Requisitos previos de Cloud Service Mesh
En esta página, se describen los requisitos previos y los requisitos para la instalación Cloud Service Mesh, como las licencias de GKE Enterprise, los requisitos del clúster, la flota generales y generales.
Proyecto de Cloud
Antes de comenzar:
Verifica que la facturación esté habilitada para tu proyecto.
Licencias de GKE Enterprise
GKE
Cloud Service Mesh está disponible con GKE Enterprise o como un servicio independiente.
Las API de Google se utilizan para determinar cómo se te factura. Para usar Cloud Service Mesh
un servicio independiente, no habilites la API de GKE Enterprise en tu proyecto.
La secuencia de comandos habilita todas las otras
asmcliAPI de Google requeridas
para ti. Para
Para obtener más información sobre los precios de Cloud Service Mesh, consulta Precios.
- Los suscriptores de GKE Enterprise deben asegurarse de habilitar la API de GKE Enterprise.
Aunque no tengas una suscripción a GKE Enterprise, puedes instalar Cloud Service Mesh, pero algunos elementos de la IU y funciones de la consola de Google Cloud son Solo está disponible para suscriptores de GKE Enterprise. Para obtener información sobre qué está disponible para suscriptores y usuarios no suscritos, consulta Diferencias entre la IU de GKE Enterprise y Cloud Service Mesh.
Si habilitaste la API de GKE Enterprise, pero quieres usar Cloud Service Mesh como un servicio independiente, inhabilitar la API de GKE Enterprise.
Fuera de Google Cloud
Para instalar Cloud Service Mesh de forma local, en GKE en AWS, en Amazon EKS o Microsoft AKS, debes ser cliente de GKE Enterprise. Los clientes de GKE Enterprise no reciben una factura independiente de Cloud Service Mesh debido a ya se incluye en los precios de GKE Enterprise. Para obtener más información, consulta la guía de precios de GKE Enterprise.
Requisitos generales
Para que se los incluya en la malla de servicios, los puertos de servicio deben tener un nombre, y ese nombre debe incluir el protocolo del puerto en la siguiente sintaxis:
name: protocol[-suffix], en la que los corchetes indican un sufijo opcional que debe comenzar con un guion. Para obtener más información, consulta Asigna nombres a puertos de servicio.Si creaste un perímetro de servicio en tu organización, es posible que debas agregar el servicio de autoridad certificadora de Cloud Service Mesh al perímetro. Consulta Agrega la autoridad certificadora de Cloud Service Mesh a un perímetro de servicio para obtener más información.
Si deseas cambiar los límites de recursos predeterminados para el contenedor del archivo adicional
istio-proxy, los valores nuevos deben ser mayores que los valores predeterminados a fin de evitar eventos de memoria (OOM).Un proyecto de Google Cloud solo puede tener una malla asociada.
Requisitos del clúster
GKE
Verifica que la versión del clúster se enumere en las plataformas compatibles.
El clúster de GKE debe cumplir con los siguientes requisitos:
El clúster de GKE debe ser estándar. Los clústeres de Autopilot son solo es compatible con Cloud Service Mesh administrado.
Un tipo de máquina que tenga, al menos, 4 CPU virtuales, como
e2-standard-4. Si el tipo de máquina del clúster no tiene al menos 4 CPU virtuales, cámbialo como se describe en Migra cargas de trabajo a diferentes tipos de máquina.La cantidad mínima de nodos depende del tipo de máquina. Malla de servicios en la nube requiere al menos 8 CPU virtuales. Si el tipo de máquina tiene 4 CPU virtuales, tu clúster debe tener al menos 2 nodos. Si el tipo de máquina tiene 8 CPU virtuales, el clúster solo necesita 1 nodo. Si necesitas agregar nodos, consulta Cambia el tamaño de un clúster.
