Memasukkan proxy sidecar dengan Cloud Service Mesh

Dokumen ini membahas cara mengonfigurasi injeksi proxy sidecar dengan Cloud Service Mesh untuk meningkatkan keamanan, keandalan, dan visibilitas jaringan. Fungsi ini diabstrak dari penampung utama aplikasi dan diterapkan dalam proxy out-of-process umum (sidecar), yang dikirim sebagai penampung terpisah di Pod yang sama. Hal ini menyediakan fitur Cloud Service Mesh tanpa mendesain ulang aplikasi produksi Anda untuk berpartisipasi dalam mesh layanan.

Injeksi proxy sidecar otomatis (injeksi otomatis) terjadi saat Cloud Service Mesh mendeteksi label namespace yang Anda konfigurasikan untuk Pod workload. Proxy mencegat semua traffic masuk dan keluar ke workload serta berkomunikasi dengan Cloud Service Mesh.

Mengaktifkan injeksi sidecar otomatis

Cara yang direkomendasikan untuk memasukkan proxy sidecar adalah menggunakan penginjeksi sidecar otomatis berbasis webhook, meskipun Anda dapat memperbarui konfigurasi Kubernetes Pod secara manual.

Untuk mengaktifkan injeksi otomatis, Anda harus memberi label pada namespace dengan label injeksi default jika tag default disiapkan, atau dengan label revisi ke namespace Anda. Label yang Anda tambahkan juga bergantung pada apakah Anda men-deploy Cloud Service Mesh terkelola (dengan fleet API atau dengan asmcli), atau menginstal bidang kontrol dalam cluster. Label ini digunakan oleh webhook penginjeksi sidecar untuk mengaitkan sidecar yang dimasukkan dengan revisi bidang kontrol tertentu.

Untuk mengaktifkan injeksi otomatis:

Dalam cluster

  1. Gunakan perintah berikut untuk menemukan label revisi di istiod:

    kubectl -n istio-system get pods -l app=istiod --show-labels
    

    Outputnya terlihat mirip dengan yang berikut ini:

    NAME                                READY   STATUS    RESTARTS   AGE   LABELS
    istiod-asm-1234-1-5788d57586-bljj4   1/1     Running   0          23h   app=istiod,istio.io/rev=asm-1234-1,istio=istiod,pod-template-hash=5788d57586
    istiod-asm-1234-1-5788d57586-vsklm   1/1     Running   1          23h   app=istiod,istio.io/rev=asm-1234-1,istio=istiod,pod-template-hash=5788d57586

    Dalam output, di kolom LABELS, catat nilai label revisi istiod, yang mengikuti awalan istio.io/rev=. Dalam contoh ini, nilainya adalah asm-1234-1.

  2. Terapkan label revisi ke namespace dan hapus label istio-injection (jika ada). Dalam perintah berikut, NAMESPACE adalah nama namespace tempat Anda ingin mengaktifkan injeksi otomatis, dan REVISION adalah label revisi yang Anda catat di langkah sebelumnya.

    kubectl label namespace NAMESPACE  istio-injection- istio.io/rev=REVISION --overwrite
    

    Anda dapat mengabaikan pesan "istio-injection not found" dalam output. Artinya, namespace sebelumnya tidak memiliki label istio-injection, yang akan Anda temukan dalam penginstalan baru Cloud Service Mesh atau deployment baru. Karena perilaku injeksi otomatis tidak ditentukan saat namespace memiliki label istio-injection dan revisi, semua perintah kubectl label dalam dokumentasi Cloud Service Mesh secara eksplisit memastikan bahwa hanya satu yang ditetapkan.

  3. Mulai ulang pod yang terpengaruh, menggunakan langkah-langkah di bagian berikutnya.

Mesh layanan terkelola

  1. Gunakan perintah berikut untuk menemukan saluran rilis yang tersedia:

    kubectl -n istio-system get controlplanerevision
    

    Outputnya mirip dengan hal berikut ini:

    NAME                AGE
    asm-managed         6d7h
    

    Dalam output, pilih nilai di kolom NAME adalah label REVISION yang sesuai dengan saluran rilis yang tersedia untuk versi Cloud Service Mesh. Terapkan label ini ke namespace Anda, dan hapus label istio-injection (jika ada). Pada perintah berikut, ganti REVISION dengan label revisi yang Anda catat di atas, dan ganti NAMESPACE dengan nama namespace tempat Anda ingin mengaktifkan injeksi otomatis:

    kubectl label namespace NAMESPACE  istio-injection- istio.io/rev=REVISION --overwrite
    

    Anda dapat mengabaikan pesan "istio-injection not found" dalam output. Artinya, namespace sebelumnya tidak memiliki label istio-injection, yang akan Anda temukan dalam penginstalan baru Cloud Service Mesh atau deployment baru. Karena perilaku injeksi otomatis tidak ditentukan saat namespace memiliki label istio-injection dan revisi, semua perintah kubectl label dalam dokumentasi Cloud Service Mesh secara eksplisit memastikan bahwa hanya satu yang ditetapkan.

  2. Mulai ulang pod yang terpengaruh, menggunakan langkah-langkah di bagian berikutnya.

  3. Jika Anda juga men-deploy data plane yang dikelola Google opsional, anotasikan namespace demo sebagai berikut:

    kubectl annotate --overwrite namespace YOUR_NAMESPACE \
    mesh.cloud.google.com/proxy='{"managed":"true"}'
    

Mulai ulang Pod untuk mengupdate proxy sidecar

Dengan injeksi sidecar otomatis, Anda dapat mengupdate sidecar untuk Pod yang ada dengan memulai ulang Pod:

Cara memulai ulang Pod bergantung pada apakah Pod dibuat sebagai bagian dari Deployment.

  1. Jika Anda menggunakan Deployment, mulai ulang Deployment, yang akan memulai ulang semua Pod dengan sidecar:

    kubectl rollout restart deployment -n YOUR_NAMESPACE

    Jika Anda tidak menggunakan Deployment, hapus Pod, dan Pod akan otomatis dibuat ulang dengan sidecar:

    kubectl delete pod -n YOUR_NAMESPACE --all
  2. Pastikan semua Pod di namespace telah memasukkan sidecar:

    kubectl get pod -n YOUR_NAMESPACE

    Dalam contoh output berikut dari perintah sebelumnya, perhatikan bahwa kolom READY menunjukkan ada dua penampung untuk setiap beban kerja Anda: penampung utama dan penampung untuk proxy sidecar.

    NAME                    READY   STATUS    RESTARTS   AGE
    YOUR_WORKLOAD           2/2     Running   0          20s
    ...
    

Langkah selanjutnya

Pelajari lebih lanjut: