Planifier une installation
Cette page fournit des informations pour vous aider à planifier une nouvelle installation de Cloud Service Mesh.
Personnaliser le plan de contrôle
Les fonctionnalités compatibles avec Cloud Service Mesh diffèrent selon les plates-formes. Nous vous recommandons de consulter la page Fonctionnalités compatibles pour connaître les fonctionnalités compatibles avec votre plate-forme. Certaines fonctionnalités sont activées par défaut. Vous pouvez activer les autres fonctionnalités en créant un fichier de superposition IstioOperator
.
Lorsque vous exécutez asmcli install
, vous pouvez personnaliser le plan de contrôle en spécifiant l'option --custom_overlay
à l'aide du fichier de superposition. Nous vous conseillons d'enregistrer les fichiers superposés dans votre système de contrôle des versions.
Le package anthos-service-mesh
sur GitHub contient de nombreux fichiers de superposition. Ces fichiers contiennent des personnalisations courantes de la configuration par défaut. Vous pouvez utiliser ces fichiers tels quels ou vous pouvez apporter des modifications supplémentaires si nécessaire. Certains de ces fichiers sont requis pour activer les fonctionnalités facultatives de Cloud Service Mesh.
Le package anthos-service-mesh
est téléchargé lorsque vous exécutez asmcli
pour valider votre projet et votre cluster.
Lorsque vous installez Cloud Service Mesh à l'aide de asmcli install
, vous
Vous pouvez spécifier un ou plusieurs fichiers de superposition avec --option
ou --custom_overlay
.
Si vous n'avez pas besoin de modifier les fichiers du dépôt anthos-service-mesh
, vous pouvez utiliser --option
. Le script récupère alors le fichier depuis GitHub à votre place. Sinon, vous pouvez apporter des modifications au fichier de superposition, puis utiliser l'option --custom_overlay
pour le transmettre au script asmcli
.
Choisir une autorité de certification
Selon votre cas d'utilisation, votre plate-forme et votre type de plan de contrôle (au sein du cluster ou géré), vous pouvez choisir l'une des options suivantes comme autorité de certification pour émettre des certificats TLS mutuels (mTLS) :
Cette section fournit des informations générales sur chacune de ces options d'autorité de certification et leurs cas d'utilisation.
Mesh CA
Si vous n'avez pas besoin d'une autorité de certification personnalisée, nous vous recommandons d'utiliser l'autorité de certification Cloud Service Mesh pour les raisons suivantes:
- L'autorité de certification Cloud Service Mesh est un service hautement fiable et évolutif, optimisé pour les charges de travail évolutives.
- Avec l'autorité de certification Cloud Service Mesh, Google gère la sécurité et la disponibilité du backend de l'autorité de certification.
- L'autorité de certification Cloud Service Mesh vous permet de compter sur une seule racine de confiance clusters.
Les certificats de l'autorité de certification Cloud Service Mesh incluent les données suivantes sur les services de votre application:
- L'ID de projet Google Cloud
- L'espace de noms GKE
- Le nom du compte de service GKE
Service d'autorité de certification
En plus de Mesh CA, vous pouvez configurer Cloud Service Mesh Certificate Authority Service. Ce guide vous offre l'occasion d'intégrer le service CA, qui est recommandé pour les cas d'utilisation suivants :
- Vous avez besoin de plusieurs autorités de certification différentes pour signer des certificats de charge de travail sur différents clusters.
- Vous souhaitez utiliser des certificats de plug-in d'autorités de certification personnalisées
istiod
. - Vous devez sauvegarder vos clés de signature dans un HSM géré.
- Vous travaillez dans un secteur hautement réglementé et vous êtes soumis à des exigences de conformité.
- Vous souhaitez associer votre autorité de certification Cloud Service Mesh à un certificat racine d'entreprise personnalisé pour signer les certificats de charge de travail.
Le coût de Mesh CA est inclus dans le Tarifs de Cloud Service Mesh Le service d'autorité de certification n'est pas inclus dans le prix de base de Cloud Service Mesh et est facturé séparément. En outre, le service d'autorité de certification est fourni avec un contrat de niveau de service explicite, contrairement à Mesh CA.
Pour cette intégration, toutes les charges de travail dans Cloud Service Mesh disposent de rôles IAM :
privateca.workloadCertificateRequester
privateca.auditor
privateca.template
(obligatoire si vous utilisez un modèle de certificat)
Istio CA
Nous vous recommandons d'utiliser l'autorité de certification Istio si vous répondez aux critères suivants :
- Votre maillage utilise déjà l'autorité de certification Istio. Vous n'avez donc pas besoin des avantages offerts par Autorité de certification (ou service CA) de Cloud Service Mesh.
- Vous avez besoin d'une autorité de certification racine personnalisée.
- Vous avez des charges de travail en dehors de Google Cloud pour lesquelles un service d'autorité de certification géré par Google Cloud n'est pas acceptable.
Préparer la configuration de la passerelle
Cloud Service Mesh vous permet de déployer et de gérer des passerelles dans le cadre le maillage de services. Une passerelle décrit un équilibreur de charge fonctionnant à la périphérie du réseau maillé recevant des connexions HTTP/TCP entrantes ou sortantes. Les passerelles sont des proxys Envoy qui vous permettent de contrôler avec précision le trafic entrant et sortant du réseau maillé.
asmcli
n'installe pas istio-ingressgateway
. Nous vous recommandons de déployer et de gérer le plan de contrôle et les passerelles séparément. Pour plus
plus d'informations, consultez Installer et mettre à niveau des passerelles.