Prasyarat Cloud Service Mesh
Halaman ini menjelaskan prasyarat dan persyaratan penginstalan Cloud Service Mesh, seperti pemberian lisensi GKE Enterprise, persyaratan cluster, fleet persyaratan, dan persyaratan umum.
Project cloud
Sebelum memulai:
Pastikan penagihan diaktifkan untuk project Anda.
Pemberian lisensi GKE Enterprise
GKE
Cloud Service Mesh tersedia dengan GKE Enterprise atau sebagai layanan mandiri.
Google API digunakan untuk menentukan cara penagihan Anda. Untuk menggunakan Cloud Service Mesh sebagai
layanan mandiri, jangan aktifkan GKE Enterprise API di project Anda.
asmcli mengaktifkan semua Google API lain yang diperlukan untuk Anda. Sebagai
informasi tentang harga Cloud Service Mesh, lihat Harga.
- Untuk pelanggan GKE Enterprise, pastikan untuk mengaktifkan GKE Enterprise API.
Jika bukan pelanggan GKE Enterprise, Anda masih dapat menginstal Cloud Service Mesh, tetapi elemen dan fitur UI tertentu di Konsol Google Cloud hanya tersedia untuk pelanggan GKE Enterprise. Untuk mengetahui informasi tentang konten yang tersedia untuk subscriber dan non-subscriber, Perbedaan UI GKE Enterprise dan Cloud Service Mesh.
Jika Anda telah mengaktifkan GKE Enterprise API, tetapi ingin menggunakan Cloud Service Mesh sebagai sebuah layanan mandiri, menonaktifkan GKE Enterprise API.
Di luar Google Cloud
Untuk menginstal Cloud Service Mesh secara lokal, di GKE di AWS, di Amazon EKS, atau di Microsoft AKS, Anda harus menjadi pelanggan GKE Enterprise. Pelanggan GKE Enterprise tidak ditagih secara terpisah untuk Cloud Service Mesh karena sudah termasuk dalam harga GKE Enterprise. Untuk informasi selengkapnya, lihat panduan Harga GKE Enterprise.
Persyaratan umum
Agar disertakan dalam mesh layanan, port layanan harus diberi nama dan namanya harus menyertakan protokol port dalam sintaksis berikut:
name: protocol[-suffix]di mana tanda kurung siku menunjukkan akhiran opsional yang harus dimulai dengan tanda hubung. Untuk informasi selengkapnya, lihat Penamaan port layanan.Jika Anda telah membuat perimeter layanan di organisasi, Anda mungkin perlu menambahkan layanan certificate authority Cloud Service Mesh ke keliling. Lihat Menambahkan certificate authority Cloud Service Mesh ke perimeter layanan untuk informasi selengkapnya.
Jika Anda ingin mengubah batas resource default untuk penampung file bantuan
istio-proxy, nilai yang baru harus lebih besar dari nilai default ke menghindari peristiwa kehabisan memori (OOM).Project Google Cloud hanya dapat memiliki satu mesh yang terkait dengannya.
Persyaratan cluster
GKE
Pastikan versi cluster Anda tercantum di Platform yang didukung.
Cluster GKE Anda harus memenuhi persyaratan berikut:
Cluster GKE harus bersifat Standar. Cluster Autopilot adalah hanya didukung dengan Cloud Service Mesh terkelola.
Jenis mesin yang memiliki setidaknya 4 vCPU, seperti
e2-standard-4. Jika jenis mesin untuk cluster Anda tidak memiliki minimal 4 vCPU, ubah jenis mesin seperti yang dijelaskan Memigrasikan workload ke berbagai jenis mesin.Jumlah minimum node bergantung pada jenis mesin Anda. Mesh Layanan Cloud membutuhkan setidaknya 8 vCPU. Jika jenis mesin memiliki 4 vCPU, cluster harus memiliki minimal 2 node. Jika jenis mesin itu memiliki 8 vCPU, cluster hanya memerlukan 1 node. Jika Anda perlu menambahkan node, lihat Mengubah ukuran cluster.
