Requisitos previos de Cloud Service Mesh en el clúster

En esta página, se describen los requisitos previos y los requisitos para la instalación Malla de servicios de Cloud en el clúster para cargas de trabajo de Kubernetes fuera de Google Cloud, como como las licencias de GKE Enterprise, los requisitos de los clústeres, los requisitos de la flota y requisitos generales.

Proyecto de Cloud

Antes de comenzar:

Licencias de GKE Enterprise

Para instalar Cloud Service Mesh de forma local, en GKE en AWS, en Amazon EKS, en GKE en Azure o en Microsoft AKS, debes tener cliente de GKE Enterprise. A los clientes de GKE Enterprise no se les factura por separado por Cloud Service Mesh porque ya está incluido en los precios de GKE Enterprise. Para obtener más información, consulta la guía de precios de GKE Enterprise.

Requisitos generales

  • Para que se los incluya en la malla de servicios, los puertos de servicio deben tener un nombre, y ese nombre debe incluir el protocolo del puerto en la siguiente sintaxis: name: protocol[-suffix], en la que los corchetes indican un sufijo opcional que debe comenzar con un guion. Para obtener más información, consulta Asigna nombres a puertos de servicio.

  • Si creaste un perímetro de servicio en tu organización, es posible que debas agregar el servicio de autoridad certificadora de Cloud Service Mesh al perímetro. Para obtener más información, consulta Cómo agregar la AC de Cloud Service Mesh a un perímetro de servicio.

  • Si deseas cambiar los límites de recursos predeterminados para el contenedor del archivo adicional istio-proxy, los valores nuevos deben ser mayores que los valores predeterminados a fin de evitar eventos de memoria (OOM).

  • Un proyecto de Google Cloud solo puede tener una malla asociada.

Requisitos del clúster

  • Asegúrate de que el clúster de usuario en el que instalas Cloud Service Mesh tenga un mínimo de 4 CPU virtuales, 15 GB de memoria y 4 nodos.

  • Verifica que la versión del clúster se enumere en las plataformas compatibles.

  • Asegúrate de que la máquina cliente desde la que instalas Cloud Service Mesh tenga conectividad de red al servidor de la API.

  • Si implementas sidecars en pods de aplicaciones en los que la conectividad directa a los servicios de CA (como meshca.googleapis.com y privateca.googleapis.com) no está disponible; debes configurar un proxy HTTPS basado en CONNECT explicito.

  • En el caso de los clústeres públicos con reglas de firewall de salida establecidas que bloquean las reglas implícitas, asegúrate de haber configurado reglas de HTTP/HTTPS y DNS para acceder a las APIs públicas de Google.

Requisitos de la flota

Todos los clústeres deben registrarse en un flota y identidad de carga de trabajo de flota debe habilitarse. Puedes configurar los clústeres o puedes permitir que asmcli registre los clústeres siempre que cumplan con los siguientes requisitos:

  • Clústeres de GKE fuera de Google Cloud: (se aplica a la malla de servicios de Cloud en el clúster) Google Distributed Cloud, Google Distributed Cloud, GKE en AWS y GKE en Azure son automáticamente en la flota de proyectos cuando se crea el clúster. Hasta el GKE Enterprise 1.8, todos estos tipos de clústeres habilitan la flota automáticamente y Workload Identity cuando se registra. Los clústeres registrados existentes se actualizan para usar Workload Identity de la flota cuando se les actualiza a GKE Enterprise 1.8.
  • Clústeres de Amazon EKS: (se aplica a la malla de servicios de Cloud en el clúster) El clúster debe tener un proveedor de identidad de OIDC de IAM público. Sigue las instrucciones que se indican en Crea un proveedor de OIDC de IAM para tu clúster para comprobar si existe un proveedor y crear uno si es necesario.

Cuando ejecutas asmcli install, especificas el ID del proyecto del proyecto host de la flota. asmcli registra el clúster si aún no lo está.

Próximos pasos