csm-artifacts/asm/asmcli_1.18 > asmcli
    

    系统会要求您输入“y”,然后按 Enter 键。

    输出类似于以下内容:

    % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                  Dload  Upload   Total   Spent    Left  Speed
    100  167k  100  167k    0     0   701k      0 --:--:-- --:--:-- --:--:--  701k
    
  5. asmcli 脚本可执行:

    chmod +x asmcli
    
  6. 使用 asmcli 安装集群内 Cloud Service Mesh:

    ./asmcli install \
      --project_id PROJECT_ID \
      --cluster_name cluster-with-in-cluster-asm \
      --cluster_location us-central1-a \
      --output_dir . \
      --enable_all \
      --ca mesh_ca
    

    asmcli 工具完成运行可能需要几分钟时间。该工具会输出信息性消息,便于您跟踪其进度。

    成功后,输出类似于以下内容:

    ...
    asmcli: Successfully installed ASM.
    

部署 Cloud Service Mesh 的入站流量网关

  1. 您需要将 Cloud Service Mesh 的入站流量网关部署到单独的 名为 asm-ingress 的命名空间。创建此命名空间:

    kubectl \
      --context cluster-with-in-cluster-asm \
      create namespace asm-ingress
    
  2. 使用 istio.io/rev=asm-1187-26 标签将 asm-ingress 命名空间添加到服务网格,并启用自动边车代理注入。

    kubectl \
      --context cluster-with-in-cluster-asm \
      label --overwrite namespace asm-ingress istio.io/rev=asm-1187-26
    

    输出类似于以下内容:

    namespace/asm-ingress labeled
    
  3. 部署 Cloud Service Mesh 入站流量网关

    kubectl \
      --context cluster-with-in-cluster-asm \
      --namespace=asm-ingress \
      apply -f anthos-service-mesh-samples/docs/shared/asm-ingress-gateway/asm-gateway-deployment-svc.yaml
    kubectl \
      --context cluster-with-in-cluster-asm \
      --namespace=asm-ingress \
      apply -f anthos-service-mesh-samples/docs/shared/asm-ingress-gateway/gateway.yaml
    

    输出类似于以下内容:

    serviceaccount/asm-ingressgateway created
    service/asm-ingressgateway created
    deployment.apps/asm-ingressgateway created
    gateway.networking.istio.io/asm-ingressgateway created
    

部署 Online Boutique

  1. 将 Online Boutique 部署到名为 onlineboutique 的单独命名空间中。创建此命名空间:

    kubectl \
      --context cluster-with-in-cluster-asm \
      create namespace onlineboutique
    
  2. 使用 istio.io/rev=asm-1187-26 标签将 onlineboutique 命名空间添加到服务网格,并启用自动边车代理注入。

    kubectl \
      --context cluster-with-in-cluster-asm \
      label --overwrite namespace onlineboutique istio.io/rev=asm-1187-26
    

    输出类似于以下内容:

    namespace/onlineboutique labeled
    
  3. 部署 Online Boutique 的 12 项服务,包括用于模拟用户流量的负载生成器:

    kubectl \
      --context cluster-with-in-cluster-asm \
      --namespace=onlineboutique \
      apply -f anthos-service-mesh-samples/docs/shared/online-boutique/kubernetes-manifests.yaml
    kubectl \
      --context cluster-with-in-cluster-asm \
      --namespace=onlineboutique \
      apply -f anthos-service-mesh-samples/docs/shared/online-boutique/virtual-service.yaml
    
  4. 获取 Cloud Service Mesh 入站流量网关的外部 IP 地址:

    kubectl \
      --context cluster-with-in-cluster-asm \
      --namespace asm-ingress \
      get service --output jsonpath='{.items[0].status.loadBalancer.ingress[0].ip}'
    
  5. 复制入站流量网关的外部 IP 地址,并通过 网络浏览器。您将看到 Online Boutique 示例应用。

使用代管式 Cloud Service Mesh 设置新集群

创建集群并预配代管式 Cloud Service Mesh

在本部分中,您将创建要迁移到的集群。您将 预配托管式 Cloud Service Mesh 并部署 Online Boutique 从使用集群内 Cloud Service Mesh 的集群中复制部署。

  1. 创建新集群:

    gcloud container clusters create cluster-with-csm \
      --project=PROJECT_ID --zone=us-central1-a \
      --machine-type=e2-standard-4 --num-nodes=2 \
      --workload-pool PROJECT_ID.svc.id.goog
    
  2. 重命名集群上下文,以便更轻松地使用集群:

    kubectl config rename-context \
      gke_PROJECT_ID_us-central1-a_cluster-with-csm \
      cluster-with-csm
    
  3. 检查集群上下文是否已重命名:

    kubectl config get-contexts --output="name"
    
  4. 在项目的舰队上启用 Cloud Service Mesh。答 舰队是 Kubernetes 集群和可管理的其他资源的分组 。

    gcloud container fleet mesh enable --project PROJECT_ID
    

    输出类似于以下内容:

    Waiting for Feature Service Mesh to be created...done.
    
