Configurare un mesh multi-cloud o ibrido
Questa pagina spiega come configurare un mesh multicloud o ibrido per le seguenti piattaforme:
- Ibrido: GKE su Google Cloud e Google Distributed Cloud (anteprima)
- Ibrido: GKE su Google Cloud e Google Distributed Cloud (anteprima)
- Multi-cloud: GKE su Google Cloud e Amazon EKS (anteprima)
Seguendo queste istruzioni, configuri due cluster, ma puoi estendere questo processo per incorporare un numero qualsiasi di cluster nella tua mesh.
Prerequisiti
- Tutti i cluster devono essere registrati nello stesso progetto host del parco risorse.
- Tutti i cluster GKE devono trovarsi in una configurazione VPC condiviso sulla stessa rete.
- L'indirizzo del control plane Kubernetes del cluster e l'indirizzo del gateway devono essere raggiungibili da ogni cluster nel mesh. Il progetto Google Cloud in cui si trovano i cluster GKE deve essere autorizzato a creare tipi di bilanciamento del carico esterno. Ti consigliamo di utilizzare reti autorizzate e regole firewall VPC per limitare l'accesso.
- I cluster privati, inclusi i cluster privati GKE, non sono supportati. Se utilizzi cluster on-premise, inclusi Google Distributed Cloud e Google Distributed Cloud, l'indirizzo del control plane Kubernetes e l'indirizzo del gateway devono essere raggiungibili dai pod nei cluster GKE. Ti consigliamo di utilizzare CloudVPN per connettere la subnet del cluster GKE alla rete del cluster on-premise.
- Se utilizzi Istio CA, utilizza lo stesso certificato radice personalizzato per tutti i cluster.
Prima di iniziare
Questa guida presuppone che tu abbia installato Cloud Service Mesh utilizzando lo strumento asmcli
. Ti servono
asmcli
e il pacchetto di configurazione che asmcli
scarica nella directory
che hai specificato in --output_dir quando hai eseguito asmcli install
. Per ulteriori
informazioni, vedi
Installare gli strumenti dipendenti e convalidare il cluster
per:
- Installare gli strumenti richiesti
- Scarica asmcli
- Concedere le autorizzazioni di amministratore del cluster
- Convalidare il progetto e il cluster
Devi avere accesso ai file kubeconfig per tutti i cluster che stai configurando nel mesh. Per il cluster GKE, per creare un nuovo file kubeconfig per il cluster, puoi esportare la variabile di ambiente KUBECONFIG
con il percorso completo del file come valore nel terminale e generare la voce kubeconfig.
Configura le variabili di ambiente e i segnaposto
Quando installi il gateway east-west, hai bisogno delle seguenti variabili di ambiente.
Crea variabili di ambiente per i nomi delle reti:
Per impostazione predefinita, i cluster GKE utilizzano il nome della rete del cluster:
export NETWORK_1="PROJECT_ID-CLUSTER_NETWORK" ``````
Altri cluster utilizzano
default
:export NETWORK_2="default" ``````
Se hai installato Cloud Service Mesh su altri cluster con valori diversi per
--network_id
, devi passare gli stessi valori a NETWORK_2
.
Installare il gateway est-ovest
Installa un gateway in CLUSTER_1 (il tuo cluster GKE) dedicato al traffico est-ovest verso CLUSTER_2 (il tuo cluster multicloud o on-premise):
asm/istio/expansion/gen-eastwest-gateway.sh \ --mesh ${MESH_ID} \ --network ${NETWORK_1} \ --revision asm-11910-9 | \ ./istioctl --kubeconfig=PATH_TO_KUBECONFIG_1 install -y -f -
Tieni presente che questo gateway è pubblico su internet per impostazione predefinita. I sistemi di produzione potrebbero richiedere ulteriori limitazioni di accesso, ad esempio regole firewall, per prevenire attacchi esterni.
Installa un gateway in CLUSTER_2 dedicato al traffico est-ovest per CLUSTER_1.
asm/istio/expansion/gen-eastwest-gateway.sh \ --mesh ${MESH_ID} \ --network ${NETWORK_2} \ --revision asm-11910-9 | \ ./istioctl --kubeconfig=PATH_TO_KUBECONFIG_2 install -y -f -
Esporre i servizi
Poiché i cluster si trovano su reti separate, devi esporre tutti i servizi
(\*.local
) sul gateway est-ovest in entrambi i cluster. Anche se questo gateway è
pubblico su internet, i servizi che si trovano dietro possono essere accessibili solo da servizi con
un certificato mTLS e un ID workload attendibili, proprio come se si trovassero sulla stessa
rete.
Esporre i servizi tramite il gateway est-ovest per ogni cluster
kubectl --kubeconfig=PATH_TO_KUBECONFIG_1 apply -n istio-system -f \
asm/istio/expansion/expose-services.yaml
kubectl --kubeconfig=PATH_TO_KUBECONFIG_2 apply -n istio-system -f \
asm/istio/expansion/expose-services.yaml
Abilitare il rilevamento degli endpoint
Esegui il comando asmcli create-mesh
per abilitare l'individuazione degli endpoint. Questo
esempio mostra solo due cluster, ma puoi eseguire il comando per abilitare
il rilevamento degli endpoint su cluster aggiuntivi, in base al
limite del servizio GKE Hub.
./asmcli create-mesh \
FLEET_PROJECT_ID \
PATH_TO_KUBECONFIG_1 \
PATH_TO_KUBECONFIG_2
Verificare la connettività multicluster
Questa sezione spiega come eseguire il deployment dei servizi HelloWorld
e Sleep
di esempio nell'ambiente multi-cluster per verificare che il bilanciamento del carico tra cluster funzioni.