GKE Workload Identity wajib diisi. Sebaiknya Anda aktifkan Workload Identity sebelum menginstal Cloud Service Mesh. Mengaktifkan Workload Identity akan mengubah cara panggilan dari workload Anda ke Google API dilindungi, seperti yang dijelaskan dalam Batasan Workload Identity. Perhatikan bahwa Anda tidak perlu mengaktifkan Server Metadata GKE di kumpulan node yang sudah ada.
Opsional tetapi direkomendasikan, daftarkan cluster di saluran rilis. Sebaiknya Anda mendaftar ke saluran rilis Reguler karena saluran mungkin didasarkan pada versi GKE yang tidak didukung dengan Cloud Service Mesh 1.20.4. Untuk informasi selengkapnya, lihat Platform yang didukung. Ikuti petunjuk di Mendaftarkan cluster yang ada di saluran rilis jika Anda memiliki versi GKE statis.
Jika menginstal Cloud Service Mesh pada cluster pribadi, Anda harus membuka port 15017 di firewall untuk mendapatkan webhook yang digunakan untuk injeksi dan konfigurasi file bantuan otomatis agar validasi bisa berfungsi. Untuk informasi selengkapnya, lihat Membuka port di cluster pribadi.
Pastikan komputer klien tempat Anda menginstal Cloud Service Mesh memiliki konektivitas jaringan ke server API.
Untuk beban kerja Windows Server, Cloud Service Mesh tidak didukung. Jika memiliki node pool Linux dan Windows Server, Anda masih dapat menginstal Cloud Service Mesh dan menggunakannya di workload Linux Anda.
- Setelah menyediakan Cloud Service Mesh, Anda harus hubungi dukungan sebelum memulai Rotasi IP atau rotasi kredensial sertifikat.
Di luar Google Cloud
Pastikan cluster pengguna tempat Anda menginstal Cloud Service Mesh memiliki minimal 4 vCPU, memori 15 GB, dan 4 node.
Pastikan versi cluster Anda tercantum di Platform yang didukung.
Pastikan komputer klien tempat Anda menginstal Cloud Service Mesh memiliki konektivitas jaringan ke server API.
Jika Anda men-deploy file bantuan di pod aplikasi yang memiliki konektivitas langsung ke layanan CA (seperti
meshca.googleapis.comdanprivateca.googleapis.com) tidak tersedia, Anda harus mengonfigurasi proxy HTTPS berbasisCONNECTeksplisit.Untuk cluster publik dengan kumpulan aturan firewall keluar yang memblokir aturan tersirat, pastikan Anda memiliki mengonfigurasi aturan HTTP/HTTPS dan DNS untuk menjangkau Google API publik.
Persyaratan perangkat
Dengan Cloud Service Mesh 1.11 dan yang lebih baru, semua cluster harus terdaftar di
fleet, dan
identitas workload armada
harus diaktifkan. Anda bisa
menyiapkan cluster
sendiri, atau mengizinkan asmcli mendaftarkan cluster selama
memenuhi persyaratan berikut:
GKE: (berlaku untuk Cloud Service Mesh dalam cluster dan terkelola) Mengaktifkan GKE Workload Identity di cluster Google Kubernetes Engine Anda, jika belum diaktifkan. Selain itu, Anda harus daftarkan cluster menggunakan Workload Identity fleet.
Cluster GKE di luar Google Cloud: (berlaku untuk Cloud Service Mesh dalam cluster) Google Distributed Cloud, Google Distributed Cloud, GKE di AWS, dan GKE di Azure otomatis terdaftar ke fleet project Anda pada waktu pembuatan cluster. Sejak GKE Enterprise 1.8, semua jenis cluster ini secara otomatis mengaktifkan fleet Workload Identity saat terdaftar. Cluster terdaftar yang sudah ada akan diperbarui menggunakan Workload Identity fleet saat diupgrade ke GKE Enterprise 1.8.
Cluster Amazon EKS: (berlaku untuk Cloud Service Mesh dalam cluster) Cluster harus memiliki Penyedia Identitas IAM OIDC publik. Ikuti petunjuk di Membuat penyedia IAM OIDC untuk cluster Anda untuk memeriksa apakah ada penyedia, dan membuat penyedia jika perlu.
Saat menjalankan asmcli install, Anda menentukan project ID
dari
project host perangkat.
asmcli mendaftarkan cluster jika belum terdaftar.