Migra de Istio 1.11 o posterior a Cloud Service Mesh
En este instructivo, se muestra cómo migrar una aplicación desde un clúster de Google Kubernetes Engine (GKE) que use Istio para llegar a un clúster nuevo mediante la administración Cloud Service Mesh: la malla de servicios de Google completamente administrada y que cumple con Istio.
En este instructivo, harás lo siguiente:
- Crea un clúster de Google Kubernetes Engine nuevo y, luego, instala Istio y la puerta de enlace de entrada de Istio en él. Este clúster actuará como el clúster existente del que deseas migrar.
- Implementa la aplicación de muestra de Online Boutique en el clúster con Istio.
- Crea otro clúster de Google Kubernetes Engine en el mismo proyecto de Google Cloud.
- Habilita Cloud Service Mesh administrado en el segundo clúster y, luego, implementa el Puerta de enlace de entrada de la malla de servicios de Cloud.
- Implementa Online Boutique en el clúster con Cloud Service Mesh para replicar el del clúster con Istio.
- Cambiar el 50% del tráfico de usuarios del clúster con Istio al clúster con con las funciones de división de tráfico de Istio clúster con Istio.
- Para completar la migración de Istio a Cloud Service Mesh, dirige la entrada del sistema de nombres de dominio (DNS) del clúster con Istio al clúster con Cloud Service Mesh.
Implementación de versiones canary
“Implementación de versiones canary” es una técnica que se usa en el desarrollo de software para probar un nuevo de algún software antes de lanzar la nueva versión para todos los usuarios. Integra implica el aumento incremental del porcentaje de tráfico enviado al nuevo versión. En este instructivo, configurarás un clúster nuevo con Cloud Service Mesh administrado y transferirás de forma incremental el tráfico de los usuarios a él. Comenzarás por el 0% del tráfico de usuarios al nuevo clúster, luego el 50% y, por último, el 100%. En producción, debes usar incrementos más pequeños y en mayor cantidad. Si en algún momento notas que el clúster nuevo no puede controlar un porcentaje de tráfico, puedes revertir la actualización reduciendo el porcentaje al 0%.
Plano de control de versiones canary frente a clúster de versiones canary
Existen dos estrategias de uso general para las migraciones de Istio a Cloud Service Mesh administrado:
- Migración del plano de control de la versión canary: En esta estrategia, aprovisionas Cloud Service Mesh administrado en el mismo clúster en el que Istio esté instalado.
- Migración de clústeres de la versión canary: En esta estrategia, creas un clúster nuevo y y, luego, aprovisionarle Cloud Service Mesh administrado.
En este instructivo, conocerás la estrategia de migración de clústeres Canary.
Costos
En este instructivo, se usan los siguientes componentes facturables de Google Cloud:
Cuando completes el instructivo puedes borrar los recursos que hayas creado para evitar que se te sigan cobrando. Para obtener más información, consulta Cómo realizar una limpieza.
Antes de comenzar
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the required APIs.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the required APIs.
Inicia Cloud Shell
En este instructivo, usarás Cloud Shell, que es una shell alojado en Google Cloud que te permite administrar tus recursos de Google Cloud.
Cloud Shell viene preinstalado Google Cloud CLI, kubectl y istioctl de línea de comandos. Gcloud CLI proporciona la CLI principal para Google Cloud.
Abre una sesión de Cloud Shell desde la esquina superior derecha de esta página, haz clic en terminal y, luego, en Confirmar. Se abrirá una sesión de Cloud Shell en un marco inferior. en la página. Completa los siguientes comandos en esa sesión de Cloud Shell.
Descarga el código de muestra
Clona los repositorios de Git que contienen los recursos de Istio y Kubernetes que utilizará:
git clone https://github.com/GoogleCloudPlatform/anthos-service-mesh-samples.git
git clone https://github.com/GoogleCloudPlatform/microservices-demo.git
Configura el clúster con Istio
Crea el clúster y, luego, instala Istio
En esta sección, crearás el clúster que usa Istio. En la práctica, estos serían los clústeres que ya usas.
