Merencanakan penginstalan

Halaman ini memberikan informasi untuk membantu Anda merencanakan penginstalan baru Cloud Service Mesh.

Menyesuaikan bidang kontrol

Fitur yang didukung Cloud Service Mesh berbeda-beda di setiap platform. Sebaiknya tinjau Fitur yang didukung untuk mempelajari fitur yang didukung di platform Anda. Beberapa fitur diaktifkan secara default, dan fitur lainnya dapat Anda aktifkan secara opsional dengan membuat file overlay IstioOperator. Saat menjalankan asmcli install, Anda dapat menyesuaikan bidang kontrol dengan menentukan opsi --custom_overlay dengan file overlay. Sebagai praktik terbaik, sebaiknya simpan file overlay di sistem kontrol versi Anda.

Paket anthos-service-mesh di GitHub berisi banyak file overlay. File ini berisi penyesuaian umum pada konfigurasi default. Anda dapat menggunakan file ini apa adanya, atau Anda dapat melakukan perubahan tambahan pada file tersebut sesuai kebutuhan. Beberapa file diperlukan untuk mengaktifkan fitur Cloud Service Mesh opsional. Paket anthos-service-mesh didownload saat Anda menjalankan asmcli untuk memvalidasi project dan cluster.

Saat menginstal Cloud Service Mesh menggunakan asmcli install, Anda dapat menentukan satu atau beberapa file overlay dengan --option atau --custom_overlay. Jika tidak perlu membuat perubahan pada file di repositori anthos-service-mesh, Anda dapat menggunakan --option, dan skrip akan mengambil file dari GitHub untuk Anda. Jika tidak, Anda dapat membuat perubahan pada file overlay, lalu menggunakan opsi --custom_overlay untuk meneruskannya ke asmcli.

Memilih Certificate Authority

Bergantung pada kasus penggunaan, platform, dan jenis bidang kontrol (dalam cluster atau terkelola), Anda dapat memilih salah satu dari berikut ini sebagai certificate authority (CA) untuk menerbitkan sertifikat TLS (mTLS) bersama:

Bagian ini memberikan informasi tingkat tinggi tentang setiap opsi CA ini dan kasus penggunaannya.

CA Mesh

Kecuali jika Anda memerlukan CA kustom, sebaiknya gunakan certificate authority Cloud Service Mesh karena alasan berikut:

Certificate authority Cloud Service Mesh adalah layanan yang sangat andal dan skalabel yang dioptimalkan untuk workload yang diskalakan secara dinamis.
Dengan otoritas sertifikat Cloud Service Mesh, Google mengelola keamanan dan ketersediaan backend CA.
Otoritas sertifikat Cloud Service Mesh memungkinkan Anda mengandalkan satu root of trust di seluruh cluster.

Sertifikat dari Certificate Authority Cloud Service Mesh menyertakan data berikut tentang layanan aplikasi Anda:

ID project Google Cloud
Namespace GKE
Nama akun layanan GKE

CA Service

Catatan platform: Layanan CA hanya didukung di platform berikut: cluster GKE di Google Cloud, Google Distributed Cloud, dan Distributed Cloud. Jika Anda menjalankan asmcli install dan menentukan --ca gcp_cas di platform lain, penginstalan tampaknya berhasil, tetapi beban kerja Anda akan gagal dimulai.

Selain Mesh CA, Anda dapat mengonfigurasi Cloud Service Mesh untuk menggunakan Certificate Authority Service. Panduan ini memberi Anda kesempatan untuk berintegrasi dengan Layanan CA, yang direkomendasikan untuk kasus penggunaan berikut:

Jika Anda memerlukan otoritas sertifikasi yang berbeda untuk menandatangani sertifikat workload di cluster yang berbeda.
Jika Anda ingin menggunakan istiod Sertifikat plugin CA Kustom.
Jika Anda perlu mencadangkan kunci penandatanganan di HSM terkelola.
Jika Anda berada di industri yang diatur dengan regulasi ketat dan tunduk pada kepatuhan.
Jika Anda ingin membuat rantai CA Cloud Service Mesh ke root CA perusahaan kustom untuk menandatangani sertifikat workload.

Biaya CA Mesh disertakan dalam harga Cloud Service Mesh. Layanan CA tidak disertakan dalam harga dasar Cloud Service Mesh dan ditagih secara terpisah. Selain itu, Layanan CA dilengkapi dengan SLA eksplisit, tetapi Mesh CA tidak.

Untuk integrasi ini, semua beban kerja di Cloud Service Mesh diberi peran IAM:

privateca.workloadCertificateRequester
privateca.auditor
privateca.template (wajib jika menggunakan template sertifikat)

CA Istio

Sebaiknya gunakan CA Istio jika Anda memenuhi kriteria berikut:

Mesh Anda sudah menggunakan CA Istio dan Anda tidak memerlukan manfaat yang diaktifkan oleh Certificate Authority atau Layanan CA Cloud Service Mesh.
Anda memerlukan CA root kustom.
Anda memiliki workload di luar Google Cloud tempat layanan CA yang dikelola Google Cloud tidak dapat diterima.

Menyiapkan konfigurasi gateway

Cloud Service Mesh memberi Anda opsi untuk men-deploy dan mengelola gateway sebagai bagian dari mesh layanan Anda. Gateway menjelaskan load balancer yang beroperasi di tepi mesh yang menerima koneksi HTTP/TCP masuk atau keluar. Gateway adalah proxy Envoy yang memberi Anda kontrol terperinci atas traffic yang masuk dan keluar dari mesh.

asmcli tidak menginstal istio-ingressgateway. Sebaiknya Anda men-deploy dan mengelola bidang kontrol dan gateway secara terpisah. Untuk mengetahui informasi selengkapnya, lihat Menginstal dan mengupgrade gateway.

Apa langkah selanjutnya?

Menginstal alat dependen dan memvalidasi cluster