Funzionalità supportate dal piano di controllo in-cluster
Questa pagina descrive le funzionalità supportate in Cloud Service Mesh1.21.5 con un control plane in cluster. Per visualizzare le funzionalità supportate per Cloud Service Mesh 1.21.5 con un piano di controllo gestito, consulta Piano di controllo gestito.
Versioni supportate
Il supporto di Cloud Service Mesh segue le Norme relative al supporto delle versioni di GKE Enterprise.
Per Cloud Service Mesh gestito con un'implementazione del piano di controllo TRAFFIC_DIRECTOR
, Google supporta sempre questo piano di controllo.
Per Cloud Service Mesh gestito con un'implementazione del piano di controllo ISTIOD
, Google supporta l'attuale Cloud Service Mesh
disponibili in ogni
canale di rilascio.
Per Cloud Service Mesh nel cluster installato autonomamente, Google supporta lo standard attuale e due (n-2) versioni secondarie precedenti di Cloud Service Mesh.
La tabella seguente mostra le versioni supportate di in-cluster autoinstallati Cloud Service Mesh e la prima data di fine del ciclo di vita di una versione.
Versione di release | Data di uscita | Data di fine del ciclo di vita più prossima |
---|---|---|
1,22 | 25 luglio 2024 | 25 aprile 2025 |
1,21 | 4 giugno 2024 | 4 marzo 2025 |
1,20 | 8 febbraio 2024 | 8 novembre 2024 |
Se utilizzi una versione non supportata di Cloud Service Mesh, devi eseguire l'upgrade a Cloud Service Mesh 1.19 o a una versione successiva. Per informazioni su come eseguire l'upgrade, consulta Eseguire l'upgrade di Cloud Service Mesh.
La tabella seguente mostra le versioni non supportate di Cloud Service Mesh e le relative data di fine del ciclo di vita.
Versione di release | Data di uscita | Data di fine del ciclo di vita |
---|---|---|
1,19 | 31 ottobre 2023 | Non supportata (31 luglio 2024) |
1,18 | 3 agosto 2023 | Non supportata (4 giugno 2024) |
1,17 | 4 aprile 2023 | Non supportato (8 febbraio 2024) |
1,16 | 21 febbraio 2023 | Non supportata (11 dicembre 2023) |
1,15 | 25 ottobre 2022 | Non supportata (4 agosto 2023) |
1,14 | 20 luglio 2022 | Non supportata (20 aprile 2023) |
1,13 | 30 marzo 2022 | Non supportato (8 febbraio 2023) |
1,12 | 9 dicembre 2021 | Non supportata (25 ottobre 2022) |
1,11 | 6 ottobre 2021 | Non supportato (20 luglio 2022) |
1,10 | 24 giugno 2021 | Non supportata (30 marzo 2022) |
1.9 | 4 marzo 2021 | Non supportata (14 dicembre 2021) |
1.8 | 15 dicembre 2020 | Non supportata (14 dicembre 2021) |
1,7 | 3 novembre 2020 | Non supportata (14 dicembre 2021) |
1.6 | 30 giugno 2020 | Non supportata (30 marzo 2021) |
1,5 | 20 maggio 2020 | Non supportata (17 febbraio 2021) |
1.4 | 20 dicembre 2019 | Non supportata (18 settembre 2020) |
Per ulteriori informazioni sulle nostre norme relative all'assistenza, consulta Assistenza.
Differenze tra piattaforme
Esistono differenze nelle funzionalità supportate tra le piattaforme supportate.
Le colonne Altri cluster GKE Enterprise si riferiscono ai cluster al di fuori di Google Cloud, ad esempio:
Google Distributed Cloud:
- Google Distributed Cloud
- Google Distributed Cloud (solo software) per bare metal
Questa pagina utilizza Google Distributed Cloud, dove è disponibile la stessa assistenza sia Google Distributed Cloud (solo software) per VMware Google Distributed Cloud (solo software) per bare metal e lo specifico in cui ci sono differenze tra le piattaforme.
