Prérequis pour Cloud Service Mesh
Cette page décrit les conditions préalables à l'installation Cloud Service Mesh (licences GKE Enterprise, exigences pour les clusters, parc, etc.) et les exigences générales.
Projet Cloud
Avant de commencer :
Vérifiez que la facturation est activée pour votre projet.
Licences GKE Enterprise
GKE
Cloud Service Mesh est disponible avec GKE Enterprise ou en tant que service autonome.
Les API Google permettent de déterminer votre mode de facturation. Pour utiliser Cloud Service Mesh en tant que
un service autonome, n'activez pas l'API GKE Enterprise dans votre projet.
Le script asmcli active toutes les autres API Google requises à votre place. Pour en savoir plus sur la tarification de Cloud Service Mesh, consultez la page Tarifs.
- Si vous êtes abonné à GKE Enterprise, veillez à activer l'API GKE Enterprise.
Si vous n'êtes pas abonné à GKE Enterprise, vous pouvez toujours installer Cloud Service Mesh, mais certains éléments d'UI et certaines fonctionnalités de la console Google Cloud ne sont disponibles que pour les abonnés à GKE Enterprise. Pour en savoir plus sur à la disposition des abonnés et des non-abonnés, consultez Différences entre l'interface utilisateur de GKE Enterprise et de Cloud Service Mesh
Si vous avez activé l'API GKE Enterprise, mais que vous souhaitez utiliser Cloud Service Mesh en tant que service autonome, désactivez l'API GKE Enterprise.
En dehors de Google Cloud
Pour installer Cloud Service Mesh sur site, sur GKE sur AWS, sur Amazon EKS, ou sur Microsoft AKS, vous devez être un client GKE Enterprise. Les clients GKE Enterprise ne sont pas facturés séparément pour Cloud Service Mesh, car ce service est déjà inclus dans les tarifs de GKE Enterprise. Pour en savoir plus, consultez le guide des tarifs de GKE Enterprise.
Conditions générales requises
Pour être inclus dans le maillage de services, les ports de service doivent être nommés et le nom de protocole du port doit respecter la syntaxe suivante :
name: protocol[-suffix], où les crochets indiquent un suffixe facultatif qui doit commencer par un tiret. Pour plus d'informations, consultez la section Nommer les ports de service.Si vous avez créé un périmètre de service dans votre organisation, vous devrez peut-être ajouter le service d'autorité de certification Cloud Service Mesh au périmètre. Pour en savoir plus, consultez la section Ajouter l'autorité de certification Cloud Service Mesh à un périmètre de service.
Si vous souhaitez modifier les limites de ressources par défaut pour le conteneur side-car
istio-proxy, les nouvelles valeurs doivent être supérieures aux valeurs par défaut afin d'éviter -Événements de mémoire (OOM).Un projet Google Cloud ne peut être associé qu'à un seul réseau maillé.
Configuration requise pour les clusters
GKE
Vérifiez que la version de votre cluster est répertoriée dans la section Plates-formes compatibles.
Votre cluster GKE doit répondre aux exigences suivantes :
Le cluster GKE doit être de type standard. Les clusters Autopilot sont n'est compatible qu'avec Cloud Service Mesh géré.
Type de machine comportant au moins quatre processeurs virtuels, par exemple
e2-standard-4. Si le type de machine de votre cluster ne comporte pas au moins quatre processeurs virtuels, modifiez le type de machine comme décrit dans la section Migrer des charges de travail vers différents types de machines.Le nombre minimal de nœuds dépend du type de machine. Cloud Service Mesh nécessite au moins huit processeurs virtuels. Si le type de machine comporte quatre processeurs virtuels, votre cluster doit comporter au moins deux nœuds. Si le type de machine comporte huit processeurs virtuels, le cluster n'a besoin que d'un nœud. Si vous devez ajouter des nœuds, consultez la page Redimensionner un cluster.
Vous devez disposer de GKE Workload Identity. Nous vous recommandons activer Workload Identity ; avant d'installer Cloud Service Mesh. L'activation de Workload Identity modifie la manière dont les appels de vos charges de travail vers les API Google sont sécurisés, comme décrit dans la section Limites de Workload Identity. Notez que vous n'avez pas besoin d'activer le serveur GKE Metadata sur les pools de nœuds existants.
