Cloud Service Mesh 기본 요건
이 페이지에서는 GKE Enterprise 라이선스, 클러스터 요구사항, Fleet 요구사항, 일반 요구사항과 같은 Cloud Service Mesh 설치 기본 요건과 요구사항을 설명합니다.
Cloud 프로젝트
시작하기 전에 다음 사항을 확인하세요.
프로젝트에 결제가 사용 설정되었는지 확인합니다.
GKE Enterprise 라이선스
GKE
Cloud Service Mesh는 GKE Enterprise에서 또는 독립형 서비스로 사용 가능합니다.
Google API는 청구 방식을 결정하는 데 사용됩니다. Cloud Service Mesh를 독립형 서비스로 사용하려면 프로젝트에 GKE Enterprise API를 사용 설정하지 마세요.
asmcli
는 다른 모든 필수 Google API를 사용 설정합니다. Cloud Service Mesh 가격에 대한 자세한 내용은 가격 책정을 참조하세요.
- GKE Enterprise 구독자는 GKE Enterprise API를 사용 설정해야 합니다.
GKE Enterprise 구독자가 아니어도 Cloud Service Mesh를 설치할 수 있지만 GKE Enterprise 구독자만 Google Cloud 콘솔의 특정 UI 요소와 기능을 사용할 수 있습니다. 구독자와 비구독자가 사용할 수 있는 항목에 대한 자세한 내용은 GKE Enterprise 및 Cloud Service Mesh UI 차이점을 참조하세요.
GKE Enterprise API를 사용 설정했지만 Cloud Service Mesh를 독립형 서비스로 사용하려면 GKE Enterprise API를 중지합니다.
Google Cloud 외부
Cloud Service Mesh를 온프레미스, AWS용 GKE, Amazon EKS 또는 Microsoft AKS에 설치하려면 GKE Enterprise 고객이어야 합니다. Cloud Service Mesh가 이미 GKE Enterprise 가격 책정에 포함되어 있으므로 GKE Enterprise 고객에게는 별도로 비용이 청구되지 않습니다. 자세한 내용은 GKE Enterprise 가격 책정 가이드를 참조하세요.
일반 요구사항
서비스 메시에 포함하려면 서비스 포트의 이름이 지정되어야 하며 이름은
name: protocol[-suffix]
문법에서 포트 프로토콜을 포함해야 합니다. 여기서 대괄호는 대시로 시작해야 하는 선택적 서픽스를 나타냅니다. 자세한 내용은 서비스 포트 이름 지정을 참조하세요.조직에서 서비스 경계를 만든 경우 경계에 Cloud Service Mesh 인증기관 서비스를 추가해야 할 수 있습니다. 자세한 내용은 서비스 경계에 Cloud Service Mesh 인증기관 추가를 참조하세요.
istio-proxy
사이드카 컨테이너의 기본 리소스 한도를 변경하려면 메모리 부족(OOM) 이벤트를 방지하기 위해 새 값이 기본값보다 커야 합니다.Google Cloud 프로젝트에는 하나의 메시만 연결할 수 있습니다.
클러스터 요구사항
GKE
클러스터 버전이 지원되는 플랫폼에 나열되어 있는지 확인합니다.
GKE 클러스터는 다음 요구사항을 충족해야 합니다.
GKE 클러스터는 표준이어야 합니다. Autopilot 클러스터는 관리형 Cloud Service Mesh에서만 지원됩니다.
vCPU가 4개 이상 있는 머신 유형(예:
e2-standard-4
). 클러스터의 머신 유형에 4개 미만의 vCPU가 있으면 여러 머신 유형에 워크로드 마이그레이션에 설명된 대로 머신 유형을 변경합니다.최소 노드 수는 머신 유형에 따라 다릅니다. Cloud Service Mesh에는 최소 8개의 vCPU가 필요합니다. 머신 유형에 vCPU가 4개 있는 경우 클러스터에는 노드가 2개 이상 있어야 합니다. 머신 유형에 vCPU가 8개 있는 경우 클러스터에는 노드가 1개만 필요합니다. 노드를 추가해야 하는 경우 클러스터 크기 조절을 참조하세요.
GKE 워크로드 아이덴티티는 필수 항목입니다. Cloud Service Mesh를 설치하기 전 워크로드 아이덴티티를 사용 설정하는 것이 좋습니다. 워크로드 아이덴티티를 사용 설정하면 워크로드 아이덴티티 제한사항의 설명대로 워크로드에서 Google API로 호출이 보호되는 방식이 변경됩니다. 기존 노드 풀에서는 GKE 메타데이터 서버를 사용 설정할 필요가 없습니다.
