프로젝트 및 GKE 클러스터 직접 설정

asmcli를 사용하여 Cloud Service Mesh를 설치할 때 --enable_all 플래그나 더욱 세분화된 사용 설정 플래그가 포함된 경우 Google Cloud 클러스터에서 프로젝트와 GKE를 자동으로 구성할 수 있습니다. asmcli를 변경하지 않고 직접 설정하려면 이 페이지의 단계를 따르세요.

이전 버전의 Cloud Service Mesh가 이미 설치되어 있는 경우 최신 Cloud Service Mesh 버전으로 업그레이드하기 위해 asmcli를 사용하기 전에 프로젝트나 클러스터를 변경할 필요가 없습니다.

기본적으로 asmcliistio-ingressgateway를 설치하지 않습니다. 제어 영역과 게이트웨이를 개별적으로 배포하고 관리하는 것이 좋습니다. Cloud Service Mesh는 게이트웨이 배포에 자동 삽입을 지원하므로 Cloud Service Mesh 업그레이드가 더 쉬워집니다. Cloud Service Mesh를 업그레이드한 후 서비스와 마찬가지로 게이트웨이를 다시 시작하여 새 컨트롤 플레인 구성을 선택합니다. 자세한 내용은 게이트웨이 설치 및 업그레이드를 참조하세요.

시작하기 전에

프로젝트 설정

  1. 클러스터가 생성된 프로젝트의 프로젝트 ID를 가져옵니다.

    gcloud

    다음 명령어를 실행합니다.

    gcloud projects list
    

    콘솔

    1. Google Cloud 콘솔의 대시보드 페이지로 이동합니다.

      대시보드 페이지로 이동

    2. 페이지 상단의 프로젝트 드롭다운 목록을 클릭합니다. 선택 창이 나타나면 프로젝트를 선택합니다.

      프로젝트 ID가 프로젝트 대시보드 프로젝트 정보 카드에 표시됩니다.

  2. 다음의 환경 변수를 만듭니다.

    • 프로젝트 ID를 사용하여 워크로드 풀을 설정합니다.

      export WORKLOAD_POOL=PROJECT_ID.svc.id.goog
      
    • 프로젝트 번호를 사용하여 메시 ID를 설정합니다.

      export MESH_ID="proj-PROJECT_NUMBER"
      
  3. 필요한 Identity and Access Management(IAM) 역할을 설정합니다. 프로젝트 소유자인 경우 설치를 완료하는 데 필요한 모든 권한이 있습니다. 프로젝트 소유자가 아닌 경우 다음과 같은 특정 IAM 역할을 부여할 사람이 필요합니다. 다음 명령어에서 PROJECT_ID를 이전 단계의 프로젝트 ID로 바꾸고 GCP_EMAIL_ADDRESS를 Google Cloud에 로그인하는 데 사용하는 계정으로 바꿉니다.

    ROLES=(
    'roles/servicemanagement.admin' \
    'roles/serviceusage.serviceUsageAdmin' \
    'roles/meshconfig.admin' \
    'roles/compute.admin' \
    'roles/container.admin' \
    'roles/resourcemanager.projectIamAdmin' \
    'roles/iam.serviceAccountAdmin' \
    'roles/iam.serviceAccountKeyAdmin' \
    'roles/gkehub.admin')
    for role in "${ROLES[@]}"
    do
      gcloud projects add-iam-policy-binding PROJECT_ID \
        --member "user:GCP_EMAIL_ADDRESS" \
        --role="$role"
    done
    

    asmcli를 실행할 때 --enable_all 또는 --enable_gcp_iam_roles 플래그를 포함하면 필수 IAM 역할이 자동으로 설정됩니다.

  4. 필요한 Google API를 사용 설정합니다.

    gcloud services enable \
        --project=PROJECT_ID \
        mesh.googleapis.com
    

    mesh.googleapis.com 외에도 이 명령어는 다음 API를 사용 설정합니다.