Nous vous recommandons d'inscrire le cluster dans une version disponible, mais cela n'est pas obligatoire. Nous vous recommandons de vous inscrire à la version disponible standard, car d'autres versions peuvent être basées sur une version de GKE non compatible avec Cloud Service Mesh 1.18.7. Pour en savoir plus, consultez la page Plates-formes compatibles. Suivez les instructions de la page Enregistrer un cluster existant dans une version disponible si vous disposez d'une version GKE statique.
Si vous installez Cloud Service Mesh sur un cluster privé, vous devez ouvrir le port 15017 dans le pare-feu pour que les webhooks utilisés pour l'injection side-car automatique et la validation de la configuration fonctionnent correctement. Pour en savoir plus, consultez la page Ouvrir un port sur un cluster privé.
Assurez-vous que la machine cliente à partir de laquelle vous installez Cloud Service Mesh dispose d'une connectivité réseau au serveur d'API.
Cloud Service Mesh n'est pas compatible avec les charges de travail Windows Server. Si votre cluster comporte à la fois des pools de nœuds Linux et Windows Server, vous pouvez toujours installer Cloud Service Mesh et l'utiliser sur vos charges de travail Linux.
- Après avoir provisionné Cloud Service Mesh, vous devez contacter l'assistance avant de lancer la rotation des adresses IP ou la rotation des identifiants de certificat.
En dehors de Google Cloud
Assurez-vous que le cluster d'utilisateur sur lequel vous installez Cloud Service Mesh possède au moins 4 vCPU, 15 Go de mémoire et 4 nœuds.
Vérifiez que la version de votre cluster est répertoriée dans la section Plates-formes compatibles.
Assurez-vous que la machine cliente à partir de laquelle vous installez Cloud Service Mesh dispose la connectivité réseau au serveur d'API.
Si vous déployez des side-cars dans les pods d'application où la connectivité directe aux services CA (par exemple,
meshca.googleapis.cometprivateca.googleapis.com) n'est pas disponible, vous devez configurer un proxy HTTPSCONNECTexplicite.Pour les clusters publics dont les règles de pare-feu de sortie sont définies règles implicites, assurez-vous d'avoir configuré des règles HTTP/HTTPS et DNS pour atteindre les API Google publiques.
Exigences concernant le parc
Avec Cloud Service Mesh 1.11 et les versions ultérieures, tous les clusters doivent être enregistrés dans un
parc et
parc d'identité de charge de travail
doit être activée. Vous pouvez configurer les clusters vous-même ou laisser asmcli enregistrer les clusters tant qu'ils répondent aux exigences suivantes :
GKE : (s'applique à Cloud Service Mesh en cluster et géré) Activez GKE Workload Identity sur votre cluster Google Kubernetes Engine, s'il n'est pas déjà activé. De plus, vous devez enregistrer le cluster à l'aide de Workload Identity pour parc.
Clusters GKE en dehors de Google Cloud: (s'applique au maillage de services Cloud Service intégré au cluster) Google Distributed Cloud, Google Distributed Cloud, GKE sur AWS et GKE sur Azure sont automatiquement enregistré dans le parc de votre projet au moment de la création du cluster. À compter du GKE Enterprise 1.8, tous ces types de clusters activent automatiquement Workload Identity lors de l'enregistrement Les clusters enregistrés existants sont mis à jour d'utiliser la fonctionnalité Workload Identity du parc lors de sa mise à niveau vers GKE Enterprise 1.8.
Clusters Amazon EKS : (s'applique à Cloud Service Mesh en cluster) Le cluster doit disposer d'un fournisseur d'identité IAM OIDC public. Suivez les instructions fournies dans l'article Créer un fournisseur OIDC IAM pour votre cluster pour vérifier si un fournisseur existe et en créer un si nécessaire.
Lorsque vous exécutez asmcli install, vous spécifiez l'ID du projet hôte du parc.
asmcli enregistre le cluster si ce n'est pas déjà fait.