Reemplaza
PROJECT_ID
por el ID de tu proyecto y crea un clúster nuevo:gcloud container clusters create cluster-with-istio \ --project=PROJECT_ID \ --zone=us-central1-a \ --machine-type=e2-standard-2 --num-nodes=3
Cambia el nombre del contexto del clúster para que sea más fácil trabajar con él:
kubectl config rename-context \ gke_PROJECT_ID_us-central1-a_cluster-with-istio \ cluster-with-istio
Verifica que se haya cambiado el nombre del contexto del clúster:
kubectl config get-contexts --output="name"
Instalar Istio en el clúster Para simplificar, instalarás la aplicación perfil de Istio y de la versión que coincida con tu instalación de
istioctl
.istioctl install
Se te pedirá que escribas "y". y, luego, presiona Enter.
El resultado es similar al siguiente:
This will install the Istio X.Y.Z default profile with ["Istio core" "Istiod" "Ingress gateways"] components into the cluster. Proceed? (y/N) ✔ Istio core installed ✔ Istiod installed ✔ Ingress gateways installed ✔ Installation complete Making this installation the default for injection and validation.
Implementa Online Boutique
Implementarás Online Boutique en un espacio de nombres independiente llamado
onlineboutique
Crea el espacio de nombres:kubectl \ --context cluster-with-istio \ create namespace onlineboutique
Implementa los 12 servicios de Online Boutique, que incluyen un generador de cargas que imita el tráfico de los usuarios:
kubectl \ --namespace=onlineboutique \ --context=cluster-with-istio \ apply -f microservices-demo/release/kubernetes-manifests.yaml
En el paso anterior, también se implementó un servicio llamado
frontend-external
(de tipoLoadBalancer
) a la que se le asigna una dirección IP externa. Sin embargo, solo quieres permitir la entrada pública a través de la implementación de la puerta de enlace de entrada de Istio. Borra el recurso de serviciofrontend-external
:kubectl \ --namespace=onlineboutique \ --context=cluster-with-istio \ delete service frontend-external
Implementa un recurso
Gateway
de Istio y un recursoVirtualService
de Istio para que el tráfico público acceda a Online Boutique:kubectl \ --namespace=onlineboutique \ --context=cluster-with-istio \ apply -f microservices-demo/istio-manifests/frontend-gateway.yaml
Obtén la dirección IP externa de la puerta de enlace de entrada de Istio:
kubectl \ --namespace istio-system \ --context=cluster-with-istio \ get service --output jsonpath='{.items[0].status.loadBalancer.ingress[0].ip}'
Copia la dirección IP externa del servicio
istio-ingressgateway
y, luego, acceder a él a través de tu navegador web. Verás la muestra de Online Boutique .
Configura el clúster nuevo con Cloud Service Mesh administrado
Crea el clúster y aprovisiona la malla de servicios de Cloud administrado
En esta sección, crearás el clúster al que migrarás. Aprovisionarás Cloud Service Mesh administrado y, luego, implementarás Online Boutique para replicar las implementaciones del clúster que usa Istio.
Crea un clúster nuevo:
gcloud container clusters create cluster-with-csm \ --project=PROJECT_ID --zone=us-central1-a \ --machine-type=e2-standard-4 --num-nodes=2 \ --workload-pool PROJECT_ID.svc.id.goog
Cambia el nombre del contexto del clúster para que sea más fácil trabajar con él:
kubectl config rename-context \ gke_PROJECT_ID_us-central1-a_cluster-with-csm \ cluster-with-csm
Verifica que se haya cambiado el nombre del contexto del clúster:
kubectl config get-contexts --output="name"
Habilita Cloud Service Mesh en la flota de tu proyecto. Una flota es una agrupación lógica de clústeres de Kubernetes y otros recursos que se pueden administrar juntos.
gcloud container fleet mesh enable --project PROJECT_ID
El resultado es similar al siguiente:
Waiting for Feature Service Mesh to be created...done.
Registra el clúster en la flota del proyecto:
gcloud container fleet memberships register cluster-with-csm-membership \ --gke-cluster=us-central1-a/cluster-with-csm \ --enable-workload-identity \ --project PROJECT_ID
El resultado es similar al siguiente:
Waiting for membership to be created...done. Finished registering to the Fleet.
