Piano di controllo gestito per i clienti di lunga data
Questo documento è rivolto ai clienti Anthos Service Mesh di lunga data che utilizzano il piano di controllo gestito o il piano di controllo interno al cluster. Questo documento discute l'implementazione del piano di controllo e la possibile migrazione del piano di controllo.
Se sei già cliente di Traffic Director o se sei un nuovo cliente, non è necessario leggere questo documento.
Panoramica del piano di controllo
Nei mesh di servizi, il piano di controllo fornisce gestione del traffico, gestione dei proxy quando il proxy Envoy è in uso e altre funzionalità di rete.
Anthos Service Mesh offriva due piani di controllo: un piano di controllo gestito e un piano di controllo all'interno del cluster. Come piano dati vengono utilizzati solo i proxy Envoy.
Nuovo piano di controllo gestito
Il nuovo piano di controllo gestito è chiamato implementazione di Traffic Director (TD). Cosa comporta il nuovo piano di controllo per te?
Una delle modifiche più significative dal prodotto Anthos Service Mesh a Cloud Service Mesh è il passaggio a un piano di controllo globale multi-tenant.
Il piano di controllo gestito utilizzato in Anthos Service Mesh è dedicato a un singolo cluster. Sebbene le API (Istio CRD) utilizzate per GKE siano le stesse e la configurazione xDS inviata ai sidecar sia compatibile senza differenze di comportamento, le differenze del piano di controllo comportano alcune caratteristiche visibili a te, utente finale.
- Tempo di risposta della modifica della configurazione. I nuovi implementazioni di servizi o le modifiche ai criteri dei servizi richiedono un po' più di tempo con il nuovo piano di controllo.
- La pipeline di configurazione esegue un commit di configurazione in due passaggi per motivi di affidabilità. Il primo passaggio esegue convalide per verificare se la configurazione è ben formattata. La fase successiva propaga la configurazione a livello globale ai deployment dei servizi. Per consentire l'utilizzo dei servizi Google Cloud, come il bilanciamento del carico tra regioni o zone globali, i controlli di integrità centralizzati, la scalabilità automatica basata sul traffico e limitazione di frequenza gestito, la configurazione viene propagata a questi sistemi e convalidata in modo indipendente per verificarne la correttezza. La configurazione viene inoltre memorizzata internamente in modo da consentire al team di Site Reliability Engineering di Google di eseguire operazioni sui prodotti in modo affidabile ed efficiente in caso di emergenze di produzione.
- Queste operazioni offrono una maggiore affidabilità, ma comportano un push della configurazione più lento rispetto alla latenza osservata dagli utenti attuali di Anthos Service Mesh.
- La latenza per il recupero della configurazione esistente da parte di un nuovo pod è leggermente migliore con il nuovo piano di controllo. Il push di configurazione lento è destinato alla prima propagazione di qualsiasi nuovo servizio creato o di qualsiasi nuovo criterio inviato per il servizio. Le latenze di propagazione degli endpoint sono funzionalmente simili.
- Velocità di scalabilità degli eventi e di altre modifiche agli endpoint. Queste operazioni vengono gestite almeno con la stessa rapidità con il nuovo piano di controllo. Questi eventi includono l'avvio o l'arresto di nuovi pod a causa della scalabilità automatica orizzontale dei pod e il riavvio dei pod con nuovi indirizzi IP perché sono stati spostati in un altro nodo del cluster.
- Scala il numero di endpoint. Con il nuovo piano di controllo globale, gli endpoint del mesh vengono inviati direttamente da ciascun cluster al piano di controllo da tutti i cluster del mesh. Si tratta di un approccio più semplice, più veloce e più scalabile rispetto a quello utilizzato dal piano di controllo gestito precedente. Nel modello di piano di controllo gestito (piano di controllo dedicato) precedente, ogni Istiod deve comunicare con tutti gli altri cluster nel mesh per determinare gli endpoint disponibili in ogni altro cluster. Con il piano di controllo globale, gli endpoint vengono propagati direttamente al piano di controllo globale. Ciò comporta un miglioramento dell'affidabilità e delle prestazioni nei mesh con un numero elevato di endpoint e consente ai mesh di scalare fino a un numero maggiore di endpoint.
In che modo il nuovo piano di controllo ti riguarda?
L'impatto del nuovo piano di controllo dipende dalle API e dal piano di controllo che utilizzi.
- Se sei un utente di Traffic Director, il tuo piano di controllo rimane invariato. Non è necessario leggere il resto di questa guida. La documentazione per l'implementazione di Cloud Service Mesh è disponibile in Configura con le API Google Cloud.
- Se sei un utente di Anthos Service Mesh, i passaggi successivi per il piano di controllo nel tuo deployment esistente dipendono dall'utilizzo del piano di controllo gestito o del piano di controllo interno al cluster.