Attiva l'inserimento di sidecar
Individua il valore dell'etichetta di revisione, che utilizzerai nei passaggi successivi.
Utilizza il seguente comando per individuare l'etichetta della revisione, che utilizzerai nei passaggi successivi.
kubectl -n istio-system get pods -l app=istiod --show-labels
L'output è simile al seguente:
NAME READY STATUS RESTARTS AGE LABELS istiod-asm-173-3-5788d57586-bljj4 1/1 Running 0 23h app=istiod,istio.io/rev=asm-173-3,istio=istiod,pod-template-hash=5788d57586 istiod-asm-173-3-5788d57586-vsklm 1/1 Running 1 23h app=istiod,istio.io/rev=asm-173-3,istio=istiod,pod-template-hash=5788d57586
Nell'output, nella colonna LABELS
, prendi nota del valore dell'etichetta di revisione istiod
, che segue il prefisso istio.io/rev=
. In questo esempio,
il valore è asm-173-3
. Utilizza il valore della revisione nei passaggi della sezione successiva.
Installa il servizio HelloWorld
Crea lo spazio dei nomi di esempio e la definizione del servizio in ogni cluster. Nel comando seguente, sostituisci REVISION con l'etichetta di revisione
istiod
che hai annotato nel passaggio precedente.for CTX in ${CTX_1} ${CTX_2} do kubectl create --context=${CTX} namespace sample kubectl label --context=${CTX} namespace sample \ istio-injection- istio.io/rev=REVISION --overwrite done
dove REVISION è l'etichetta di revisione
istiod
che hai annotato in precedenza.L'output è:
label "istio-injection" not found. namespace/sample labeled
Puoi ignorare tranquillamente
label "istio-injection" not found.
Crea il servizio HelloWorld in entrambi i cluster:
kubectl create --context=${CTX_1} \ -f ${SAMPLES_DIR}/samples/helloworld/helloworld.yaml \ -l service=helloworld -n sample
kubectl create --context=${CTX_2} \ -f ${SAMPLES_DIR}/samples/helloworld/helloworld.yaml \ -l service=helloworld -n sample
Esegui il deployment di HelloWorld v1 e v2 in ogni cluster
Esegui il deployment di
HelloWorld v1
suCLUSTER_1
e div2
suCLUSTER_2
, il che ti aiuterà in seguito a verificare il bilanciamento del carico tra cluster:kubectl create --context=${CTX_1} \ -f ${SAMPLES_DIR}/samples/helloworld/helloworld.yaml \ -l version=v1 -n sample
kubectl create --context=${CTX_2} \ -f ${SAMPLES_DIR}/samples/helloworld/helloworld.yaml \ -l version=v2 -n sample
Verifica che
HelloWorld v1
ev2
siano in esecuzione utilizzando i seguenti comandi. Verifica che l'output sia simile a quello mostrato:kubectl get pod --context=${CTX_1} -n sample
NAME READY STATUS RESTARTS AGE helloworld-v1-86f77cd7bd-cpxhv 2/2 Running 0 40s
kubectl get pod --context=${CTX_2} -n sample
NAME READY STATUS RESTARTS AGE helloworld-v2-758dd55874-6x4t8 2/2 Running 0 40s
Esegui il deployment del servizio per il sonno
Esegui il deployment del servizio
Sleep
in entrambi i cluster. Questo pod genera traffico di rete artificiale a scopo dimostrativo:for CTX in ${CTX_1} ${CTX_2} do kubectl apply --context=${CTX} \ -f ${SAMPLES_DIR}/samples/sleep/sleep.yaml -n sample done
Attendi l'avvio del servizio
Sleep
in ogni cluster. Verifica che l'output sia simile a quello mostrato:kubectl get pod --context=${CTX_1} -n sample -l app=sleep
NAME READY STATUS RESTARTS AGE sleep-754684654f-n6bzf 2/2 Running 0 5s
kubectl get pod --context=${CTX_2} -n sample -l app=sleep
NAME READY STATUS RESTARTS AGE sleep-754684654f-dzl9j 2/2 Running 0 5s
Verifica il bilanciamento del carico tra cluster
Chiama il servizio HelloWorld
più volte e controlla l'output per verificare
risposte alternate dalle versioni 1 e 2:
Chiama il servizio
HelloWorld
:kubectl exec --context="${CTX_1}" -n sample -c sleep \ "$(kubectl get pod --context="${CTX_1}" -n sample -l \ app=sleep -o jsonpath='{.items[0].metadata.name}')" \ -- /bin/sh -c 'for i in $(seq 1 20); do curl -sS helloworld.sample:5000/hello; done'
L'output è simile a quello mostrato:
Hello version: v2, instance: helloworld-v2-758dd55874-6x4t8 Hello version: v1, instance: helloworld-v1-86f77cd7bd-cpxhv ...
Chiama di nuovo il servizio
HelloWorld
:kubectl exec --context="${CTX_2}" -n sample -c sleep \ "$(kubectl get pod --context="${CTX_2}" -n sample -l \ app=sleep -o jsonpath='{.items[0].metadata.name}')" \ -- /bin/sh -c 'for i in $(seq 1 20); do curl -sS helloworld.sample:5000/hello; done'
L'output è simile a quello mostrato:
Hello version: v2, instance: helloworld-v2-758dd55874-6x4t8 Hello version: v1, instance: helloworld-v1-86f77cd7bd-cpxhv ...
Congratulazioni, hai verificato il tuo Cloud Service Mesh multicluster con bilanciamento del carico.
Esegui la pulizia
Al termine della verifica del bilanciamento del carico, rimuovi i servizi HelloWorld
e Sleep
dal cluster.
kubectl delete ns sample --context ${CTX_1} kubectl delete ns sample --context ${CTX_2}