선택사항이지만 출시 채널에 클러스터를 등록하는 것이 좋습니다. 다른 채널은 Cloud Service Mesh 1.18.7에서 지원되지 않는 GKE 버전을 기반으로 할 수 있으므로 일반 출시 채널에 등록하는 것이 좋습니다. 자세한 내용은 지원되는 플랫폼을 참조하세요. 정적 GKE 버전이 있는 경우 출시 채널에 기존 클러스터 등록의 안내를 따릅니다.
비공개 클러스터에 Cloud Service Mesh를 설치하는 경우 자동 사이드카 삽입에 사용되는 웹훅 및 구성 검증을 작동하기 위해 방화벽에서 포트 15017을 열어야 합니다. 자세한 내용은 비공개 클러스터에서 포트 열기를 참조하세요.
Cloud Service Mesh를 설치할 클라이언트 머신이 API 서버에 네트워크로 연결되어 있는지 확인합니다.
Windows Server 워크로드의 경우 Cloud Service Mesh가 지원되지 않습니다. 클러스터에 Linux 및 Windows Server 노드 풀이 둘 다 있는 경우에도 Cloud Service Mesh를 설치하고 Linux 워크로드에서 사용할 수 있습니다.
- Cloud Service Mesh를 프로비저닝한 후 IP 순환 또는 인증서 사용자 인증 정보 순환을 시작하기 전에 지원팀에 문의해야 합니다.
Google Cloud 외부
Cloud Service Mesh를 설치하는 사용자 클러스터에 최소 4개의 vCPU, 15GB 메모리, 4개의 노드가 있는지 확인합니다.
클러스터 버전이 지원되는 플랫폼에 나열되어 있는지 확인합니다.
Cloud Service Mesh를 설치할 클라이언트 머신이 API 서버에 네트워크로 연결되어 있는지 확인합니다.
CA 서비스(예:
meshca.googleapis.com
및privateca.googleapis.com
)에 직접 연결할 수 없는 애플리케이션 포드에 사이드카를 배포하는 경우 명시적CONNECT
기반 HTTPS 프록시를 구성해야 합니다.묵시적 규칙을 차단하는 이그레스 방화벽 규칙이 설정된 공개 클러스터의 경우 공개 Google API에 연결하도록 HTTP/HTTPS 및 DNS 규칙을 구성했는지 확인합니다.
Fleet 요구사항
Cloud Service Mesh 1.11 이상에서는 모든 클러스터를 Fleet에 등록해야 하며 Fleet 워크로드 아이덴티티를 사용 설정해야 합니다. 직접 클러스터를 설정하거나 클러스터가 다음 요구사항을 충족하는 경우 asmcli
에서 클러스터를 등록하도록 허용할 수 있습니다.
GKE: (클러스터 내 및 관리형 Cloud Service Mesh에 적용) Google Kubernetes Engine에서 아직 사용 설정되지 않은 경우 GKE 워크로드 아이덴티티를 사용 설정합니다. 또한 Fleet 워크로드 아이덴티티를 사용하여 클러스터를 등록해야 합니다.
Google Cloud 외부의 GKE 클러스터: (클러스터 내 Cloud Service Mesh에 적용) Google Distributed Cloud, Google Distributed Cloud, AWS 기반 GKE, Azure 기반 GKE는 클러스터 생성 시에 프로젝트 Fleet에 자동으로 등록됩니다. GKE Enterprise 1.8부터 이러한 클러스터 유형은 모두 등록 시 Fleet 워크로드 아이덴티티가 자동으로 사용 설정됩니다. 기존에 등록된 클러스터는 GKE Enterprise 1.8로 업그레이드되면 Fleet 워크로드 아이덴티티를 사용하도록 업데이트됩니다.
Amazon EKS 클러스터: (클러스터 내 Cloud Service Mesh에 적용) 클러스터에 공개 IAM OIDC ID 공급업체가 있어야 합니다. 클러스터에 대한 IAM OIDC 제공업체 만들기의 안내에 따라 제공업체가 존재하는지 확인하고, 필요하면 제공업체를 만듭니다.
asmcli install
을 실행할 때 Fleet 호스트 프로젝트의 프로젝트 ID를 지정합니다.
클러스터가 아직 등록되지 않은 경우 asmcli
에서 클러스터를 등록합니다.