Habilita Cloud Service Mesh administrado en el clúster:
gcloud container fleet mesh update \ --management automatic \ --memberships cluster-with-csm-membership \ --project PROJECT_ID
El resultado es similar al siguiente:
Waiting for Feature Service Mesh to be updated...done.
Verifica que se haya aprovisionado Cloud Service Mesh administrado para el clúster y que esté listo para usarse:
gcloud container fleet mesh describe --project PROJECT_ID
Cloud Service Mesh puede tardar unos 10 minutos en aprovisionarse y estar listo para usarse en el clúster. Si ves
controlPlaneManagement.state: DISABLED
ocontrolPlaneManagement.state: PROVISIONING
, deberás volver a ejecutar el comando anterior cada algunos minutos hasta que veascontrolPlaneManagement.state: ACTIVE
.El resultado es similar al siguiente:
createTime: '2022-07-06T01:05:39.110120474Z' membershipSpecs: projects/123456789123/locations/global/memberships/cluster-with-csm-membership: mesh: management: MANAGEMENT_AUTOMATIC membershipStates: projects/123456789123/locations/global/memberships/cluster-with-csm-membership: servicemesh: controlPlaneManagement: details: - code: REVISION_READY details: 'Ready: asm-managed' state: ACTIVE dataPlaneManagement: details: - code: OK details: Service is running. state: ACTIVE state: code: OK description: 'Revision(s) ready for use: asm-managed.' updateTime: '2022-07-06T01:19:24.243993678Z' name: projects/your-project-id/locations/global/features/servicemesh resourceState: state: ACTIVE spec: {} state: state: {} updateTime: '2022-07-06T01:19:27.475885687Z'
Implementa la puerta de enlace de entrada de Cloud Service Mesh
Implementarás la puerta de enlace de entrada de Cloud Service Mesh en un espacio de nombres independiente llamado
asm-ingress
. Crea el espacio de nombres:kubectl \ --context cluster-with-csm \ create namespace asm-ingress
Usa la etiqueta
istio.io/rev=asm-managed
para agregar el espacio de nombresasm-ingress
a la malla de servicio y habilitar la inserción automática de proxy de sidecar.kubectl \ --context cluster-with-csm \ label namespace asm-ingress 'istio.io/rev=asm-managed'
Implementa la malla de servicios de Cloud puerta de enlace de entrada:
kubectl \ --context cluster-with-csm \ --namespace=asm-ingress \ apply -f anthos-service-mesh-samples/docs/shared/asm-ingress-gateway/asm-gateway-deployment-svc.yaml kubectl \ --context cluster-with-csm \ --namespace=asm-ingress \ apply -f anthos-service-mesh-samples/docs/shared/asm-ingress-gateway/gateway.yaml
El resultado es similar al siguiente:
namespace/asm-ingress configured serviceaccount/asm-ingressgateway configured service/asm-ingressgateway configured deployment.apps/asm-ingressgateway configured gateway.networking.istio.io/asm-ingressgateway configured
Implementa Online Boutique
Implementarás Online Boutique en un espacio de nombres independiente llamado
onlineboutique
Crea el espacio de nombres:kubectl \ --context cluster-with-csm \ create namespace onlineboutique
Usa la etiqueta
istio.io/rev=asm-managed
para agregar el espacio de nombresonlineboutique
a la malla de servicios y habilitar la inserción automática de proxy de sidecar.kubectl \ --context cluster-with-csm \ label namespace onlineboutique 'istio.io/rev=asm-managed'
Implementar los 12 servicios de Online Boutique, incluido el generador de cargas que Imita el tráfico de usuarios:
kubectl \ --context cluster-with-csm \ --namespace=onlineboutique \ apply -f anthos-service-mesh-samples/docs/shared/online-boutique/kubernetes-manifests.yaml kubectl \ --context cluster-with-csm \ --namespace=onlineboutique \ apply -f anthos-service-mesh-samples/docs/shared/online-boutique/virtual-service.yaml
Obtén la dirección IP externa de la puerta de enlace de entrada de la malla de servicios de Cloud:
kubectl \ --context cluster-with-csm \ --namespace asm-ingress \ get service --output jsonpath='{.items[0].status.loadBalancer.ingress[0].ip}'
