Fonctionnalités compatibles avec le plan de contrôle au sein du cluster

Cette page décrit les fonctionnalités compatibles dans Cloud Service Mesh1.21.5 avec un plan de contrôle au sein du cluster. Pour consulter les fonctionnalités acceptées dans Cloud Service Mesh  1.21.5 avec un plan de contrôle géré, consultez la page Plan de contrôle géré.

Versions compatibles

La compatibilité de Cloud Service Mesh est conforme Politique de compatibilité des versions de GKE Enterprise.

Pour le Cloud Service Mesh géré avec une implémentation de plan de contrôle TRAFFIC_DIRECTOR, Google accepte toujours ce plan de contrôle.

Pour Cloud Service Mesh géré avec une implémentation de plan de contrôle ISTIOD, Google accepte la version actuelle de Cloud Service Mesh disponibles dans chaque version disponible.

Pour le maillage de services Cloud Service Mesh auto-installé dans le cluster, Google accepte les API actuelles et les deux versions mineures précédentes (n-2) de Cloud Service Mesh.

Le tableau suivant présente les versions compatibles de Cloud Service Mesh auto-installé dans le cluster et la date de fin de vie minimale pour chaque version.

Version Date de disponibilité Plus ancienne date de fin de vie
1.22 25 juillet 2024 25 avril 2025
1.21 4 juin 2024 4 mars 2025
1.20 8 février 2024 8 novembre 2024

Si vous utilisez une version non compatible de Cloud Service Mesh, vous devez passer à Cloud Service Mesh 1.19 ou version ultérieure. Pour savoir comment consultez Mettre à niveau Cloud Service Mesh.

Le tableau suivant présente les versions non compatibles de Cloud Service Mesh et leur date de fin de vie.

Version Date de disponibilité Date de fin de vie
1.19 31 octobre 2023 Non compatible (31 juillet 2024)
1.18 3 août 2023 Non compatible (4 juin 2024)
1.17 4 avril 2023 Non compatible (8 février 2024)
1.16 21 février 2023 Non compatible (11 Décembre 2023)
1.15 25 octobre 2022 Non compatible (4 août 2023)
1,14 20 juillet 2022 Non compatible (20 avril 2023)
1.13 30 mars 2022 Non compatible (8 février 2023)
1.12 9 Décembre 2021 Non compatible (25 octobre 2022)
1.11 6 Octobre 2021 Non compatible (20 juillet 2022)
1.10 24 juin 2021 Non compatible (30 mars 2022)
1.9 4 mars 2021 Non compatible (14 Décembre 2021)
1.8 15 décembre 2020 Non compatible (14 Décembre 2021)
1,7 3 novembre 2020 Non compatible (14 Décembre 2021)
1,6 30 juin 2020 Non compatible (30 mars 2021)
1.5 20 mai 2020 Non compatible (17 février 2021)
1.4 20 décembre 2019 Non compatible (18 septembre 2020)

Pour en savoir plus sur nos règles d'assistance, consultez la page Assistance.

Différences entre plates-formes

Les fonctionnalités compatibles entre les plates-formes compatibles diffèrent.

Les colonnes Autres clusters GKE Enterprise font référence aux clusters en dehors de Google Cloud, par exemple:

  • Google Distributed Cloud :

    • Cloud distribué de Google
    • Google Distributed Cloud (logiciel uniquement) pour solution Bare Metal

    Cette page utilise Google Distributed Cloud, où la même assistance est disponible sur Google Distributed Cloud (logiciel uniquement) pour VMware et Google Distributed Cloud (logiciel uniquement) pour les solutions Bare Metal et les plate-forme où il existe des différences entre les plates-formes.

  • GKE Enterprise sur d'autres clouds publics :

  • Clusters GKE associés : clusters Kubernetes tiers qui ont été enregistrés dans un parc. Cloud Service Mesh est compatible avec les plates-formes suivantes : types de clusters:

    • Clusters Amazon EKS
    • Clusters Microsoft AKS

Dans les tableaux suivants :

  •  : indique que la fonctionnalité est activée par défaut.
  • * : indique que la fonctionnalité est compatible avec la plate-forme et qu'elle peut être activée, comme décrit dans la section Activer les fonctionnalités facultatives ou dans le guide de fonctionnalités dont le lien se trouve dans le tableau des fonctionnalités.
  • Compatible : indique que la fonctionnalité ou l'outil tiers intégrera ou est compatible avec Cloud Service Mesh, mais n'est pas entièrement compatible avec l'assistance Google Cloud ; et aucun guide de fonctionnalité n'est disponible.
  • : indique que la fonctionnalité n'est pas ou non compatible avec Cloud Service Mesh 1.21.5.

Les fonctionnalités par défaut et facultatives sont entièrement prises en charge par l'assistance Google Cloud. Les fonctionnalités qui ne sont pas explicitement répertoriées dans les tableaux bénéficient d'une assistance selon le principe du meilleur effort.

