Rencanakan upgrade

Halaman ini memberikan informasi untuk membantu Anda merencanakan upgrade Cloud Service Mesh. Sebaiknya tinjau juga catatan upgrade Istio.

Tentang upgrade canary

Sebaiknya upgrade Cloud Service Mesh dengan terlebih dahulu menjalankan deployment canary pada bidang kontrol baru. Dengan upgrade canary, asmcli akan menginstal revisi baru bidang kontrol bersama bidang kontrol lama. Bidang kontrol lama dan baru diberi label dengan label revision, yang berfungsi sebagai ID untuk bidang kontrol.

Untuk memigrasikan workload ke bidang kontrol baru:

Tetapkan label revision bidang kontrol baru di salah satu namespace Anda.
Lakukan mulai ulang berkelanjutan. Mulai ulang memasukkan ulang proxy file bantuan di Pod sehingga proxy tersebut menggunakan bidang kontrol baru.
Memantau efek upgrade pada workload. Jika perlu menguji aplikasi Anda, ulangi langkah-langkah sebelumnya.
Setelah menguji aplikasi, Anda dapat memigrasikan semua traffic ke bidang kontrol baru atau melakukan rollback ke bidang kontrol lama.

Upgrade canary jauh lebih aman daripada melakukan upgrade langsung karena bidang kontrol baru menggantikan bidang kontrol lama. Untuk mengetahui langkah-langkah mendetail, lihat Beralih ke bidang kontrol baru.

Menyesuaikan bidang kontrol

Jika telah menyesuaikan penginstalan sebelumnya, Anda memerlukan penyesuaian yang sama saat mengupgrade Cloud Service Mesh. Jika menyesuaikan penginstalan dengan menambahkan tanda --set values ke istioctl install, Anda harus menambahkan setelan tersebut ke file YAML IstioOperator, yang disebut sebagai file overlay. Anda menentukan file overlay dengan menggunakan opsi --custom_overlay beserta nama file saat menjalankan asmcli.

Paket anthos-service-mesh di GitHub berisi banyak file overlay. File ini berisi penyesuaian umum pada konfigurasi default. Anda dapat menggunakan file ini sebagaimana adanya, atau Anda dapat membuat perubahan tambahan padanya sesuai kebutuhan. Beberapa file diperlukan untuk mengaktifkan fitur Cloud Service Mesh opsional. Paket anthos-service-mesh akan didownload saat Anda menjalankan asmcli untuk memvalidasi project dan cluster Anda.

Saat menginstal Cloud Service Mesh menggunakan asmcli install, Anda dapat menentukan satu atau beberapa file overlay dengan --option atau --custom_overlay. Jika tidak perlu membuat perubahan pada file di repositori anthos-service-mesh, Anda dapat menggunakan --option, dan skrip akan mengambil file dari GitHub untuk Anda. Jika tidak, Anda dapat membuat perubahan pada file overlay, lalu menggunakan opsi --custom_overlay untuk meneruskannya ke asmcli.

Pilih certificate authority

Jika penginstalan Cloud Service Mesh Anda saat ini menggunakan certificate authority Cloud Service Mesh sebagai certificate authority (CA) untuk menerbitkan sertifikat mutual TLS (mTLS), sebaiknya Anda terus menggunakan certificate authority Cloud Service Mesh karena alasan berikut:

Certificate authority Cloud Service Mesh adalah layanan sangat andal dan skalabel yang dioptimalkan untuk workload yang diskalakan secara dinamis.
Dengan certificate authority Cloud Service Mesh, Google mengelola keamanan dan ketersediaan backend CA.
Dengan certificate authority Cloud Service Mesh, Anda dapat mengandalkan satu root kepercayaan di seluruh cluster.

Jika penginstalan Cloud Service Mesh saat ini menggunakan Istio CA (sebelumnya disebut "Citadel"), Anda dapat beralih ke certificate authority Cloud Service Mesh saat melakukan upgrade, tetapi Anda harus menjadwalkan periode nonaktif. Selama upgrade, traffic mTLS terganggu sampai semua workload dialihkan untuk menggunakan bidang kontrol baru dengan certificate authority Cloud Service Mesh.

Catatan platform: CA Service hanya didukung di platform berikut: Cluster GKE di Google Cloud, GKE di VMware, dan GDCV untuk Bare Metal. Jika Anda menjalankan asmcli install dan menentukan --ca gcp_cas di platform lain, penginstalan akan tampak berhasil, tetapi workload Anda akan gagal dimulai.

Sertifikat dari certificate authority Cloud Service Mesh mencakup data berikut tentang layanan aplikasi Anda:

ID project Google Cloud
Namespace GKE
Nama akun layanan GKE

Mengidentifikasi CA Anda

Saat menjalankan asmcli install untuk melakukan upgrade, Anda menentukan CA yang harus diaktifkan asmcli di bidang kontrol baru.

Mengubah CA akan menyebabkan periode nonaktif saat Anda men-deploy workload ke bidang kontrol baru. Jika Anda tidak dapat menjadwalkan periode nonaktif, pastikan untuk menentukan CA yang sama untuk bidang kontrol baru yang digunakan bidang kontrol lama. Jika Anda tidak yakin CA mana yang diaktifkan pada mesh Anda, jalankan perintah berikut:

Dapatkan daftar Pod dari salah satu namespace Anda:
```
kubectl get pods -n NAMESPACE
```
Ganti POD_NAME dengan nama salah satu Pod Anda di perintah berikut:
```
kubectl get pod POD_NAME -n NAMESPACE -o yaml | grep CA_ADDR -A 1
```
Jika certificate authority Cloud Service Mesh diaktifkan di namespace, Anda akan melihat output berikut:
```
- name: CA_ADDR
  value: meshca.googleapis.com:443
```

Menyiapkan konfigurasi gateway

Cloud Service Mesh memberi Anda opsi untuk men-deploy dan mengelola gateway sebagai bagian dari mesh layanan Anda. Gateway menjelaskan load balancer yang beroperasi di tepi mesh yang menerima koneksi HTTP/TCP masuk atau keluar. Gateway adalah proxy Envoy yang memberi Anda kontrol terperinci atas traffic yang masuk dan keluar dari mesh.

asmcli tidak menginstal istio-ingressgateway. Sebaiknya deploy dan kelola bidang kontrol dan gateway secara terpisah. Untuk mengetahui informasi selengkapnya, lihat Menginstal dan mengupgrade gateway.

Upgrade platform Anda (opsional)

Sebagai praktik terbaik, Anda harus mengupgrade Cloud Service Mesh ke versi terbaru yang didukung yang juga mendukung platform Anda saat ini. Kemudian, upgrade lingkungan Anda agar berada dalam rentang versi platform dan Kubernetes yang didukung. Terakhir, jika diperlukan, upgrade ke versi terbaru yang didukung dari Cloud Service Mesh.

Apa langkah selanjutnya?

Menginstal alat dependen dan memvalidasi cluster