- Se utilizzi il piano di controllo gestito, con alcune eccezioni verrà eseguita la migrazione dei tuoi fleet esistenti al nuovo piano di controllo, denominato in Cloud Service Mesh piano di controllo gestito (implementazione di Traffic Director o TD). Leggi la sezione seguente, Migrazione del piano di controllo per mesh e parchi risorse esistenti. Se utilizzi una funzionalità non supportata dall'implementazione del piano di controllo di Traffic Director, rimarrà temporaneamente attivo il piano di controllo precedente. Ti consigliamo di continuare a leggere questa guida.
- Se utilizzi il piano di controllo in-cluster, il piano di controllo rimane invariato. Non è necessario leggere il resto di questa guida.
- Se non hai un'organizzazione Google Cloud e utilizzi il piano di controllo gestito in un progetto senza organizzazione, riceverai il piano di controllo TD.
- Se sei un cliente Anthos Service Mesh e stai creando nuovi parchi,
riceverai l'implementazione del piano di controllo di Traffic Director. Ti consigliamo di continuare a leggere questa guida.
- Ti verrà comunicata la data in cui i nuovi parchi riceveranno il piano di controllo TD.
Migrazione del piano di controllo per i mesh e i fleet esistenti
A partire dal 22 luglio 2024, Google aggiornerà gradualmente i cluster esistenti in modo che utilizzino il piano di controllo gestito con l'implementazione del TD. Riceverai una notifica prima dell'aggiornamento dei mesh.
Puoi esaminare le funzionalità dei piani di controllo Istiod e Traffic Director nella pagina che descrive le funzionalità supportate mediante le API Istio (piano di controllo gestito).
Dovresti ricevere una notifica che ti informa che è pianificato l'aggiornamento di un cluster almeno due settimane prima dell'aggiornamento. Le notifiche sono disponibili nelle condizioni dello stato della funzionalità a livello di cluster.
Utilizza il seguente comando Google Cloud CLI per controllare la notifica:
gcloud container hub mesh describe --project=[PROJECT_ID]
Vedrai risultati simili ai seguenti:
membershipStates:
projects/656460026795/locations/us-central1/memberships/cluster:
servicemesh:
conditions:
- code: MODERNIZATION_SCHEDULED
details: This cluster has been scheduled for modernization on or after (date ~ at least 2 weeks).
documentationLink:
severity: INFO
Tutti i cluster del piano di controllo gestiti precedenti che sono stati sottoposti a onboarding utilizzando l'API meshconfig.googleapis.com verranno registrati automaticamente al parco risorse nel progetto del cluster con l'API Membership gkehub.googleapis.com. Se hai automazioni che annullano la registrazione di un cluster, devi rimuoverle prima della migrazione, altrimenti la migrazione avrà problemi. Affinché il prodotto gestito funzioni correttamente, deve essere registrato in un parco risorse con la funzionalità di mesh attivata.
Contatta l'assistenza se devi personalizzare la migrazione o se hai domande su eventuali funzionalità non supportate.
Durante la migrazione, in modo sicuro e controllato, vengono apportate le seguenti modifiche:
- Per abilitare i controlli di integrità, il daemonset
snkviene creato nello spazio dei nomikube-systemdel cluster e viene creata una regola firewall per ogni cluster. - Per abilitare l'importazione del gruppo di endpoint di rete (NEG), l'annotazione
cloud.google.com/negviene aggiunta a tutti i servizi Kubernetes. - Nel cluster vengono create nuove risorse Google Cloud come
Mesh,Routes, servizi di backend e controlli di stato. - I pod gestiti dai deployment Kubernetes vengono riavviati per ricollegarsi al piano di controllo di Traffic Director.
Alcune delle nuove risorse sono limitate in base alla quota. Puoi visualizzare le quote e richiederne di più, se necessario.
Verificare la compatibilità del piano di controllo
Esamina le differenze nelle funzionalità supportate tra le implementazioni del piano di controllo gestito per determinare se l'utilizzo attuale di Cloud Service Mesh richiederà modifiche.
Control plane per i nuovi mesh
A partire dal 1° luglio 2024, la maggior parte degli utenti esistenti dell'implementazione del piano di controllo istiod gestito inizierà a ricevere il piano di controllo gestito aggiornato con l'implementazione disponibile a livello globale di Google, ovvero il piano di controllo Traffic Director (TD), nei nuovi parchi.
Gli utenti che utilizzano già Cloud Service Mesh gestito con l'implementazione del control plane istiod
non compatibile con l'implementazione di Traffic Director senza modifiche continueranno a ricevere l'implementazione di istiod
fino all'8 settembre 2024. Se questo vale per la tua organizzazione, hai ricevuto un annuncio di servizio.
Se esegui l'onboarding di un nuovo parco risorse in Cloud Service Mesh gestito e questo parco risorse non appartiene a un'organizzazione Google Cloud o a una nuova organizzazione Google Cloud, riceverai il nuovo control plane gestito con l'implementazione del TD dalla data di lancio di Cloud Service Mesh.
Passaggi successivi
- Se sei un cliente Anthos Service Mesh esistente, la documentazione è disponibile nell'indice a sinistra in Configurare mesh di servizi con le API Istio.
- Se sei un cliente di Traffic Director, la documentazione è disponibile in Configurare mesh di servizi con le API Google Cloud.