  5. 将集群注册到项目的舰队:

    gcloud container fleet memberships register cluster-with-csm-membership \
      --gke-cluster=us-central1-a/cluster-with-csm \
      --enable-workload-identity \
      --project PROJECT_ID
    

    输出类似于以下内容:

    Waiting for membership to be created...done.
    Finished registering to the Fleet.
    
  6. 在集群上启用代管式 Cloud Service Mesh:

    gcloud container fleet mesh update \
      --management automatic \
      --memberships cluster-with-csm-membership \
      --project PROJECT_ID
    

    输出类似于以下内容:

    Waiting for Feature Service Mesh to be updated...done.
    
  7. 验证是否已为集群预配托管式 Cloud Service Mesh,并 可以使用:

    gcloud container fleet mesh describe --project PROJECT_ID
    

    预配和预配 Cloud Service Mesh 大约需要 10 分钟 以供在集群上使用如果您看到 controlPlaneManagement.state: DISABLEDcontrolPlaneManagement.state: PROVISIONING,则需要每隔几分钟重新运行一次上述命令,直到您看到 controlPlaneManagement.state: ACTIVE

    输出类似于以下内容:

    createTime: '2022-07-06T01:05:39.110120474Z'
    membershipSpecs:
      projects/123456789123/locations/global/memberships/cluster-with-csm-membership:
        mesh:
          management: MANAGEMENT_AUTOMATIC
    membershipStates:
      projects/123456789123/locations/global/memberships/cluster-with-csm-membership:
        servicemesh:
          controlPlaneManagement:
            details:
            - code: REVISION_READY
              details: 'Ready: asm-managed'
            state: ACTIVE
          dataPlaneManagement:
            details:
            - code: OK
              details: Service is running.
            state: ACTIVE
        state:
          code: OK
          description: 'Revision(s) ready for use: asm-managed.'
          updateTime: '2022-07-06T01:19:24.243993678Z'
    name: projects/your-project-id/locations/global/features/servicemesh
    resourceState:
      state: ACTIVE
    spec: {}
    state:
      state: {}
    updateTime: '2022-07-06T01:19:27.475885687Z'
    

部署 Cloud Service Mesh 的入站流量网关

  1. 您需要将 Cloud Service Mesh 的入站流量网关部署到单独的 名为 asm-ingress 的命名空间。创建此命名空间:

    kubectl \
      --context cluster-with-csm \
      create namespace asm-ingress
    
  2. 使用 istio.io/rev=asm-managed 标签将 asm-ingress 命名空间添加到服务网格,并启用自动边车代理注入。

    kubectl \
      --context cluster-with-csm \
      label namespace asm-ingress 'istio.io/rev=asm-managed'
    
  3. 部署 Cloud Service Mesh 入站流量网关

    kubectl \
      --context cluster-with-csm \
      --namespace=asm-ingress \
      apply -f anthos-service-mesh-samples/docs/shared/asm-ingress-gateway/asm-gateway-deployment-svc.yaml
    kubectl \
      --context cluster-with-csm \
      --namespace=asm-ingress \
      apply -f anthos-service-mesh-samples/docs/shared/asm-ingress-gateway/gateway.yaml
    

    输出类似于以下内容:

    namespace/asm-ingress configured
    serviceaccount/asm-ingressgateway configured
    service/asm-ingressgateway configured
    deployment.apps/asm-ingressgateway configured
    gateway.networking.istio.io/asm-ingressgateway configured
    

部署 Online Boutique

  1. 将 Online Boutique 部署到名为 onlineboutique 的单独命名空间中。创建此命名空间:

    kubectl \
      --context cluster-with-csm \
      create namespace onlineboutique
    
  2. 使用 istio.io/rev=asm-managed 标签将 onlineboutique 命名空间添加到服务网格,并启用自动边车代理注入。

    kubectl \
      --context cluster-with-csm \
      label namespace onlineboutique 'istio.io/rev=asm-managed'
    
  3. 部署 Online Boutique 的 12 项服务,包括用于模拟用户流量的负载生成器:

    kubectl \
      --context cluster-with-csm \
      --namespace=onlineboutique \
      apply -f anthos-service-mesh-samples/docs/shared/online-boutique/kubernetes-manifests.yaml
    kubectl \
      --context cluster-with-csm \
      --namespace=onlineboutique \
      apply -f anthos-service-mesh-samples/docs/shared/online-boutique/virtual-service.yaml
    