Images de base

Caractéristique Clusters GKE sur Google Cloud Autres clusters GKE Enterprise
Image de proxy Distroless

Sécurité

Mécanismes de distribution/rotation des certificats

Caractéristique Clusters GKE sur Google Cloud Autres clusters GKE Enterprise
Gestion des certificats de charge de travail
Gestion des certificats externes sur les passerelles d'entrée et de sortie

Compatibilité avec l'autorité de certification (CA)

Caractéristique Clusters GKE sur Google Cloud Clusters GKE Enterprise sur site Autres clusters GKE Enterprise
Autorité de certification Cloud Service Mesh
Certificate Authority Service * *
Istio CA (anciennement Citadel) * *
Intégration de vos propres certificats CA Compatible avec CA Service et Istio CA Compatible avec CA Service et Istio CA Compatible avec Istio CA

Fonctionnalités de sécurité de Cloud Service Mesh

En plus d'être compatible avec les fonctionnalités de sécurité d'Istio, Cloud Service Mesh offre plus de fonctionnalités pour vous aider à sécuriser vos applications.

Caractéristique Clusters GKE sur Google Cloud Cloud distribué GKE Multi-Cloud Autres clusters GKE Enterprise
Intégration IAP
Authentification de l'utilisateur final
Règles d'audit (preview) *
Mode de simulation
Journalisation de refus

Règle d'autorisation

Caractéristique Clusters GKE sur Google Cloud Autres clusters GKE Enterprise
Règle d'autorisation v1beta1
Modélisation des chemins

Stratégie d'authentification

Authentification des pairs

Caractéristique Clusters GKE sur Google Cloud Autres clusters GKE Enterprise
mTLS automatique
mTLS en mode PERMISSIVE

Pour en savoir plus sur l'activation du mode mTLS STRICT, consultez la section Configurer la sécurité du transport.

Authentification des requêtes

Caractéristique Clusters GKE sur Google Cloud Autres clusters GKE Enterprise
Authentification JWT (Remarque 1)

Remarques :

  1. Le JWT tiers est activé par défaut.

Télémétrie

Métriques

Caractéristique Clusters GKE sur Google Cloud Clusters GKE Enterprise sur site Autres clusters GKE Enterprise
Cloud Monitoring (métriques HTTP dans le proxy)
Cloud Monitoring (métriques TCP dans le proxy)
API Istio Telemetry
Adaptateurs/Backends personnalisés, via un processus ou hors processus
Backends de télémétrie et de journalisation arbitraires
Exportation des métriques Prometheus vers les tableaux de bord Prometheus, Grafana et Kiali installés par le client Compatible Compatible Compatible
Google Cloud Managed Service pour Prometheus, à l'exclusion du tableau de bord Cloud Service Mesh
Le graphique de topologie dans la console Google Cloud n'utilise plus le service de télémétrie Mesh comme source de données. Bien que la source de données du graphique de topologie ait changé, l'UI reste la même.

Journalisation des requêtes de proxy

Caractéristique Clusters GKE sur Google Cloud Clusters GKE Enterprise sur site Autres clusters GKE Enterprise
Journaux de trafic
Journaux d'accès * * *

Trace

Caractéristique Clusters GKE sur Google Cloud Clusters GKE Enterprise sur site Autres clusters GKE Enterprise
Cloud Trace * *
Traçage Jaeger (permet l'utilisation de Jaeger géré par le client) Compatible Compatible Compatible
Traçage Zipkin (permet d'utiliser Zipkin géré par le client) Compatible Compatible Compatible

Mise en réseau

Mécanisme de direction/redirection du trafic

Caractéristique Clusters GKE sur Google Cloud Autres clusters GKE Enterprise
Utilisation classique de iptables à l'aide de conteneurs init avec CAP_NET_ADMIN
CNI (Container Network Interface) * *

Compatibilité avec le protocole

Les services configurés avec des fonctionnalités de couche 7 pour les protocoles suivants ne sont pas compatibles : WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ, Cloud SQL. Vous pourrez peut-être faire en sorte que le protocole fonctionne à l'aide de la prise en charge de flux d'octets TCP. Si le flux d'octets TCP n'est pas compatible avec le protocole (par exemple, Kafka envoie une adresse de redirection dans une réponse spécifique au protocole n'est pas compatible avec la logique de routage de Cloud Service Mesh), n'est pas compatible.

Caractéristique Clusters GKE sur Google Cloud Autres clusters GKE Enterprise
IPv4
HTTP/1.1
HTTP/2
Flux d'octets TCP (Remarque 1)
gRPC
IPv6

Remarques :

  1. Bien que TCP soit un protocole compatible pour la mise en réseau, les métriques TCP ne sont ni collectées, ni signalées. Les métriques ne sont affichées que pour les services HTTP dans la console Google Cloud.