Se requiere Workload Identity de GKE. Te recomendamos Habilita Workload Identity antes de instalar Cloud Service Mesh. Habilitar Workload Identity cambia la forma en que se protegen las llamadas de tus cargas de trabajo a las API de Google, como se describe en Limitaciones de Workload Identity. Ten en cuenta que no necesitas habilitar el Servidor de metadatos de GKE en los grupos de nodos existentes.
Aunque es una acción opcional, se recomienda inscribir el clúster en un canal de versiones. Recomendamos que te inscribas en el canal de versiones Normal porque otros es posible que se basen en una versión de GKE que no es compatible con Cloud Service Mesh 1.21.4. Para obtener más información, consulta Plataformas compatibles. Sigue las instrucciones en Inscribe un clúster existente en un canal de versiones si tienes una versión estática de GKE.
Si instalas Cloud Service Mesh en un clúster privado, debes abrir un puerto 15017 en el firewall para obtener los webhooks que se usan inserción automática de sidecar y configuración la validación para que funcione. Para obtener más información, consulta Abre un puerto en un clúster privado.
Asegúrate de que la máquina cliente desde la que instalas Cloud Service Mesh tenga conectividad de red al servidor de la API.
Para las cargas de trabajo de Windows Server, no se admite Cloud Service Mesh. Si el clúster tiene grupos de nodos de Linux y Windows Server, puedes instalar Cloud Service Mesh y usarlo en tus cargas de trabajo de Linux.
- Después de aprovisionar Cloud Service Mesh, comunícate con el equipo de asistencia antes de iniciar Rotación de IP o rotación de credenciales de certificados.
Fuera de Google Cloud
Asegúrate de que el clúster de usuario en el que instalas Cloud Service Mesh tenga un mínimo de 4 CPU virtuales, 15 GB de memoria y 4 nodos.
Verifica que la versión del clúster se enumere en las plataformas compatibles.
Asegúrate de que la máquina cliente desde la que instalas Cloud Service Mesh tenga conectividad de red al servidor de la API.
Si implementas sidecars en pods de aplicaciones en los que la conectividad directa a los servicios de CA (como
meshca.googleapis.comyprivateca.googleapis.com) no está disponible; debes configurar un proxy HTTPS basado enCONNECTexplicito.Para clústeres públicos con reglas de firewall de salida configuradas que bloquean reglas implícitas, asegúrate de tener configurar reglas HTTP/HTTPS y DNS para llegar a las APIs públicas de Google.
Requisitos de la flota
Con Cloud Service Mesh 1.11 y versiones posteriores, todos los clústeres deben registrarse en un
flota y
identidad de carga de trabajo de flota
debe habilitarse. Puedes configurar los clústeres o puedes permitir que asmcli registre los clústeres siempre que cumplan con los siguientes requisitos:
GKE: (se aplica a la malla de servicios de Cloud administrada y en el clúster) Habilitar GKE Workload Identity en tu clúster de Google Kubernetes Engine si aún no está habilitado. Además, debes registrar el clúster mediante Workload Identity.
Clústeres de GKE fuera de Google Cloud: (se aplica a la malla de servicios de Cloud en el clúster) Google Distributed Cloud, Google Distributed Cloud, GKE en AWS y GKE en Azure son automáticamente en la flota de proyectos cuando se crea el clúster. Hasta el GKE Enterprise 1.8, todos estos tipos de clústeres habilitan la flota automáticamente y Workload Identity cuando se registra. Se actualizan los clústeres registrados existentes. para usar Workload Identity de la flota cuando se actualicen a GKE Enterprise 1.8.
Clústeres de Amazon EKS: (se aplica a la malla de servicios de Cloud en el clúster) El clúster debe tener un proveedor de identidad de OIDC de IAM público. Sigue las instrucciones que se indican en Crea un proveedor de OIDC de IAM para tu clúster para comprobar si existe un proveedor y crear uno si es necesario.
Cuando ejecutas asmcli install, especificas el ID del proyecto del proyecto host de la flota.
asmcli registra el clúster si aún no lo está.