  4. 获取 Cloud Service Mesh 入站流量网关的外部 IP 地址:

    kubectl \
      --context cluster-with-csm \
      --namespace asm-ingress \
      get service --output jsonpath='{.items[0].status.loadBalancer.ingress[0].ip}'
    
  5. 复制 asm-ingressgateway Service 的外部 IP 地址,然后访问 访问该文档。您将看到 Online Boutique 示例应用。 您将在下一部分中使用外部 IP 地址,因此请将其复制到 环境变量:

    export INGRESS_IP_OF_CLUSTER_WITH_MANAGED_ASM=$( \
      kubectl \
        --context cluster-with-csm \
        --namespace asm-ingress \
        get service --output jsonpath='{.items[0].status.loadBalancer.ingress[0].ip}' \
      )
    

使用 Canary 部署通过 Cloud Service Mesh 测试集群

在本部分中,您将为集群配置集群内 Cloud Service Mesh, Online Boutique 的用户流量被 50% 转给了 Online Boutique 使用代管式 Cloud Service Mesh 的集群上的精品店。为了实现这一目标,您需要部署 通过集群内 Cloud Service Mesh 将两个 Istio 资源提供给集群:

  • 一个 ServiceEntry,用于向集群内 Cloud Service Mesh 告知代管式 Cloud Service Mesh 集群的 Online Boutique 端点
  • 一个 VirtualService,用于指示集群内 Cloud Service Mesh 入站流量网关拆分 流量在 50-50 之间。
  1. 设置代管式 Cloud Service Mesh 集群的入站流量网关的 IP 地址 ServiceEntry 资源内:

    sed -i "s/1.2.3.4/${INGRESS_IP_OF_CLUSTER_WITH_MANAGED_ASM}/" anthos-service-mesh-samples/docs/migrate-to-managed-asm/service-entry.yaml
    
  2. 使用集群内 Cloud Service Mesh 将 ServiceEntry 部署到集群:

    kubectl \
      --context cluster-with-in-cluster-asm \
      --namespace onlineboutique \
      apply -f anthos-service-mesh-samples/docs/migrate-to-managed-asm/service-entry.yaml
    
  3. 使用集群内 Cloud Service Mesh 将 VirtualService 部署到集群:

    kubectl \
      --context cluster-with-in-cluster-asm \
      --namespace onlineboutique \
      apply -f anthos-service-mesh-samples/docs/migrate-to-managed-asm/virtual-service-in-cluster-asm.yaml
    
  4. 使用如下命令访问集群的入站流量网关的 IP 地址: 在网络浏览器中访问集群内 Cloud Service Mesh:

    kubectl \
      --context cluster-with-in-cluster-asm \
      --namespace asm-ingress \
      get service
    

    多次刷新 Online Boutique 首页,并且每次都要查看页面的页脚。请注意,50% 的请求是由 通过托管式 Cloud Service Mesh 管理集群。

迁移到使用托管式 Cloud Service Mesh 的集群

本部分假定您拥有域名并且有权访问其 DNS(域名服务器)设置。

  1. 在 DNS 设置中添加一条 A 记录,以指向相应的域名(例如 example.com)设置为集群上运行的入站网关的 IP 地址 集群内 Cloud Service Mesh。

  2. 通过在网络浏览器中访问域名来访问 Online Boutique。

  3. 最大限度地缩短 DNS 记录存留时间 (TTL),以确保您可以快速还原 如果需要回滚,则为 DNS 条目。

  4. 将您的域名的 A 记录设置为 具有代管式 Cloud Service Mesh 的集群的入站流量网关。

  5. 迁移成功后,删除具有 集群内 Cloud Service Mesh:

    gcloud container clusters delete cluster-with-in-cluster-asm \
      --zone=us-central1-a \
      --project=PROJECT_ID
    

清理

为避免因本教程中使用的资源导致您的 Google Cloud 账号产生费用,请删除包含这些资源的项目,或者保留项目但删除各个资源。

删除项目

  1. In the Google Cloud console, go to the Manage resources page.

    Go to Manage resources

  2. In the project list, select the project that you want to delete, and then click Delete.
  3. In the dialog, type the project ID, and then click Shut down to delete the project.

删除资源

删除具有代管式 Cloud Service Mesh 的集群:

  gcloud container clusters delete cluster-with-managed-asm \
    --zone=us-central1-a \
    --project=PROJECT_ID

后续步骤