Installation planen

Diese Seite enthält Informationen zur Planung einer Neuinstallation von Cloud Service Mesh.

Steuerungsebene anpassen

Die von Cloud Service Mesh unterstützten Features unterscheiden sich je nach Plattform. In den Hinweisen zu den unterstützten Funktionen erfahren Sie, welche Features auf Ihrer Plattform unterstützt werden. Einige Funktionen sind standardmäßig aktiviert, andere können optional aktiviert werden. Erstellen Sie dazu eine IstioOperator -Konfigurationsdatei. Wenn Sie asmcli install ausführen, können Sie die Steuerungsebene anpassen. Geben Sie dazu die Option --custom_overlay mit der Overlay-Datei an. Als Best Practice empfehlen wir, dass Sie die Overlay-Dateien in Ihrem Versionsverwaltungssystem speichern.

Das Paket anthos-service-mesh in GitHub enthält viele Overlay-Dateien. Diese Dateien enthalten gängige Anpassungen der Standardkonfiguration. Sie können diese Dateien unverändert anwenden oder weitere Änderungen daran vornehmen. Einige der Dateien sind erforderlich, um optionale Cloud Service Mesh-Features zu aktivieren. Das Paket anthos-service-mesh wird heruntergeladen, wenn Sie asmcli ausführen, um Ihr Projekt und Ihren Cluster zu validieren.

Wenn Sie Cloud Service Mesh mit asmcli install installieren, können Sie eine oder mehrere Overlay-Dateien mit --option oder --custom_overlay angeben. Wenn Sie keine Änderungen an den Dateien im anthos-service-mesh-Repository vornehmen müssen, können Sie --option verwenden. Das Skript ruft die Datei von GitHub ab. Sie können aber auch die Overlay-Datei ändern und die Änderungen mit der Option --custom_overlay an asmcli übergeben.

Zertifizierungsstelle wählen

Je nach Anwendungsfall, Plattform und Steuerungsebene (clusterintern oder verwaltet) können Sie eine der folgenden Optionen als Zertifizierungsstelle (Certificate Authority, CA) für die Ausstellung gegenseitiger TLS-Zertifikate (mTLS-Zertifikate) wählen:

Dieser Abschnitt bietet allgemeine Informationen zu diesen CA-Optionen und ihren Anwendungsfällen.

Mesh CA

Sofern Sie keine benutzerdefinierte Zertifizierungsstelle benötigen, empfehlen wir aus folgenden Gründen die Verwendung der Cloud Service Mesh-Zertifizierungsstelle:

Die Cloud Service Mesh-Zertifizierungsstelle ist ein äußerst zuverlässiger und skalierbarer Dienst, der für dynamisch skalierte Arbeitslasten optimiert ist.
Mit der Cloud Service Mesh-Zertifizierungsstelle verwaltet Google die Sicherheit und Verfügbarkeit des CA-Back-Ends.
Mit der Cloud Service Mesh-Zertifizierungsstelle können Sie sich clusterübergreifend auf eine einzige Root of Trust verlassen.

Zertifikate der Cloud Service Mesh-Zertifizierungsstelle enthalten die folgenden Daten zu den Diensten Ihrer Anwendung:

Die Google Cloud-Projekt-ID
Der GKE-Namespace
Der Name des GKE-Dienstkontos

CA-Dienst

Hinweis zur Plattform: CA Service wird nur auf den folgenden Plattformen unterstützt: GKE-Cluster in Google Cloud, GKE on VMware und GDCV für Bare Metal. Wenn Sie asmcli install ausführen und --ca gcp_cas auf anderen Plattformen angeben, wird die Installation als erfolgreich angezeigt. Ihre Arbeitslasten können jedoch nicht gestartet werden.

Zusätzlich zu Mesh CA können Sie Cloud Service Mesh für die Verwendung von Certificate Authority Service konfigurieren. Dieser Leitfaden bietet eine Möglichkeit zur Integration in CA Service, die für die folgenden Anwendungsfälle empfohlen wird:

Wenn Sie unterschiedliche CAs benötigen, um Arbeitslastzertifikate auf unterschiedlichen Clustern zu signieren.
Wenn Sie Zertifikate von benutzerdefinierten istiod-CA-Plug-ins verwenden möchten.
Wenn Sie Ihre Signaturschlüssel in einem verwalteten HSM sichern müssen.
Wenn Sie in einer stark regulierten Branche tätig sind und der Compliance unterliegen.
Wenn Sie Ihre Cloud Service Mesh-Zertifizierungsstelle mit einem benutzerdefinierten Root-Zertifikat des Unternehmens verketten möchten, um Arbeitslastzertifikate zu signieren.

Die Kosten für Mesh CA sind in den Cloud Service Mesh-Preisen enthalten. Der CA-Dienst ist nicht im Cloud Service Mesh-Basispreis enthalten und wird separat abgerechnet. Darüber hinaus enthält CA Service ein explizites SLA, die Mesh-CA jedoch nicht.

Für diese Integration werden allen Arbeitslasten in Cloud Service Mesh IAM-Rollen zugewiesen:

privateca.workloadCertificateRequester
privateca.auditor
privateca.template (erforderlich, wenn Sie eine Zertifikatsvorlage verwenden)

Istio CA

Wir empfehlen die Verwendung von Istio CA, wenn Sie folgende Kriterien erfüllen:

Ihr Mesh-Netzwerk verwendet bereits die Istio-Zertifizierungsstelle und Sie benötigen die Vorteile nicht, die von der Cloud Service Mesh-Zertifizierungsstelle oder dem CA-Dienst aktiviert werden.
Sie benötigen eine benutzerdefinierte Stamm-CA.
Sie haben Arbeitslasten außerhalb von Google Cloud, in denen ein von Google Cloud verwalteter CA-Dienst nicht akzeptabel ist.

Gateway-Konfiguration vorbereiten

Cloud Service Mesh bietet Ihnen die Möglichkeit, Gateways als Teil Ihres Service Mesh bereitzustellen und zu verwalten. Ein Gateway beschreibt einen Load-Balancer, der am Rand des Mesh-Netzwerks arbeitet und eingehende oder ausgehende HTTP/TCP-Verbindungen empfängt. Gateways sind Envoy-Proxys, die Ihnen eine detaillierte Kontrolle über den in das Mesh-Netzwerk eingehenden und ausgehenden Traffic ermöglichen.

asmcli installiert die istio-ingressgateway nicht. Wir empfehlen, die Steuerungsebene und die Gateways separat bereitzustellen und zu verwalten. Weitere Informationen finden Sie unter Gateways installieren und aktualisieren.

Nächste Schritte

Abhängige Tools installieren und Cluster validieren