GKE Enterprise su altri cloud pubblici:
Cluster collegati a GKE: i cluster Kubernetes di terze parti che hanno registrato in un parco risorse. Cloud Service Mesh è supportato su quanto segue tipi di cluster:
- Cluster Amazon EKS
- Cluster Microsoft AKS
Nelle seguenti tabelle:
- : indica che la funzionalità è attivata da predefinito.
- * indica che la funzionalità è supportata per la piattaforma e può essere attivata, come descritto in Attivare le funzionalità facoltative o nella guida alle funzionalità collegata nella tabella delle funzionalità.
- Compatibile: indica che la funzionalità o lo strumento di terze parti integrerà o funziona con Cloud Service Mesh, ma non è completamente supportato dall'assistenza Google Cloud e non è disponibile una guida alle funzionalità.
- : indica che la funzionalità non è disponibile o non è supportata in Cloud Service Mesh 1.21.5.
Le funzionalità predefinite e facoltative sono completamente supportate da Google Cloud assistenza. Le funzionalità non elencate esplicitamente nelle tabelle si basano sul criterio del "best effort" assistenza in tempo reale.
Immagini di base
Funzionalità | Cluster GKE su Google Cloud | Altri cluster GKE Enterprise |
---|---|---|
Immagine proxy senza Distroless |
Sicurezza
Meccanismi di distribuzione/rotazione dei certificati
Funzionalità | Cluster GKE su Google Cloud | Altri cluster GKE Enterprise |
---|---|---|
Gestione dei certificati dei carichi di lavoro | ||
Gestione dei certificati esterni sui gateway in entrata e in uscita. |
Assistenza delle autorità di certificazione (CA)
Funzionalità | Cluster GKE su Google Cloud | Cluster GKE Enterprise on-premise | Altri cluster GKE Enterprise |
---|---|---|---|
Autorità di certificazione Cloud Service Mesh | |||
Certificate Authority Service | * | * | |
Istio CA (precedentemente noto come Citadel) | * | * | |
Collega i tuoi certificati CA | Supportato dal servizio CA e dalla CA Istio | Supportato dal servizio CA e dalla CA Istio | Supportato dalla CA Istio |
Funzionalità di sicurezza di Cloud Service Mesh
Oltre a supportare le funzionalità di sicurezza di Istio, Cloud Service Mesh offre altre funzionalità per aiutarti a proteggere le tue applicazioni.
Funzionalità | Cluster GKE su Google Cloud | Distributed Cloud | GKE Multi-cloud | Altri cluster GKE Enterprise |
---|---|---|---|---|
Integrazione di IAP | ||||
Autenticazione degli utenti finali | ||||
Criteri di controllo (anteprima) | * | |||
Modalità dry run | ||||
Log di rifiuto |
Criterio di autorizzazione
Funzionalità | Cluster GKE su Google Cloud | Altri cluster GKE Enterprise |
---|---|---|
Criterio di autorizzazione v1beta1 | ||
Modelli di percorso |
Criteri di autenticazione
Autenticazione peer
Funzionalità | Cluster GKE su Google Cloud | Altri cluster GKE Enterprise |
---|---|---|
mTLS automatico | ||
Modalità mTLS PERMISSIVE |
Per informazioni su come abilitare la modalità STRICT di mTLS, consulta Configurare la sicurezza del trasporto.
Richiedi autenticazione
Funzionalità | Cluster GKE su Google Cloud | Altri cluster GKE Enterprise |
---|---|---|
Autenticazione JWT (nota 1) |
Note:
- I token JWT di terze parti sono abilitati per impostazione predefinita.
