Prérequis pour Cloud Service Mesh intégré au cluster
Cette page décrit les conditions préalables à l'installation Cloud Service Mesh dans le cluster pour les charges de travail Kubernetes hors de Google Cloud, telles que les licences GKE Enterprise, les exigences concernant les clusters et le parc, les exigences générales.
Projet Cloud
Avant de commencer :
Vérifiez que la facturation est activée pour votre projet.
Licences GKE Enterprise
Pour installer Cloud Service Mesh sur site, sur GKE sur AWS, sur sur Amazon EKS, sur GKE sur Azure ou sur Microsoft AKS, un client GKE Enterprise. Les clients GKE Enterprise ne sont pas facturés séparément pour Cloud Service Mesh, car ce service est déjà inclus dans le la tarification. Pour en savoir plus, consultez le guide des tarifs de GKE Enterprise.
Conditions générales requises
Pour être inclus dans le maillage de services, les ports de service doivent être nommés et le nom de protocole du port doit respecter la syntaxe suivante :
name: protocol[-suffix], où les crochets indiquent un suffixe facultatif qui doit commencer par un tiret. Pour plus d'informations, consultez la section Nommer les ports de service.Si vous avez créé un périmètre de service dans votre organisation, vous devrez peut-être ajouter le service d'autorité de certification au périmètre. Pour en savoir plus, consultez la section Ajouter l'autorité de certification Cloud Service Mesh à un périmètre de service.
Si vous souhaitez modifier les limites de ressources par défaut pour le conteneur side-car
istio-proxy, les nouvelles valeurs doivent être supérieures aux valeurs par défaut afin d'éviter -Événements de mémoire (OOM).Un projet Google Cloud ne peut être associé qu'à un seul réseau maillé.
Configuration requise pour les clusters
Assurez-vous que le cluster d'utilisateur sur lequel vous installez Cloud Service Mesh possède au moins 4 vCPU, 15 Go de mémoire et 4 nœuds.
Vérifiez que la version de votre cluster est répertoriée dans la section Plates-formes compatibles.
Assurez-vous que la machine cliente à partir de laquelle vous installez Cloud Service Mesh dispose d'une connectivité réseau au serveur d'API.
Si vous déployez des side-cars dans les pods d'application où la connectivité directe aux services CA (par exemple,
meshca.googleapis.cometprivateca.googleapis.com) n'est pas disponible, vous devez configurer un proxy HTTPSCONNECTexplicite.Pour les clusters publics dont les règles de pare-feu de sortie sont définies règles implicites, assurez-vous d'avoir configuré des règles HTTP/HTTPS et DNS pour atteindre les API Google publiques.
Exigences concernant le parc
Tous les clusters doivent être enregistrés
parc et
parc d'identité de charge de travail
doit être activée. Vous pouvez configurer les clusters vous-même ou laisser asmcli enregistrer les clusters tant qu'ils répondent aux exigences suivantes :
- Clusters GKE en dehors de Google Cloud: (s'applique au maillage de services Cloud Service intégré au cluster) Google Distributed Cloud, Google Distributed Cloud, GKE sur AWS et GKE sur Azure sont automatiquement enregistré dans le parc de votre projet au moment de la création du cluster. À compter du GKE Enterprise 1.8, tous ces types de clusters activent automatiquement Workload Identity lors de l'enregistrement Les clusters enregistrés existants sont mis à jour pour utiliser Workload Identity pour parc lorsqu'ils sont mis à niveau vers GKE Enterprise 1.8.
- Clusters Amazon EKS : (s'applique à Cloud Service Mesh en cluster) Le cluster doit disposer d'un fournisseur d'identité IAM OIDC public. Suivez les instructions de la page Créer un fournisseur OIDC IAM pour le cluster pour vérifier si un fournisseur existe et en créer un si nécessaire.
Lorsque vous exécutez asmcli install, vous spécifiez l'ID du projet hôte du parc.
asmcli enregistre le cluster si ce n'est pas déjà fait.