Incorpora proxies de sidecar con Cloud Service Mesh
En este documento, se explica cómo configurar la inserción del proxy de sidecar con Cloud Service Mesh para mejorar la seguridad, la confiabilidad y la observabilidad de la red. Estas funciones se abstraen del contenedor principal de la aplicación y se implementan en un proxy fuera del proceso común (el archivo adicional), que se entrega como un contenedor por separado en el mismo Pod. Esto proporciona las funciones de Cloud Service Mesh sin rediseñar tus aplicaciones de producción para que participen en una malla de servicios.
La inyección automática del proxy de sidecar (inyección automática) se produce cuando Cloud Service Mesh detecta una etiqueta de espacio de nombres que configuras para el Pod de la carga de trabajo. El proxy intercepta todo el tráfico entrante y saliente de las cargas de trabajo y se comunica con Cloud Service Mesh.
Habilita la inserción automática de sidecar
La forma recomendada de insertar proxies de sidecar es usar el inyector automático del sidecar basado en webhooks, aunque puedes actualizar de forma manual la configuración de Kubernetes de tus Pods.
Para habilitar la inserción automática, etiqueta tus espacios de nombres con las etiquetas de inyección predeterminadas si la etiqueta predeterminada está configurada o con la etiqueta de revisión en tu espacio de nombres.
La etiqueta que agregues también dependerá de si implementaste Cloud Service Mesh administrado (con la API de flota o con asmcli) o de si instalaste el plano de control en el clúster. El webhook de inyector de sidecar usa la etiqueta para asociar los sidecars inyectados con una revisión de plano de control en particular.
Para habilitarla, usa este comando:
En el clúster
Usa el siguiente comando para encontrar la etiqueta de revisión en
istiod:kubectl -n istio-system get pods -l app=istiod --show-labelsEl resultado es similar al siguiente:
NAME READY STATUS RESTARTS AGE LABELS istiod--5788d57586-bljj4 1/1 Running 0 23h app=istiod,istio.io/rev=,istio=istiod,pod-template-hash=5788d57586 istiod--5788d57586-vsklm 1/1 Running 1 23h app=istiod,istio.io/rev=,istio=istiod,pod-template-hash=5788d57586
En el resultado, en la columna
LABELS, observa el valor de la etiqueta de revisiónistiod, que está después del prefijoistio.io/rev=. En este ejemplo, el valor es.Aplica la etiqueta de revisión a los espacios de nombres y quita la etiqueta istio-injection (si existe). En el siguiente comando,
NAMESPACEes el nombre del espacio de nombres en el que deseas habilitar la inserción automática yREVISIONes la etiqueta de revisión que anotaste en el paso anterior.kubectl label namespace NAMESPACE istio-injection- istio.io/rev=REVISION --overwritePuedes ignorar el mensaje
"istio-injection not found"en el resultado. Esto significa que el espacio de nombres no tenía la etiquetaistio-injection, como se debe esperar en las nuevas instalaciones de Cloud Service Mesh o en implementaciones nuevas. Debido a que el comportamiento de la inserción automática es indefinido cuando un espacio de nombres tiene laistio-injectiony la etiqueta de revisión, todos los comandos dekubectl labelen la documentación de Cloud Service Mesh garantizan de forma explícita que solo se configure uno.Para reiniciar los Pods afectados, sigue los pasos de la siguiente sección.
Malla de servicios administrados
Usa el siguiente comando para ubicar los canales de versiones disponibles:
kubectl -n istio-system get controlplanerevisionEl resultado es similar al siguiente:
NAME AGE asm-managed 6d7hEn el resultado, selecciona el valor en la columna
NAMEque es la etiquetaREVISIONque corresponde al canal de versiones disponible para la versión de Cloud Service Mesh. Aplica esta etiqueta a los espacios de nombres y quita la etiquetaistio-injection(si existe). En el siguiente comando, reemplazaREVISIONpor la etiqueta de revisión que anotaste antes y reemplazaNAMESPACEpor el nombre del espacio de nombres en el que deseas habilitar la inserción automática:kubectl label namespace NAMESPACE istio-injection- istio.io/rev=REVISION --overwritePuedes ignorar el mensaje
"istio-injection not found"en el resultado. Esto significa que el espacio de nombres no tenía la etiquetaistio-injection, como se debe esperar en las nuevas instalaciones de Cloud Service Mesh o en implementaciones nuevas. Debido a que el comportamiento de la inserción automática es indefinido cuando un espacio de nombres tiene laistio-injectiony la etiqueta de revisión, todos los comandos dekubectl labelen la documentación de Cloud Service Mesh garantizan de forma explícita que solo se configure uno.Para reiniciar los Pods afectados, sigue los pasos de la siguiente sección.
Si también implementaste el plano de datos administrado por Google opcional, anota el espacio de nombres
demode la siguiente manera:kubectl annotate --overwrite namespace YOUR_NAMESPACE \ mesh.cloud.google.com/proxy='{"managed":"true"}'
Reinicia los Pods para actualizar los proxies de sidecar
Con la inserción automática de sidecar, puedes actualizar los sidecars para pods existentes con un reinicio de pods:
La forma en la que reinicias los pods dependerá de si se crearon como parte de un objeto Deployment.
Si usaste un Deployment, debes reiniciarlo, de modo que se reinicien todos los pods con sidecars:
kubectl rollout restart deployment -n YOUR_NAMESPACE
Si no usaste un Deployment, borra los pods, y se volverán a crear de forma automática con sidecars:
kubectl delete pod -n YOUR_NAMESPACE --all
Verifica que todos los pods en el espacio de nombres tengan sidecars incorporados:
kubectl get pod -n YOUR_NAMESPACE
En el siguiente resultado de ejemplo del comando anterior, observa que la columna
READYindica que hay dos contenedores para cada una de tus cargas de trabajo: el contenedor principal y el contenedor del proxy de sidecar.NAME READY STATUS RESTARTS AGE YOUR_WORKLOAD 2/2 Running 0 20s ...
¿Qué sigue?
Conoce más sobre:
- Revisiones del plano de control de Cloud Service Mesh
- Implementa cargas de trabajo
- Personaliza la inserción