Merencanakan penginstalan

Halaman ini memberikan informasi untuk membantu Anda merencanakan penginstalan baru Cloud Service Mesh.

Menyesuaikan bidang kontrol

Fitur yang didukung oleh Cloud Service Mesh berbeda-beda di setiap platform. Sebaiknya tinjau Fitur yang didukung untuk mempelajari fitur yang didukung di platform Anda. Beberapa fitur diaktifkan secara default, dan fitur lainnya dapat Anda aktifkan secara opsional dengan membuat file overlay IstioOperator. Saat menjalankan asmcli install, Anda dapat menyesuaikan bidang kontrol dengan menentukan opsi --custom_overlay dengan file overlay. Sebagai praktik terbaik, sebaiknya simpan file overlay di sistem kontrol versi Anda.

Paket anthos-service-mesh di GitHub berisi banyak file overlay. File ini berisi penyesuaian umum pada konfigurasi default. Anda dapat menggunakan file ini sebagaimana adanya, atau Anda dapat membuat perubahan tambahan padanya sesuai kebutuhan. Beberapa file diperlukan untuk mengaktifkan fitur Cloud Service Mesh opsional. Paket anthos-service-mesh akan didownload saat Anda menjalankan asmcli untuk memvalidasi project dan cluster Anda.

Saat menginstal Cloud Service Mesh menggunakan asmcli install, Anda dapat menentukan satu atau beberapa file overlay dengan --option atau --custom_overlay. Jika tidak perlu membuat perubahan pada file di repositori anthos-service-mesh, Anda dapat menggunakan --option, dan skrip akan mengambil file dari GitHub untuk Anda. Jika tidak, Anda dapat membuat perubahan pada file overlay, lalu menggunakan opsi --custom_overlay untuk meneruskannya ke asmcli.

Pilih Certificate Authority

Bergantung pada kasus penggunaan, platform, dan jenis bidang kontrol (di dalam cluster atau terkelola), Anda dapat memilih salah satu opsi berikut sebagai certificate authority (CA) untuk menerbitkan sertifikat mutual TLS (mTLS):

Bagian ini memberikan informasi umum tentang setiap opsi CA dan kasus penggunaannya.

Jaring CA

Kecuali jika Anda memerlukan CA kustom, sebaiknya gunakan certificate authority Cloud Service Mesh karena alasan berikut:

Certificate authority Cloud Service Mesh adalah layanan sangat andal dan skalabel yang dioptimalkan untuk workload yang diskalakan secara dinamis.
Dengan certificate authority Cloud Service Mesh, Google mengelola keamanan dan ketersediaan backend CA.
Dengan certificate authority Cloud Service Mesh, Anda dapat mengandalkan satu root kepercayaan di seluruh cluster.

Sertifikat dari certificate authority Cloud Service Mesh mencakup data berikut tentang layanan aplikasi Anda:

ID project Google Cloud
Namespace GKE
Nama akun layanan GKE

CA Service

Catatan platform: CA Service hanya didukung di platform berikut: Cluster GKE di Google Cloud, GKE di VMware, dan GDCV untuk Bare Metal. Jika Anda menjalankan asmcli install dan menentukan --ca gcp_cas di platform lain, penginstalan akan tampak berhasil, tetapi workload Anda akan gagal dimulai.

Selain Mesh CA, Anda dapat mengonfigurasi Cloud Service Mesh untuk menggunakan Certificate Authority Service. Panduan ini memberi Anda peluang untuk berintegrasi dengan CA Service, yang direkomendasikan untuk kasus penggunaan berikut:

Jika Anda memerlukan certificate authority yang berbeda untuk menandatangani sertifikat workload di cluster yang berbeda.
Jika Anda ingin menggunakan istiod Sertifikat plugin CA Kustom.
Jika Anda perlu mendukung kunci penandatanganan di HSM terkelola.
Jika Anda berada di industri yang diatur dengan regulasi ketat dan harus mematuhi kebijakan.
Jika Anda ingin merangkai CA Cloud Service Mesh CA ke root certificate perusahaan kustom untuk menandatangani sertifikat workload.

Biaya Mesh CA disertakan dalam harga Cloud Service Mesh. Layanan CA tidak termasuk dalam harga Cloud Service Mesh dasar dan dikenai biaya secara terpisah. Selain itu, Layanan CA dilengkapi dengan SLA eksplisit, tetapi Mesh CA tidak.

Untuk integrasi ini, semua workload di Cloud Service Mesh diberi peran IAM:

privateca.workloadCertificateRequester
privateca.auditor
privateca.template (wajib jika menggunakan template sertifikat)

Istio CA

Sebaiknya gunakan Istio CA jika Anda memenuhi kriteria berikut:

Mesh Anda sudah menggunakan Istio CA, dan Anda tidak memerlukan manfaat yang diaktifkan oleh certificate authority Cloud Service Mesh atau CA Service.
Anda memerlukan root CA kustom.
Anda memiliki workload di luar Google Cloud yang layanan CA yang dikelola Google Cloud tidak dapat diterima.

Menyiapkan konfigurasi gateway

Cloud Service Mesh memberi Anda opsi untuk men-deploy dan mengelola gateway sebagai bagian dari mesh layanan Anda. Gateway menjelaskan load balancer yang beroperasi di tepi mesh yang menerima koneksi HTTP/TCP masuk atau keluar. Gateway adalah proxy Envoy yang memberi Anda kontrol terperinci atas traffic yang masuk dan keluar dari mesh.

asmcli tidak menginstal istio-ingressgateway. Sebaiknya deploy dan kelola bidang kontrol dan gateway secara terpisah. Untuk mengetahui informasi selengkapnya, lihat Menginstal dan mengupgrade gateway.

Apa langkah selanjutnya?

Menginstal alat dependen dan memvalidasi cluster