Stai visualizzando la documentazione di Service Mesh precedente alla versione 1.20.

Versioni disponibili

Cloud Service Mesh
Archivio 1.22
Archivio 1.21
Archivio 1.20
Archivio 1.19
Archivio 1.18

Questa pagina è stata tradotta dall'API Cloud Translation.

Pianificazione di un'installazione

Questa pagina fornisce informazioni utili per pianificare una nuova installazione di Cloud Service Mesh.

Personalizzare il piano di controllo

Le funzionalità supportate da Cloud Service Mesh variano a seconda della piattaforma. Ti consigliamo di esaminare le funzionalità supportate per scoprire quali sono supportate sulla tua piattaforma. Alcune funzionalità sono attive per impostazione predefinita e altre opzioni che puoi abilitare, creando un IstioOperator file di overlay. Quando esegui asmcli install, puoi personalizzare il piano di controllo specificando il --custom_overlay con il file di overlay. Come best practice, ti consigliamo di salvare i file di overlay nel sistema di controllo delle versioni.

Il pacchetto anthos-service-mesh su GitHub contiene molti file di overlay. Questi file contengono personalizzazioni alla configurazione predefinita. Puoi utilizzare questi file così come sono o apportare ulteriori modifiche in base alle tue esigenze. Alcuni file sono tenuti a abilitare le funzionalità facoltative di Cloud Service Mesh. Il pacchetto anthos-service-mesh viene scaricato quando esegui asmcli per convalidare il progetto e il cluster.

Quando installi Cloud Service Mesh utilizzando asmcli install, puoi specificare uno o più file overlay con --option o --custom_overlay. Se non devi apportare modifiche ai file in anthos-service-mesh repository, puoi utilizzare --option e lo script recupera il file da GitHub per te. In caso contrario, puoi apportare modifiche al file overlay e utilizzare l'opzione --custom_overlay per trasmetterlo a asmcli.

Scegli un'autorità di certificazione

A seconda del caso d'uso, della piattaforma e del tipo di piano di controllo (all'interno del cluster o gestiti), puoi scegliere una delle seguenti come autorità di certificazione (CA) per il rilascio di certificati TLS reciproco (mTLS):

Questa sezione fornisce informazioni di alto livello su ciascuna di queste opzioni di CA e sui relativi casi d'uso.

Mesh CA

A meno che tu non abbia bisogno di una CA personalizzata, ti consigliamo di utilizzare l'autorità di certificazione Cloud Service Mesh per i seguenti motivi:

L'autorità di certificazione Cloud Service Mesh è un servizio altamente affidabile e scalabile, e ottimizzato per carichi di lavoro con scalabilità dinamica.
Con l'autorità di certificazione Cloud Service Mesh, Google gestisce la sicurezza e la disponibilità del backend della CA.
L'autorità di certificazione Cloud Service Mesh ti consente di fare affidamento su un'unica radice di attendibilità nei diversi cluster.

I certificati emessi dall'autorità di certificazione Cloud Service Mesh includono i seguenti dati su dei servizi della tua applicazione:

ID del progetto Google Cloud
Lo spazio dei nomi GKE
Il nome dell'account di servizio GKE

Servizio CA

Nota sulla piattaforma: CA Service è supportato solo sulla le piattaforme seguenti: cluster GKE su Google Cloud, Google Distributed Cloud e Distributed Cloud. Se esegui asmcli install e specifichi --ca gcp_cas su altre piattaforme, l'installazione sembra essere andata a buon fine, ma i carichi di lavoro non riusciranno a essere avviati.

Oltre a Mesh CA, puoi configurare Cloud Service Mesh per utilizzare Certificate Authority Service. Questa guida ti offre l'opportunità di eseguire l'integrazione con CA Service, consigliato per i seguenti casi d'uso:

Se hai bisogno di autorità di certificazione diverse per firmare i certificati dei carichi di lavoro su cluster diversi.
Se vuoi utilizzare i istiod certificati del plug-in CA personalizzato.
Se devi eseguire il backup delle chiavi di firma in un HSM gestito.
Se operi in un settore altamente regolamentato e sei soggetto a conformità.
Se vuoi collegare la tua CA Cloud Service Mesh a una radice aziendale personalizzata per firmare i certificati dei carichi di lavoro.

Il costo del CA Mesh è incluso nei prezzi di Cloud Service Mesh. La CA Service non è incluso nel prezzo base di Cloud Service Mesh ed è con un addebito separato. Inoltre, CA Service include SLA esplicito, al contrario della CA mesh.

Per questa integrazione, sono concessi tutti i carichi di lavoro in Cloud Service Mesh Ruoli IAM:

privateca.workloadCertificateRequester
privateca.auditor
privateca.template (obbligatorio se utilizzi un modello di certificato)

CA Istio

Ti consigliamo di utilizzare la CA Istio se soddisfi i seguenti criteri:

Il tuo mesh utilizza già la CA Istio e non hai bisogno dei vantaggi abilitati dall'autorità di certificazione Cloud Service Mesh o dal servizio CA.
Hai bisogno di una CA radice personalizzata.
Hai carichi di lavoro esterni a Google Cloud per i quali un servizio CA gestito da Google Cloud non è accettabile.

Prepara la configurazione del gateway

Cloud Service Mesh ti offre la possibilità di eseguire il deployment e gestire i gateway all'interno del tuo mesh di servizi. Un gateway descrive un bilanciatore del carico che opera a livello perimetrale mesh che riceve connessioni HTTP/TCP in entrata o in uscita. I gateway sono proxy Envoy che ti offrono un controllo granulare sul traffico in entrata e in uscita dal mesh.

asmcli non installa istio-ingressgateway. Ti consigliamo di il deployment e la gestione del piano di controllo e dei gateway separatamente. Per ulteriori informazioni, consulta Installare e eseguire l'upgrade dei gateway.

Passaggi successivi

Installa gli strumenti dipendenti e convalida il cluster