    API 목적 사용 중지할 수 있는가?
    meshconfig.googleapis.com Cloud Service Mesh는 Mesh 구성 API를 사용하여 메시의 구성 데이터를 Google Cloud로 릴레이합니다. 또한 Mesh Configuration API를 사용 설정하면 Google Cloud 콘솔에서 Cloud Service Mesh 페이지에 액세스하고 Cloud Service Mesh 인증 기관을 사용할 수 있습니다. 아니요
    meshca.googleapis.com 관리형 Cloud Service Mesh에서 사용하는 Cloud Service Mesh 인증 기관과 관련이 있습니다. 아니요
    container.googleapis.com Google Kubernetes Engine(GKE) 클러스터를 만드는 데 필요합니다. 아니요
    gkehub.googleapis.com 메시를 Fleet으로 관리하는 데 필요합니다. 아니요
    monitoring.googleapis.com 메시 워크로드에 대한 원격 분석을 캡처하는 데 필요합니다. 아니요
    stackdriver.googleapis.com 서비스 UI를 사용하는 데 필요합니다. 아니요
    opsconfigmonitoring.googleapis.com Google Cloud 외부 클러스터에 서비스 UI를 사용하는 데 필요합니다. 아니요
    connectgateway.googleapis.com 관리형 Cloud Service Mesh 컨트롤 플레인에서 메시 워크로드에 액세스할 수 있도록 하는 데 필요합니다. 예*
    trafficdirector.googleapis.com 가용성이 높고 확장 가능한 관리형 제어 영역을 사용 설정합니다. 예*
    networkservices.googleapis.com 가용성이 높고 확장 가능한 관리형 제어 영역을 사용 설정합니다. 예*
    networksecurity.googleapis.com 가용성이 높고 확장 가능한 관리형 제어 영역을 사용 설정합니다. 예*

    API를 사용 설정하려면 완료하는 데 1분 이상 걸릴 수 있습니다. API가 사용 설정되면 다음과 비슷한 출력이 표시됩니다.

    Operation "operations/acf.601db672-88e6-4f98-8ceb-aa3b5725533c" finished
    successfully.
    

    asmcli를 실행할 때 --enable_all 또는 --enable_apis 플래그를 포함하면 필수 API가 자동으로 사용 설정됩니다.

클러스터 설정

--enable_all 플래그 또는 더욱 세분화된 사용 설정 플래그 중 하나를 포함하면 asmcli에서 자동으로 클러스터를 설정합니다.

  1. Google Cloud CLI의 기본 영역 또는 리전을 설정합니다. 여기서 기본값을 설정하지 않으면 이 페이지의 gcloud container clusters 명령어에 --zone 또는 --region 옵션을 지정해야 합니다.

    • 단일 영역 클러스터가 있는 경우 기본 영역을 설정합니다.

      gcloud config set compute/zone CLUSTER_LOCATION
      
    • 리전 클러스터가 있는 경우 기본 리전을 설정합니다.

      gcloud config set compute/region CLUSTER_LOCATION
      
  2. 워크로드 아이덴티티를 사용 설정합니다.

    gcloud container clusters update CLUSTER_NAME \
        --project=PROJECT_ID \
        --workload-pool=${WORKLOAD_POOL}
    

    워크로드 아이덴티티를 사용 설정하는 데 최대 10~15분이 걸릴 수 있습니다.

  3. Fleet에 클러스터를 등록합니다.

  4. 프로젝트를 설치할 수 있도록 초기화합니다. 무엇보다도 이 명령어는 사이드카 프록시와 같은 데이터 영역 구성요소가 프로젝트의 데이터 및 리소스에 안전하게 액세스할 수 있도록 서비스 계정을 만듭니다. 다음 명령어에서 FLEET_PROJECT_IDFleet 호스트 프로젝트로 바꿉니다.

    curl --request POST  \
     --header "Authorization: Bearer $(gcloud auth print-access-token)" \
     --header "Content-Type: application/json" \
     --data '{"workloadIdentityPools":["FLEET_PROJECT_ID.hub.id.goog","FLEET_PROJECT_ID.svc.id.goog","PROJECT_ID.svc.id.goog"]}' \
     "https://meshconfig.googleapis.com/v1alpha1/projects/PROJECT_ID:initialize"
    

    이 명령어는 빈 중괄호({})를 사용하여 응답합니다.

  5. GKE에서 Cloud Monitoring 및 Cloud Logging을 사용 설정합니다.

    gcloud container clusters update CLUSTER_NAME \
        --project=PROJECT_ID \
        --enable-stackdriver-kubernetes
    

이제 asmcli를 사용하여 프로젝트와 클러스터를 새로 설치할 수 있습니다.

다음 단계