集群内 Cloud Service Mesh 前提条件

本页面介绍了安装 Chrome 应用的前提条件和要求 适用于 Google Cloud 外的 Kubernetes 工作负载的集群内 Cloud Service Mesh, GKE Enterprise 许可、集群要求、舰队要求以及 基本要求

Cloud 项目

准备工作:

GKE Enterprise 许可

如需在本地、GKE on AWS、Amazon EKS、GKE on Azure 或 Microsoft AKS 上安装 Cloud Service Mesh,您必须是 GKE Enterprise 客户。GKE Enterprise 客户无需单独计费 因为它已包含在 GKE Enterprise 中, 定价。如需了解详情,请参阅 GKE Enterprise 价格指南

一般要求

集群要求

  • 确保安装 Cloud Service Mesh 的用户集群至少具有 4 个 vCPU、15 GB 内存和 4 个节点。

  • 验证是否已在支持的平台中列出集群版本。

  • 确保安装 Cloud Service Mesh 时所使用的客户端机器 与 API 服务器之间的网络连接

  • 如果您在无法直接连接到 CA 服务(例如 meshca.googleapis.comprivateca.googleapis.com)的应用 pod 中部署 Sidecar,则必须配置显式基于 CONNECT 的 HTTPS 代理

  • 对于设置了会阻止隐式规则的出站防火墙规则的公共集群,请确保您已配置 HTTP/HTTPS 和 DNS 规则以访问公共 Google API。

舰队要求

所有集群都必须注册到舰队,并且必须启用舰队工作负载身份。您可以自行设置集群,也可以让 asmcli 注册集群,只要集群满足以下要求:

  • Google Cloud 外部的 GKE 集群:(适用于集群内 Cloud Service Mesh)Google Distributed CloudGoogle Distributed CloudGKE on AWSGKE on Azure 会在创建集群时自动向项目舰队注册。自 GKE Enterprise 1.8 起,所有这些集群类型都会在注册时自动启用舰队 Workload Identity。现有的已注册集群在升级到 GKE Enterprise 1.8 后也会更新为使用舰队 Workload Identity。
  • Amazon EKS 集群:(适用于集群内 Cloud Service Mesh) 必须具有公共 IAM OIDC 身份提供方。请按照 为集群创建 IAM OIDC 提供方 检查提供程序是否存在,并在必要时创建提供程序。

运行 asmcli install 时,您需要指定舰队宿主项目的项目 ID。asmcli 会注册集群(如果尚未注册)。

后续步骤