Telemetria
Metriche
Funzionalità | Cluster GKE su Google Cloud | Cluster GKE Enterprise on-premise | Altri cluster GKE Enterprise |
---|---|---|---|
Cloud Monitoring (metriche in-proxy HTTP) | |||
Cloud Monitoring (metriche in-proxy TCP) | |||
API Istio Telemetry | |||
Adattatori/backend personalizzati, all'interno o all'esterno del processo | |||
Backend di telemetria e logging arbitrari | |||
Esportazione delle metriche di Prometheus sulle dashboard Prometheus, Grafana e Kiali installate dal cliente | Compatibile | Compatibile | Compatibile |
Google Cloud Managed Service per Prometheus, esclusa la dashboard di Cloud Service Mesh | |||
Il grafico della topologia nella console Google Cloud non utilizza più il servizio di telemetria di Mesh come origine dati. Anche se l'origine dati per il grafico della topologia è cambiata, l'interfaccia utente rimane invariata. |
Logging delle richieste proxy
Funzionalità | Cluster GKE su Google Cloud | Cluster GKE Enterprise on-premise | Altri cluster GKE Enterprise |
---|---|---|---|
Log sul traffico | |||
Accedi ai log | * | * | * |
Tracciamento
Funzionalità | Cluster GKE su Google Cloud | Cluster GKE Enterprise on-premise | Altri cluster GKE Enterprise |
---|---|---|---|
Cloud Trace | * | * | |
Monitoraggio Jaeger (consente l'utilizzo di Jaeger gestito dal cliente) | Compatibile | Compatibile | Compatibile |
Monitoraggio di Zipkin (consente l'utilizzo di Zipkin gestito dal cliente) | Compatibile | Compatibile | Compatibile |
Networking
Meccanismo di intercettazione/reindirizzamento del traffico
Funzionalità | Cluster GKE su Google Cloud | Altri cluster GKE Enterprise |
---|---|---|
Uso tradizionale di iptables con init
container con CAP_NET_ADMIN |
||
Container Network Interface (CNI) | * | * |
Supporto del protocollo
I servizi configurati con funzionalità di livello 7 per i seguenti protocolli non sono supportati: WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ, Cloud SQL. Potresti riuscire a far funzionare il protocollo utilizzando il supporto dello stream di byte TCP. Se lo stream di byte TCP non può supportare il protocollo (ad esempio, Kafka invia un indirizzo di reindirizzamento in una risposta specifica per il protocollo e questo reindirizzamento non è compatibile con la logica di routing di Cloud Service Mesh), il protocollo non è supportato.
Funzionalità | Cluster GKE su Google Cloud | Altri cluster GKE Enterprise |
---|---|---|
IPv4 | ||
HTTP/1.1 | ||
HTTP/2 | ||
Stream di byte TCP (nota 1) | ||
gRPC | ||
IPv6 |
Note:
- Sebbene TCP sia un protocollo supportato per la rete, le metriche TCP non vengono raccolte o registrate. Le metriche vengono visualizzate solo per i servizi HTTP nella console Google Cloud.
Deployment di Envoy
Funzionalità | Cluster GKE su Google Cloud | Altri cluster GKE Enterprise |
---|---|---|
Sidecar | ||
Gateway di ingresso | ||
In uscita direttamente dai file collaterali | ||
In uscita tramite gateway in uscita | * | * |
Supporto CRD
Funzionalità | Cluster GKE su Google Cloud | Altri cluster GKE Enterprise |
---|---|---|
Supporto dell'API Istio (eccezioni di seguito) | ||
filtri Envoy personalizzati |
Bilanciatore del carico per la porta di ingresso Istio
Funzionalità | Cluster GKE su Google Cloud | Altri cluster GKE Enterprise |
---|---|---|
Bilanciatore del carico esterno di terze parti | ||
Bilanciatore del carico interno Google Cloud | * | Non supportati. Consulta i link riportati di seguito. |
Per informazioni sulla configurazione dei bilanciatori del carico, consulta quanto segue:
- Configurare il bilanciatore del carico per Google Distributed Cloud (solo software) per VMware
- GKE su AWS: Creazione di un bilanciatore del carico
- Esponi un gateway in entrata utilizzando un bilanciatore del carico esterno
API Gateway Kubernetes (anteprima)
In Cloud Service Mesh 1.20, l'API Kubernetes Gateway è disponibile come preview pubblica.
