规划安装
本页提供的信息可帮助您规划新安装 Cloud Service Mesh 的基础。
自定义控制层面
Cloud Service Mesh 支持的功能因平台而异。我们建议您查看支持的功能,了解您的平台支持哪些功能。某些功能默认启用,其他功能可以通过创建 IstioOperator
叠加文件视需要启用。运行 asmcli install
时,您可以通过使用叠加文件指定 --custom_overlay
选项来自定义控制层面。 我们建议的最佳做法是将叠加文件保存在您的版本控制系统中。
GitHub 中的 anthos-service-mesh
软件包包含许多叠加文件。这些文件包含默认配置的常见自定义。您可以按原样使用这些文件,也可以根据需要对这些文件进行其他更改。部分文件
必须
启用可选的 Cloud Service Mesh 功能。
当您运行 asmcli
来验证项目和集群时,系统会下载 anthos-service-mesh
软件包。
使用 asmcli install
安装 Cloud Service Mesh 时,
可以使用 --option
或 --custom_overlay
指定一个或多个叠加层文件。
如果您不需要对 anthos-service-mesh
代码库中的文件进行任何更改,则可以使用 --option
,该脚本将从 GitHub 中提取文件。否则,您可以更改叠加文件,然后使用 --custom_overlay
选项将其传递给 asmcli
。
选择证书授权机构
根据您的用例、平台和控制平面类型(集群内或代管式),您可以选择以下任一项作为颁发双向 TLS (mTLS) 证书的证书授权机构 (CA):
本部分提供了有关每个 CA 选项及其用例的概要信息。
Mesh CA
除非您需要自定义 CA,否则我们建议您使用 Cloud Service Mesh 证书授权机构,原因如下:
- Cloud Service Mesh 证书授权机构是一项高度可靠的可扩缩服务,针对动态扩缩的工作负载进行了优化。
- 通过 Cloud Service Mesh 证书授权机构,Google 负责管理 CA 后端的安全性和可用性。
- 借助 Cloud Service Mesh 证书授权机构,您可在集群中依赖单个信任根。
来自 Cloud Service Mesh 证书授权机构的证书包含有关应用的服务的以下数据:
- Google Cloud 项目 ID
- GKE 命名空间
- GKE 服务账号名称
CA Service
除 Mesh CA 以外,您也可以将 Cloud Service Mesh 配置为使用 Certificate Authority Service。本指南提供了与 CA Service 集成的机会,建议用于以下使用场景:
- 您需要不同的证书授权机构对不同集群上的工作负载证书签名。
- 您需要使用
istiod
自定义 CA 插件证书。 - 您需要将签名密钥备份到代管式 HSM 中。
- 您从事的要是严格监管的行业,且需要遵守法规。
- 您需要将 Cloud Service Mesh CA 链接到自定义企业根证书来为工作负载证书签名。
Mesh CA 的费用包含在 Cloud Service Mesh 价格中。CA Service 不包含在 Cloud Service Mesh 基础价格中,而是单独计费。此外,CA Service 附带显式 SLA,但 Mesh CA 没有。
对于此集成,已授予 Cloud Service Mesh 中的所有工作负载 IAM 角色:
privateca.workloadCertificateRequester
privateca.auditor
privateca.template
(如果使用证书模板则必须提供)
Istio CA
如果满足以下条件,我们建议您使用 Istio CA:
- 您的网格已使用 Istio CA,并且不需要 Cloud Service Mesh 证书授权机构或 CA Service 启用的优势。
- 您需要自定义根 CA。
- 您有一些非 Google Cloud 工作负载,其不接受 Google Cloud 管理的 CA 服务。
准备网关配置
Cloud Service Mesh 允许您将网关部署和管理为服务网格的一部分。网关描述了在网格边缘运行的负载均衡器,用于接收传入或传出 HTTP/TCP 连接。网关是 Envoy 代理,可让您精确控制进出网格的流量。
asmcli
不会安装 istio-ingressgateway
。我们建议您单独部署和管理控制平面和网关。如需了解详情,请参阅安装和升级网关。