Planejar uma instalação

Nesta página, você encontra informações para ajudar a planejar uma nova instalação do Cloud Service Mesh.

Personalizar o plano de controle

Os recursos compatíveis com o Cloud Service Mesh são diferentes entre as plataformas. Recomendamos que você revise os Recursos compatíveis para saber quais recursos são compatíveis com sua plataforma. Alguns recursos são ativados por padrão, e outros podem ser ativados opcionalmente criando um arquivo de configuração IstioOperator. Ao executar asmcli install, é possível personalizar o plano de controle especificando a opção --custom_overlay com o arquivo de sobreposição. Como prática recomendada, salve os arquivos de sobreposição no seu sistema de controle de versões.

O pacote anthos-service-mesh no GitHub contém muitos arquivos de sobreposição. Esses arquivos contêm personalizações comuns da configuração padrão. É possível usar esses arquivos como estão ou fazer outras alterações neles conforme necessário. Alguns dos arquivos são necessários para ativar os recursos opcionais do Cloud Service Mesh. O pacote anthos-service-mesh é transferido por download ao executar asmcli para validar o projeto e o cluster.

Ao instalar o Cloud Service Mesh usando asmcli install, é possível especificar um ou mais arquivos de sobreposição com --option ou --custom_overlay. Caso você não precise fazer mudanças nos arquivos no repositório anthos-service-mesh, use --option e o script buscará o arquivo no GitHub para você. Caso contrário, você pode fazer alterações no arquivo de sobreposição e usar a opção --custom_overlay para passá-la para asmcli.

Escolher uma autoridade de certificação

Dependendo do caso de uso, da plataforma e do tipo de plano de controle (no cluster ou gerenciado), é possível escolher uma das seguintes opções como o certificado autoridade de certificação (CA, na sigla em inglês) para emitir certificados TLS mútuos (mTLS):

Nesta seção, você encontra informações de alto nível sobre cada uma dessas opções de CA e os respectivos casos de uso.

CA da malha

A menos que você precise de uma AC personalizada, recomendamos que use a autoridade certificadora do Cloud Service Mesh pelos seguintes motivos:

  • A autoridade de certificação do Cloud Service Mesh é um serviço altamente confiável e escalonável, otimizado para cargas de trabalho escalonadas dinamicamente.
  • Com a autoridade de certificação do Cloud Service Mesh, o Google gerencia a segurança e a disponibilidade do back-end da AC.
  • A autoridade certificadora do Cloud Service Mesh permite contar com uma única raiz de confiança entre os clusters.

Os certificados da autoridade certificadora do Cloud Service Mesh incluem os seguintes dados sobre os serviços do aplicativo:

  • O ID do projeto do Google Cloud
  • O namespace do GKE
  • O nome da conta de serviço do GKE

Serviço de CA

Além da CA da malha, é possível configurar o Cloud Service Mesh para usar o Certificate Authority Service. Este guia oferece uma oportunidade de integração com o serviço de CA, o que é recomendado para os seguintes casos de uso:

  • Se você precisar de autoridades de certificação diferentes para assinar certificados de carga de trabalho em clusters diferentes.
  • Se você quiser usar os certificados de plug-in da CA personalizada do istiod.
  • Se você precisar fazer backup das chaves de assinatura em um HSM gerenciado.
  • sua empresa é altamente regulada e está sujeita a conformidade.
  • Se você quiser encadear a CA do Cloud Service Mesh a um certificado raiz empresarial personalizado para assinar certificados de carga de trabalho.

O custo da CA de malha está incluído no preço do Cloud Service Mesh. O serviço de CA não está incluído no preço base do Cloud Service Mesh e é cobrado separadamente. Além disso, o serviço da CA vem com um SLA explícito, mas o CA da malha não.

Para essa integração, todas as cargas de trabalho no Cloud Service Mesh recebem papéis do IAM:

  • privateca.workloadCertificateRequester
  • privateca.auditor
  • privateca.template (obrigatório se você estiver usando um modelo de certificado)

CA do Istio

Recomendamos que você use a CA do Istio se atender aos seguintes critérios:

  • Sua malha já usa a CA do Istio e você não precisa dos benefícios ativados pela autoridade certificadora do Cloud Service Mesh ou pelo serviço de AC.
  • Você precisa de uma CA raiz personalizada.
  • Você tem cargas de trabalho fora do Google Cloud em que um serviço de CA gerenciado pelo Google Cloud não é aceitável.

Preparar a configuração do gateway

O Cloud Service Mesh oferece a opção de implantar e gerenciar gateways como parte da malha de serviço. Um gateway descreve um balanceador de carga operando na borda da malha que recebe conexões HTTP/TCP de entrada ou saída. Os gateways são proxies Envoy que fornecem um controle refinado sobre o tráfego que entra e sai da malha.

O app asmcli não instala o istio-ingressgateway. Recomendamos que você implante e gerencie o plano de controle e os gateways separadamente. Para mais informações, consulte Como instalar e fazer upgrade de gateways.

A seguir