Copia la dirección IP externa del servicio de
asm-ingressgateway
y accede a él a través de tu navegador web. Verás la aplicación de ejemplo Online Boutique. Usarás la dirección IP externa en la próxima sección, así que cópiala en una variable de entorno:export INGRESS_IP_OF_CLUSTER_WITH_MANAGED_ASM=$( \ kubectl \ --context cluster-with-csm \ --namespace asm-ingress \ get service --output jsonpath='{.items[0].status.loadBalancer.ingress[0].ip}' \ )
Probar el clúster con Cloud Service Mesh mediante una implementación de versiones canary
En esta sección, configurarás el clúster con Istio de modo que puedas El 50% del tráfico de usuarios a Online Boutique se traslada a la instancia de Online. Boutique en el clúster con Cloud Service Mesh administrado Para lograrlo, implementa dos recursos de Istio en el clúster con Istio:
- un ServiceEntry para informarle a Istio sobre el extremo de Online Boutique del clúster de Cloud Service Mesh administrado
- un VirtualService para indicarle a la puerta de enlace de entrada de Istio que divida el tráfico en partes iguales.
Configura la dirección IP de la puerta de enlace de entrada del clúster de Cloud Service Mesh administrado dentro del recurso
ServiceEntry
:sed -i "s/1.2.3.4/${INGRESS_IP_OF_CLUSTER_WITH_MANAGED_ASM}/" anthos-service-mesh-samples/docs/migrate-to-managed-asm/service-entry.yaml
Implementa
ServiceEntry
en el clúster con Istio:kubectl \ --context cluster-with-istio \ --namespace onlineboutique \ apply -f anthos-service-mesh-samples/docs/migrate-to-managed-asm/service-entry.yaml
Implementa
VirtualService
en el clúster con Istio:kubectl \ --context cluster-with-istio \ --namespace onlineboutique \ apply -f anthos-service-mesh-samples/docs/migrate-to-managed-asm/virtual-service.yaml
Visita la dirección IP de la puerta de enlace de entrada del clúster con Istio, en tu navegador web:
kubectl \ --context cluster-with-istio \ --namespace istio-system \ get service
Actualiza la página principal de Online Boutique varias veces y revisa el pie de página de la página cada vez. Ten en cuenta que un Pod del clúster con Cloud Service Mesh administrado controla el 50% de las solicitudes.
Migra al clúster con Cloud Service Mesh administrado
En esta sección, se da por sentado que tienes un nombre de dominio y que tienes acceso a su DNS. (Servidor de nombres de dominio).
Agrega un registro A a la configuración de DNS para apuntar el nombre de dominio (p. ej., example.com) a la dirección IP de la puerta de enlace de entrada que se ejecuta en el clúster con Istio.
Para acceder a Online Boutique, visita el nombre de dominio en tu navegador web.
Minimiza el tiempo de actividad (TTL) del registro DNS para asegurarte de poder revertir rápidamente la entrada de DNS si necesitas realizar una reversión.
Establece el registro A de tu nombre de dominio en la dirección IP externa del puerta de enlace de entrada del clúster con Cloud Service Mesh administrado.
Cuando la migración se realice correctamente, borra el clúster con Istio:
gcloud container clusters delete cluster-with-istio \ --zone=us-central1-a \ --project=PROJECT_ID
Limpia
Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos usados en este instructivo, borra el proyecto que contiene los recursos o conserva el proyecto y borra los recursos individuales.
Borrar proyecto
- In the Google Cloud console, go to the Manage resources page.
- In the project list, select the project that you want to delete, and then click Delete.
- In the dialog, type the project ID, and then click Shut down to delete the project.
Borra los recursos
Borra el clúster con Cloud Service Mesh administrado:
gcloud container clusters delete cluster-with-managed-asm \
--zone=us-central1-a \
--project=PROJECT_ID
¿Qué sigue?
- Más información sobre Malla de servicios de nube administrada.
- Obtén información sobre las prácticas recomendadas de seguridad de Cloud Service Mesh.