Pianificazione di un'installazione

Questa pagina fornisce informazioni utili per pianificare una nuova installazione di Cloud Service Mesh.

Personalizzare il piano di controllo

Le funzionalità supportate da Cloud Service Mesh variano a seconda della piattaforma. I nostri suggerimenti di esaminare le Funzionalità supportate per scopri quali funzionalità sono supportate sulla tua piattaforma. Alcune funzionalità sono attive per impostazione predefinita e altre opzioni che puoi abilitare, creando un IstioOperator file di overlay. Quando esegui asmcli install, puoi personalizzare il piano di controllo specificando il --custom_overlay con il file di overlay. Come best practice, ti consigliamo di risparmiare i file degli overlay nel sistema di controllo della versione.

La anthos-service-mesh in GitHub contiene molti file di overlay. Questi file contengono personalizzazioni comuni della configurazione predefinita. Puoi utilizzare questi file così come sono o apportare ulteriori modifiche in base alle tue esigenze. Alcuni file sono obbligatori per abilitare le funzionalità facoltative di Cloud Service Mesh. Il pacchetto anthos-service-mesh viene scaricato quando esegui asmcli in convalida il progetto e il cluster.

Quando installi Cloud Service Mesh utilizzando asmcli install, puoi specificare uno o più file overlay con --option o --custom_overlay. Se non devi apportare modifiche ai file nel repository anthos-service-mesh, puoi utilizzare --option e lo script recupererà il file da GitHub per te. Altrimenti, puoi apportare modifiche al file dell'overlay e utilizzare --custom_overlay per passarlo a asmcli.

Scegli un'autorità di certificazione

A seconda del caso d'uso, della piattaforma e del tipo di piano di controllo (all'interno del cluster o gestiti), puoi scegliere una delle seguenti come autorità di certificazione (CA) per il rilascio di certificati TLS reciproco (mTLS):

Questa sezione fornisce informazioni di alto livello su ciascuna di queste opzioni di CA e sui relativi casi d'uso.

Mesh CA

A meno che tu non abbia bisogno di una CA personalizzata, ti consigliamo di usare Autorità di certificazione Cloud Service Mesh per i seguenti motivi:

L'autorità di certificazione Cloud Service Mesh è un servizio altamente affidabile e scalabile, e ottimizzato per carichi di lavoro con scalabilità dinamica.
Con l'autorità di certificazione Cloud Service Mesh, Google gestisce la sicurezza e la disponibilità del backend dell'autorità di certificazione.
L'autorità di certificazione Cloud Service Mesh ti consente di affidarti a un'unica radice di attendibilità tra cluster.

I certificati emessi dall'autorità di certificazione Cloud Service Mesh includono i seguenti dati su dei servizi della tua applicazione:

L'ID progetto Google Cloud
Lo spazio dei nomi GKE
Il nome dell'account di servizio GKE

Servizio CA

Nota sulla piattaforma: CA Service è supportato solo sulla le piattaforme seguenti: cluster GKE su Google Cloud, Google Distributed Cloud e Distributed Cloud. Se esegui asmcli install e specifichi --ca gcp_cas su altre piattaforme, l'installazione sembra essere andata a buon fine, ma i carichi di lavoro non riusciranno a essere avviati.

Oltre a Mesh CA, puoi configurare Cloud Service Mesh per utilizzare Certificate Authority Service. Questo offre l'opportunità di eseguire l'integrazione con CA Service, consigliato per i seguenti casi d'uso:

Se sono necessarie autorità di certificazione diverse per firmare i certificati dei carichi di lavoro su cluster diversi.
Se vuoi utilizzare istiod certificati plug-in CA personalizzati.
Se devi eseguire il backup delle chiavi di firma in un HSM gestito.
Se operi in un settore altamente regolamentato e sei soggetto a conformità.
Se vuoi collegare la tua CA Cloud Service Mesh a una radice aziendale personalizzata per firmare i certificati dei carichi di lavoro.

Il costo del CA Mesh è incluso nei prezzi di Cloud Service Mesh. La CA Service non è incluso nel prezzo base di Cloud Service Mesh ed è con un addebito separato. Inoltre, il servizio CA è dotato di un SLA esplicito, mentre Mesh CA no.

Per questa integrazione, a tutti i carichi di lavoro in Cloud Service Mesh vengono concessi i seguenti ruoli IAM:

privateca.workloadCertificateRequester
privateca.auditor
privateca.template (obbligatorio se utilizzi un modello di certificato)

CA Istio

Ti consigliamo di utilizzare Istio CA se soddisfi i seguenti criteri:

Il tuo mesh utilizza già la CA Istio e non hai bisogno dei vantaggi abilitati dall'autorità di certificazione Cloud Service Mesh o dal servizio CA.
Hai bisogno di una CA radice personalizzata.
Hai carichi di lavoro esterni a Google Cloud per i quali un servizio CA gestito da Google Cloud non è accettabile.

Prepara la configurazione del gateway

Cloud Service Mesh ti offre la possibilità di eseguire il deployment e gestire i gateway come parte mesh di servizi. Un gateway descrive un bilanciatore del carico che opera a livello perimetrale mesh che riceve connessioni HTTP/TCP in entrata o in uscita. I gateway sono proxy Envoy che ti offrono un controllo granulare sul traffico in entrata e in uscita dal mesh.

asmcli non installa istio-ingressgateway. Ti consigliamo di il deployment e la gestione del piano di controllo e dei gateway separatamente. Per maggiori informazioni consulta Installazione e upgrade dei gateway.

Passaggi successivi

Installa strumenti dipendenti e convalida il cluster