설치 계획
이 페이지에서는 Cloud Service Mesh 신규 설치를 계획하는 데 도움이 되는 정보를 제공합니다.
컨트롤 플레인 맞춤설정
Cloud Service Mesh에서 지원되는 기능은 플랫폼마다 다릅니다. 지원되는 기능을 검토하여 플랫폼에서 지원되는 기능을 확인하는 것이 좋습니다. 일부 기능은 기본적으로 사용 설정되며, 다른 기능은 IstioOperator
오버레이 파일을 만들어서 선택적으로 사용 설정할 수 있습니다.
asmcli install
을 실행할 때 오버레이 파일에서 --custom_overlay
옵션을 지정하여 컨트롤 플레인을 맞춤설정할 수 있습니다. 버전 제어 시스템에 오버레이 파일을 저장할 것을 권장합니다.
GitHub의 anthos-service-mesh
패키지에는 다양한 오버레이 파일이 포함되어 있습니다. 이러한 파일에는 기본 구성에 대한 일반적인 맞춤설정이 포함되어 있습니다. 이러한 파일은 그대로 사용하거나 필요에 따라 추가로 변경할 수 있습니다. 선택적 Cloud Service Mesh 기능을 사용 설정하려면 일부 파일이 필요합니다.
asmcli
를 실행하여 프로젝트와 클러스터의 유효성을 검사하면 anthos-service-mesh
패키지가 다운로드됩니다.
asmcli install
을 사용하여 Cloud Service Mesh를 설치할 때 --option
또는 --custom_overlay
로 하나 이상의 오버레이 파일을 지정할 수 있습니다.
anthos-service-mesh
저장소의 파일을 변경할 필요가 없는 경우 --option
을 사용할 수 있으며 스크립트가 자동으로 GitHub에서 파일을 가져옵니다. 그렇지 않으면 오버레이 파일을 변경한 후 --custom_overlay
옵션을 사용하여 asmcli
에 전달할 수 있습니다.
인증 기관 선택
사용 사례, 플랫폼, 제어 영역 유형(클러스터 내 또는 관리형)에 따라 mTLS(상호 TLS) 인증서를 발급하기 위한 인증 기관(CA)으로 다음 중 하나를 선택할 수 있습니다.
이 섹션에서는 이러한 각 CA 옵션과 사용 사례에 대한 고급 정보를 제공합니다.
Mesh CA
커스텀 CA가 필요한 경우가 아니라도 다음과 같은 이유로 Cloud Service Mesh 인증 기관을 사용하는 것이 좋습니다.
- Cloud Service Mesh 인증 기관은 동적으로 확장된 워크로드에 최적화된 안정성과 확장성이 뛰어난 서비스입니다.
- Google은 Cloud Service Mesh 인증 기관을 통해 CA 백엔드의 보안 및 가용성을 관리합니다.
- Cloud Service Mesh 인증 기관을 사용하면 여러 클러스터에서 신뢰할 수 있는 단일 루트를 사용할 수 있습니다.
Cloud Service Mesh 인증 기관의 인증서에는 애플리케이션 서비스에 대한 다음 데이터가 포함됩니다.
- Google Cloud 프로젝트 ID
- GKE 네임스페이스
- GKE 서비스 계정 이름
CA 서비스
Mesh CA 외에 Certificate Authority Service를 사용하도록 Cloud Service Mesh를 구성할 수 있습니다. 이 가이드에서는 다음과 같은 사용 사례에 권장되는 CA 서비스와 통합할 수 있는 기회를 제공합니다.
- 여러 클러스터에서 워크로드 인증서에 서명하는 데 다른 인증 기관이 필요한 경우
istiod
커스텀 CA 플러그인 인증서를 사용하려는 경우- 관리형 HSM에서 서명 키를 백업해야 하는 경우
- 규제가 심한 업종에 속해 있고 규정 준수해야 하는 경우
- Cloud Service Mesh CA를 커스텀 엔터프라이즈 루트 인증서에 연결하여 워크로드 인증서에 서명하려는 경우
Mesh CA 비용은 Cloud Service Mesh 가격 책정에 포함되어 있습니다. CA 서비스는 기본 Cloud Service Mesh 가격에 포함되지 않으며 요금이 별도로 청구됩니다. 또한 CA Service에는 명시적 SLA가 제공되지만 Mesh CA의 경우에는 그렇지 않습니다.
이러한 통합을 위해 Cloud Service Mesh의 모든 워크로드에는 다음과 같은 IAM 역할이 부여됩니다.
privateca.workloadCertificateRequester
privateca.auditor
privateca.template
(인증서 템플릿을 사용하는 경우 필수)
Istio CA
다음 기준을 충족하는 경우 Istio CA를 사용하는 것이 좋습니다.
- 메시에 이미 Istio CA가 사용되므로 Cloud Service Mesh 인증 기관 또는 CA 서비스에서 사용 설정한 이점이 필요하지 않습니다.
- 커스텀 루트 CA가 필요합니다.
- Google Cloud 관리형 CA 서비스가 허용되지 않는 Google Cloud 외부 워크로드가 있습니다.
게이트웨이 구성 준비
Cloud Service Mesh는 서비스 메시의 일부로 게이트웨이를 배포 및 관리하는 옵션을 제공합니다. 게이트웨이는 들어오거나 나가는 HTTP/TCP 연결을 수신하는 메시지의 에지에서 작동하는 부하 분산기를 설명합니다. 게이트웨이는 메시로 들어오고 나가는 트래픽을 미세하게 제어할 수 있는 Envoy 프록시입니다.
asmcli
는 istio-ingressgateway
를 설치하지 않습니다. 컨트롤 플레인과 게이트웨이를 개별적으로 배포하고 관리하는 것이 좋습니다. 자세한 내용은 게이트웨이 설치 및 업그레이드를 참조하세요.