Funzionalità | Cluster GKE su Google Cloud | Altri cluster GKE Enterprise |
---|---|---|
In entrata | ||
Gateway con class: istio |
||
HttpRoute che utilizza parentRef |
||
Traffico mesh | ||
Configurazione dei CRD Istio utilizzando il campo targetRef tra cui AuthorizationPolicy, RequestAuthentication, Telemetry e Wasmplugin |
Se utilizzi cluster collegati di Microsoft AKS o GKE su cluster Azure, devi impostare la seguente annotazione per la risorsa gateway per configurare i controlli di integrità tramite TCP:
service.beta.kubernetes.io/port_80_health-probe_protocol: tcp
In caso contrario, il traffico HTTP non verrà accettato.
Requisiti per l'anteprima dell'API Kubernetes Gateway
L'anteprima dell'API Kubernetes Gateway ha i seguenti requisiti:
Utilizza il comportamento predefinito dei deployment automatici per i gateway.
Utilizza il CRD
HttpRoute
per le configurazioni del routing.HttpRoute
deve avere unparentRef
che punta a un gateway.Non utilizzare Istio Gateway RP e RP dell'API Kubernetes Gateway sullo stesso cluster.
Criteri di bilanciamento del carico
Funzionalità | Cluster GKE su Google Cloud | Altri cluster GKE Enterprise |
---|---|---|
Round robin | ||
Connessioni minime | ||
Casuale | ||
Passthrough | ||
Hash coerente | ||
Località |
Per ulteriori informazioni sui criteri di bilanciamento del carico, consulta Regole di destinazione.
Piano dati
Funzionalità | Cluster GKE su Google Cloud | Altri cluster GKE Enterprise |
---|---|---|
Sidecar | ||
Ambient |
Supporto multi-cluster
Per i deployment multi-principali di cluster GKE in progetti diversi, tutti i cluster devono trovarsi in un Virtual Private Cloud (VPC) condiviso.
Rete
Funzionalità | Cluster GKE su Google Cloud | Cluster GKE Enterprise on-premise | GKE su AWS | GKE su Azure | Cluster collegati |
---|---|---|---|---|---|
Rete singola | |||||
Multipiattaforma |
Note:
- Per i cluster collegati, al momento sono supportati solo i mesh multi-cluster che coprono una singola piattaforma (Microsoft AKS, Amazon EKS).
Modello di deployment
Funzionalità | Cluster GKE su Google Cloud | Cluster GKE Enterprise on-premise | GKE Enterprise su altri cloud pubblici | Cluster collegati |
---|---|---|---|---|
Multi-primaria | ||||
Telecomando principale |
Note sulla terminologia:
Un cluster principale è un cluster con un piano di controllo. Un singolo mesh può avere più di un cluster principale per l'alta disponibilità o per ridurre la latenza. Nella documentazione di Istio 1.7, un deployment multi-principale è definito come piano di controllo replicato.
Un cluster remoto è un cluster che si connette a un piano di controllo al di fuori del cluster. Un cluster remoto può connettersi a un piano di controllo in esecuzione in un cluster principale o a un piano di controllo esterno.
Cloud Service Mesh utilizza una definizione semplificata della rete basata sulla connettività generale. Le istanze del carico di lavoro si trovano sulla stessa rete se possono comunicare direttamente, senza un gateway.
Interfaccia utente
Funzionalità | Cluster GKE su Google Cloud | Google Distributed Cloud | Google Distributed Cloud (solo software) per bare metal | Altri cluster GKE Enterprise |
---|---|---|---|---|
Dashboard di Cloud Service Mesh nella console Google Cloud | * | * | * | |
Cloud Monitoring | * | |||
Cloud Logging | * | |||
Cloud Trace | * |
Nota: i cluster on-premise richiedono GKE Enterprise versione 1.11 o successive. Per ulteriori informazioni sull'upgrade, consulta Upgrade di Google Distributed Cloud (solo software) per VMware o Upgrade di Google Distributed Cloud (solo software) per bare metal.