Configurar o projeto e o cluster do GKE por conta própria

Ao instalar o Cloud Service Mesh usando asmcli, ele pode configurar o projeto e o cluster do GKE no Google Cloud para você se você incluir a flag --enable_all ou as flags de ativação mais granulares. Se você preferir fazer a configuração por conta própria em vez de deixar que asmcli faça as alterações, siga as etapas nesta página.

Se você já tem uma versão anterior do Cloud Service Mesh instalada, não precisa fazer alterações no projeto ou no cluster antes de usar asmcli para fazer upgrade para a versão mais recente Versão do Cloud Service Mesh.

Por padrão, asmcli não instala o istio-ingressgateway. Recomendamos que você implante e gerencie o plano de controle e os gateways separadamente. O Cloud Service Mesh oferece suporte à injeção automática para implantações de gateway, o que facilita Upgrades mais fáceis do Cloud Service Mesh. Depois de fazer upgrade do Cloud Service Mesh, reinicie os gateways como os serviços para escolher a nova configuração do plano de controle. Para mais informações, consulte Como instalar e fazer upgrade de gateways.

Antes de começar

Crie o projeto

  1. Acesse o ID do projeto em que o cluster foi criado.

    gcloud

    Execute este comando:

    gcloud projects list
    

    Console

    1. Acesse a página Painel no console do Google Cloud:

      Ir para a página "Painel"

    2. Clique na lista suspensa na parte superior da página. Na janela Selecionar a partir de exibida, selecione seu projeto.

      O ID do projeto é exibido no card Informações do projeto do Painel.

  2. Crie uma variável de ambiente para o pool de cargas de trabalho usando o ID do projeto:

    export WORKLOAD_POOL=PROJECT_ID.svc.id.goog
    
  3. Defina os papéis necessários de gerenciamento de identidade e acesso (IAM, na sigla em inglês). Se você for um proprietário do projeto, terá todas as permissões necessárias para concluir a instalação. Se você não for proprietário do projeto, precisará que o proprietário conceda os seguintes papéis específicos do IAM. No comando a seguir, substitua PROJECT_ID pelo ID do projeto da etapa anterior e GCP_EMAIL_ADDRESS pela conta usada para fazer login no Google Cloud.

    ROLES=(
    'roles/servicemanagement.admin' \
    'roles/serviceusage.serviceUsageAdmin' \
    'roles/meshconfig.admin' \
    'roles/compute.admin' \
    'roles/container.admin' \
    'roles/resourcemanager.projectIamAdmin' \
    'roles/iam.serviceAccountAdmin' \
    'roles/iam.serviceAccountKeyAdmin' \
    'roles/gkehub.admin')
    for role in "${ROLES[@]}"
    do
      gcloud projects add-iam-policy-binding PROJECT_ID \
        --member "user:GCP_EMAIL_ADDRESS" \
        --role="$role"
    done
    

    Se você incluir a flag --enable_all ou --enable_gcp_iam_roles ao executar asmcli, ela definirá os papéis obrigatórios do IAM para você.

  4. Ative as APIs do Google necessárias:

    gcloud services enable \
        --project=PROJECT_ID \
        mesh.googleapis.com
    

    Além de mesh.googleapis.com, esse comando também ativa as seguintes APIs:

    API Finalidade Pode ser desativada?
    meshconfig.googleapis.com O Cloud Service Mesh usa a API Mesh Configuration para redirecionar os dados de configuração da malha para o Google Cloud. Além disso, ativar a API Mesh Configuration permite acessar as páginas do Cloud Service Mesh no console do Google Cloud e usar a autoridade certificadora do Cloud Service Mesh. Não
    meshca.googleapis.com Relacionada à autoridade certificadora do Cloud Service Mesh usada pelo Cloud Service Mesh gerenciado. Não
    container.googleapis.com Necessária para a criação de clusters do Google Kubernetes Engine (GKE). Não
    gkehub.googleapis.com Necessária para o gerenciamento da malha como uma frota. Não
    monitoring.googleapis.com Necessária para a captura da telemetria de cargas de trabalho da malha. Não
    stackdriver.googleapis.com Necessária para uso da interface dos serviços. Não
    opsconfigmonitoring.googleapis.com Necessária para uso da interface dos serviços para clusters fora do Google Cloud. Não
    connectgateway.googleapis.com Necessária para que o plano de controle do Cloud Service Mesh gerenciado acesse cargas de trabalho da malha. Sim*
    trafficdirector.googleapis.com Permite um plano de controle gerenciado altamente disponível e escalonável. Sim*
    networkservices.googleapis.com Permite um plano de controle gerenciado altamente disponível e escalonável. Sim*
    networksecurity.googleapis.com Permite um plano de controle gerenciado altamente disponível e escalonável. Sim*

    A ativação das APIs pode levar um minuto ou mais para ser concluída. Quando as APIs estão ativadas, você vê uma saída semelhante a esta:

    Operation "operations/acf.601db672-88e6-4f98-8ceb-aa3b5725533c" finished
    successfully.
    

    Se você incluir a flag --enable_all ou --enable_apis ao executar asmcli, ela vai ativar as APIs necessárias para você.

Configurar o cluster

Se você incluir a sinalização --enable_all ou uma das sinalizações de ativação mais granulares, asmcli configurará o cluster para você.

  1. Defina a zona ou a região padrão da Google Cloud CLI. Se você não definir o padrão aqui, especifique a opção --zone ou --region nos comandos gcloud container clusters desta página.

    • Se você tiver um cluster de zona única, defina a zona padrão:

      gcloud config set compute/zone CLUSTER_LOCATION
      
    • Se você tiver um cluster regional, defina a região padrão:

      gcloud config set compute/region CLUSTER_LOCATION
      
  2. Ative a Identidade da carga de trabalho:

    gcloud container clusters update CLUSTER_NAME \
        --project=PROJECT_ID \
        --workload-pool=${WORKLOAD_POOL}
    

    A ativação da Identidade da carga de trabalho pode levar de 10 a 15 minutos.

  3. Registre o cluster na frota.

  4. Inicialize seu projeto para prepará-lo para instalação. Entre outras coisas, este comando cria uma conta de serviço para permitir componentes de plano de dados, como o proxy sidecar, para acessar com segurança os dados e os recursos do seu projeto. No comando a seguir, substitua FLEET_PROJECT_ID pelo projeto host da frota:

    curl --request POST  \
     --header "Authorization: Bearer $(gcloud auth print-access-token)" \
     --header "Content-Type: application/json" \
     --data '{"workloadIdentityPools":["FLEET_PROJECT_ID.hub.id.goog","FLEET_PROJECT_ID.svc.id.goog","PROJECT_ID.svc.id.goog"]}' \
     "https://meshconfig.googleapis.com/v1alpha1/projects/PROJECT_ID:initialize"
    

    A resposta do comando mostra chaves vazias: {}

  5. Ative o Cloud Monitoring e o Cloud Logging no GKE:

    gcloud container clusters update CLUSTER_NAME \
        --project=PROJECT_ID \
        --enable-stackdriver-kubernetes
    

O projeto e o cluster estão prontos para uma nova instalação usando asmcli.

A seguir