Rencanakan upgrade
Halaman ini memberikan informasi untuk membantu Anda merencanakan upgrade Cloud Service Mesh. Rab sebaiknya Anda juga meninjau Catatan upgrade Istio.
Tentang upgrade canary
Sebaiknya upgrade Cloud Service Mesh dengan menjalankan deployment canary terlebih dahulu
bidang kontrol baru. Dengan upgrade canary, asmcli
akan menginstal
revisi kontrol
bersama pesawat kontrol lama. Bidang kontrol lama dan baru
diberi label dengan label revision
, yang berfungsi sebagai ID untuk
bidang kontrol.
Untuk memigrasikan workload ke bidang kontrol baru:
Tetapkan label
revision
bidang kontrol baru di salah satu namespace Anda.Lakukan mulai ulang berkelanjutan. Mulai ulang memasukkan ulang proxy file bantuan di Pod sehingga proxy menggunakan bidang kontrol baru.
Memantau efek upgrade pada workload. Jika diperlukan untuk menguji aplikasi, ulangi langkah sebelumnya.
Setelah menguji aplikasi, Anda dapat memigrasikan semua traffic ke bidang kontrol atau rollback ke bidang kontrol lama.
Upgrade canary jauh lebih aman daripada melakukan upgrade langsung di mana bidang kontrol menggantikan bidang kontrol lama. Untuk langkah-langkah mendetailnya, lihat Beralih ke bidang kontrol baru.
Menyesuaikan bidang kontrol
Jika Anda menyesuaikan penginstalan sebelumnya, Anda memerlukan penyesuaian yang sama
saat Anda mengupgrade Cloud Service Mesh. Jika Anda menyesuaikan
penginstalan dengan menambahkan
flag --set values
ke istioctl install
, Anda harus menambahkan setelan tersebut ke
file YAML IstioOperator
, yang disebut sebagai file overlay. Anda menentukan
overlay dengan menggunakan opsi --custom_overlay
dengan nama file saat Anda
jalankan asmcli
.
Tujuan
anthos-service-mesh
di GitHub berisi banyak file {i>overlay<i}. File ini berisi data umum
kustomisasi ke konfigurasi default. Anda dapat menggunakan
file-file ini karena
atau Anda dapat membuat
perubahan tambahan sesuai kebutuhan. Beberapa file
diwajibkan untuk
mengaktifkan fitur Cloud Service Mesh opsional.
Paket anthos-service-mesh
akan didownload saat Anda menjalankan asmcli
ke
validasikan project dan cluster Anda.
Saat menginstal Cloud Service Mesh menggunakan asmcli install
, Anda
dapat menentukan satu atau beberapa file overlay dengan --option
atau --custom_overlay
.
Jika Anda tidak perlu melakukan perubahan apa pun pada file di anthos-service-mesh
repositori, Anda dapat menggunakan --option
, dan skrip mengambil file dari GitHub.
keamanan untuk Anda. Jika tidak, Anda dapat membuat perubahan pada file overlay, lalu menggunakan
--custom_overlay
untuk meneruskannya ke asmcli
.
Pilih certificate authority
Jika penginstalan Cloud Service Mesh Anda saat ini menggunakan Certificate authority Cloud Service Mesh sebagai certificate authority (CA) untuk menerbitkan TLS bersama (mTLS) sertifikat, sebaiknya Anda terus menggunakan certificate authority Cloud Service Mesh karena alasan berikut:
- Otoritas sertifikat {i>Cloud Service Mesh<i} adalah layanan yang sangat andal dan skalabel dan dioptimalkan untuk workload yang diskalakan secara dinamis.
- Dengan certificate authority Cloud Service Mesh, Google mengelola keamanan dan ketersediaan dari backend CA.
- Dengan certificate authority Cloud Service Mesh, Anda dapat mengandalkan satu root kepercayaan di seluruh klaster.
Jika penginstalan Cloud Service Mesh Anda saat ini menggunakan Istio CA (sebelumnya disebut "Citadel"), Anda dapat beralih ke certificate authority Cloud Service Mesh saat Anda melakukan {i>upgrade<i}, tetapi Anda perlu menjadwalkan periode nonaktif. Selama proses upgrade, traffic mTLS terganggu sampai semua beban kerja dialihkan untuk menggunakan bidang kontrol baru dengan certificate authority Cloud Service Mesh.
Sertifikat dari certificate authority Cloud Service Mesh mencakup data berikut tentang layanan aplikasi Anda:
- ID project Google Cloud
- Namespace GKE
- Nama akun layanan GKE
Mengidentifikasi CA Anda
Saat menjalankan asmcli install
untuk melakukan upgrade, Anda menentukan CA yang asmcli
yang harus diaktifkan pada bidang kontrol baru.
Mengubah CA menyebabkan periode nonaktif saat Anda men-deploy workload ke yang baru bidang kontrol. Jika Anda tidak dapat menjadwalkan periode nonaktif, pastikan untuk menentukan CA yang sama untuk bidang kontrol baru yang digunakan bidang kontrol lama. Jika Anda tidak yakin CA mana yang diaktifkan di mesh Anda, jalankan perintah berikut:
Dapatkan daftar Pod dari salah satu namespace Anda:
kubectl get pods -n NAMESPACE
Ganti
POD_NAME
dengan nama salah satu Pod Anda di perintah berikut:kubectl get pod POD_NAME -n NAMESPACE -o yaml | grep CA_ADDR -A 1
Jika certificate authority Cloud Service Mesh diaktifkan pada namespace, Anda akan melihat output berikut:
- name: CA_ADDR value: meshca.googleapis.com:443
Menyiapkan konfigurasi gateway
Cloud Service Mesh memberi Anda opsi untuk men-deploy dan mengelola gateway sebagai bagian dari jaringan layanan. Gateway menjelaskan load balancer yang beroperasi di tepi yang menerima koneksi HTTP/TCP masuk atau keluar. Gateway adalah Envoy {i>proxy<i} yang memberi Anda kontrol mendetail atas lalu lintas yang masuk dan meninggalkan {i>mesh<i}.
asmcli
tidak menginstal istio-ingressgateway
. Sebaiknya Anda
men-deploy dan mengelola gateway dan bidang kontrol secara terpisah. Untuk selengkapnya
lihat Menginstal dan mengupgrade gateway.
Upgrade platform Anda (opsional)
Sebagai praktik terbaik, Anda harus mengupgrade Cloud Service Mesh ke versi terbaru versi yang didukung yang juga mendukung platform Anda saat ini. Kemudian, upgrade lingkungan Anda agar bahwa data itu berada dalam kisaran platform dan versi Kubernetes yang didukung. Terakhir, jika diperlukan, upgrade ke versi terbaru versi yang didukung Cloud Service Mesh.