Planifier une installation
{version_1.0.1Cette page fournit des informations pour vous aider à planifier une nouvelle installation de Cloud Service Mesh.
Personnaliser le plan de contrôle
Les fonctionnalités compatibles avec Cloud Service Mesh diffèrent d'une plate-forme à l'autre. Nous vous recommandons de consulter la page Fonctionnalités compatibles pour connaître les fonctionnalités compatibles avec votre plate-forme. Certaines fonctionnalités sont activées par défaut. Vous pouvez activer les autres fonctionnalités en créant un fichier de superposition IstioOperator.
Lorsque vous exécutez asmcli install, vous pouvez personnaliser le plan de contrôle en spécifiant l'option --custom_overlayà l'aide du fichier de superposition. Nous vous conseillons d'enregistrer les fichiers superposés dans votre système de contrôle des versions.
Le package anthos-service-mesh dans GitHub contient de nombreux fichiers de superposition. Ces fichiers contiennent des personnalisations courantes de la configuration par défaut. Vous pouvez utiliser ces fichiers tels quels ou vous pouvez apporter des modifications supplémentaires si nécessaire. Certains fichiers sont nécessaires pour activer les fonctionnalités facultatives de Cloud Service Mesh.
Le package anthos-service-mesh est téléchargé lorsque vous exécutez asmcli pour valider votre projet et votre cluster.
Lorsque vous installez Cloud Service Mesh à l'aide de asmcli install, vous pouvez spécifier un ou plusieurs fichiers de superposition avec --option ou --custom_overlay.
Si vous n'avez pas besoin de modifier les fichiers du dépôt anthos-service-mesh, vous pouvez utiliser --option. Le script récupère alors le fichier depuis GitHub à votre place. Sinon, vous pouvez apporter des modifications au fichier de superposition, puis utiliser l'option --custom_overlay pour le transmettre au script asmcli.
Choisir une autorité de certification
Selon votre cas d'utilisation, votre plate-forme et votre type de plan de contrôle (au sein du cluster ou géré), vous pouvez choisir l'une des options suivantes comme autorité de certification pour émettre des certificats TLS mutuels (mTLS) :
- Autorité de certification Cloud Service Mesh
- Certificate Authority Service
- Autorité de certification Istio
Cette section fournit des informations générales sur chacune de ces options d'autorité de certification et leurs cas d'utilisation.
Mesh CA
À moins que vous n'ayez besoin d'une autorité de certification personnalisée, nous vous recommandons d'utiliser l'autorité de certification Cloud Service Mesh pour les raisons suivantes:
- L'autorité de certification Cloud Service Mesh est un service hautement fiable et évolutif, optimisé pour les charges de travail à scaling dynamique.
- Avec l'autorité de certification Cloud Service Mesh, Google gère la sécurité et la disponibilité du backend de l'autorité de certification.
- L'autorité de certification Cloud Service Mesh vous permet de vous appuyer sur une seule racine de confiance pour l'ensemble des clusters.
Les certificats de l'autorité de certification Cloud Service Mesh incluent les données suivantes sur les services de votre application:
- L'ID de projet Google Cloud
- L'espace de noms GKE
- Le nom du compte de service GKE
Service d'autorité de certification
En plus de Mesh CA, vous pouvez configurer Cloud Service Mesh pour utiliser Certificate Authority Service. Ce guide vous offre l'occasion d'intégrer le service CA, qui est recommandé pour les cas d'utilisation suivants :
- Vous avez besoin de plusieurs autorités de certification différentes pour signer des certificats de charge de travail sur différents clusters.
- Vous souhaitez utiliser des certificats de plug-in d'autorités de certification personnalisées
istiod. - Vous devez sauvegarder vos clés de signature dans un HSM géré.
- Vous travaillez dans un secteur hautement réglementé et vous êtes soumis à des exigences de conformité.
- Si vous souhaitez associer votre autorité de certification Cloud Service Mesh à un certificat racine d'entreprise personnalisé pour signer les certificats de charge de travail.
Le coût de Mesh CA est inclus dans les tarifs de Cloud Service Mesh. Le service CA n'est pas inclus dans le tarif de base de Cloud Service Mesh et est facturé séparément. En outre, le service d'autorité de certification est fourni avec un contrat de niveau de service explicite, contrairement à Mesh CA.
Pour cette intégration, toutes les charges de travail dans Cloud Service Mesh se voient attribuer des rôles IAM:
privateca.workloadCertificateRequesterprivateca.auditorprivateca.template(obligatoire si vous utilisez un modèle de certificat)
Istio CA
Nous vous recommandons d'utiliser l'autorité de certification Istio si vous répondez aux critères suivants :
- Votre maillage utilise déjà une autorité de certification Istio, et vous n'avez pas besoin des avantages offerts par l'autorité de certification Cloud Service Mesh ou le service CA.
- Vous avez besoin d'une autorité de certification racine personnalisée.
- Vous avez des charges de travail en dehors de Google Cloud pour lesquelles un service d'autorité de certification géré par Google Cloud n'est pas acceptable.
Préparer la configuration de la passerelle
Cloud Service Mesh vous permet de déployer et de gérer des passerelles dans le cadre de votre maillage de services. Une passerelle décrit un équilibreur de charge fonctionnant à la périphérie du réseau maillé recevant des connexions HTTP/TCP entrantes ou sortantes. Les passerelles sont des proxys Envoy qui vous permettent de contrôler avec précision le trafic entrant et sortant du réseau maillé.
asmcli n'installe pas istio-ingressgateway. Nous vous recommandons de déployer et de gérer le plan de contrôle et les passerelles séparément. Pour en savoir plus, consultez la page Installer et mettre à niveau des passerelles.