Déploiements Envoy

Caractéristique Clusters GKE sur Google Cloud Autres clusters GKE Enterprise
Side-cars
Passerelle d'entrée
Sortie directe à partir des side-cars
Sortie à l'aide de passerelles de sortie * *

Compatibilité des CRD

Caractéristique Clusters GKE sur Google Cloud Autres clusters GKE Enterprise
Compatibilité avec l'API Istio (exceptions ci-dessous)
Filtres Envoy personnalisés

Équilibreur de charge pour la passerelle d'entrée Istio

Caractéristique Clusters GKE sur Google Cloud Autres clusters GKE Enterprise
Équilibreur de charge externe tiers
Équilibreur de charge interne Google Cloud * Non compatible Consultez les liens ci-dessous.

Pour en savoir plus sur la configuration des équilibreurs de charge, consultez les pages suivantes :

API Kubernetes Gateway (preview)

Dans Cloud Service Mesh v1.20, l'API Kubernetes Gateway est disponible en tant que un aperçu.

Caractéristique Clusters GKE sur Google Cloud Autres clusters GKE Enterprise
Entrée
Passerelle avec class: istio
Route HTTP avec parentRef
Trafic maillé
Configurer les CRD Istio à l'aide du champ targetRef
y compris AuthorizationPolicy, RequestAuthentication, Telemetry et WasmPlugin

Si vous utilisez des clusters associés Microsoft AKS ou GKE sur des clusters Azure, vous devez définir l'annotation suivante pour la ressource de passerelle afin de configurer les vérifications d'état via TCP :

  service.beta.kubernetes.io/port_80_health-probe_protocol: tcp

Sinon, le trafic HTTP ne sera pas accepté.

Configuration requise pour la version preview de l'API Kubernetes Gateway

La version preview de l'API Kubernetes Gateway présente les exigences suivantes :

  • Utilisez le comportement de déploiement automatisé par défaut pour les passerelles.

  • Utilisez l'objet CRD HttpRoute pour les configurations de routage. HttpRoute doit comporter un parentRef pointant vers une passerelle.

  • N'utilisez pas de CRD Istio Gateway et de CRD API Kubernetes Gateway sur le même cluster.

Règles d'équilibrage de charge

Caractéristique Clusters GKE sur Google Cloud Autres clusters GKE Enterprise
Round robin (à tour de rôle)
connexions minimales
Aléatoire
Passthrough
Hachage cohérent
Localité

Pour en savoir plus sur les règles d'équilibrage de charge, consultez la page Règles de destination.

Plan de données

Caractéristique Clusters GKE sur Google Cloud Autres clusters GKE Enterprise
Sidecar
Ambiance

Compatibilité multicluster

Dans le cas de plusieurs déploiements principaux de clusters GKE dans différents projets, tous les clusters doivent se trouver dans un cloud privé virtuel partagé (VPC).

Réseau

Caractéristique Clusters GKE sur Google Cloud Clusters GKE Enterprise sur site GKE sur AWS GKE sur Azure Clusters associés
Réseau unique
Plusieurs réseaux

Remarques :

  • Pour les clusters associés, uniquement les maillages multicluster couvrant une seule plate-forme (Microsoft AKS et Amazon EKS) sont actuellement pris en charge.

Modèle de déploiement

Caractéristique Clusters GKE sur Google Cloud Clusters GKE Enterprise sur site GKE Enterprise sur d'autres clouds publics Clusters associés
Plusieurs serveurs principaux
Serveurs principaux à distance

Remarques sur la terminologie:

  • Un cluster principal est un cluster avec un plan de contrôle. Un seul maillage peut disposer de plusieurs clusters principaux pour assurer une haute disponibilité ou réduire la latence. Dans la documentation d'Istio 1.7, plusieurs déploiements principaux sont appelés "plan de contrôle répliqué".

  • Un cluster distant est un cluster qui se connecte à un plan de contrôle situé en dehors du cluster. Un cluster distant peut se connecter à un plan de contrôle exécuté dans un cluster principal ou à un plan de contrôle externe.

  • Cloud Service Mesh utilise une définition simplifiée du réseau basée sur des la connectivité. Les instances de charge de travail se trouvent sur le même réseau si elles peuvent communiquer directement, sans passerelle.

Interface utilisateur

Feature Clusters GKE sur Google Cloud Cloud distribué de Google Google Distributed Cloud (logiciel uniquement) pour solution Bare Metal Autres clusters GKE Enterprise
Tableaux de bord Cloud Service Mesh dans la console Google Cloud * * *
Cloud Monitoring *
Cloud Logging *
Cloud Trace *

Remarque : Les clusters sur site nécessitent GKE Enterprise version 1.11 ou ultérieure. Pour en savoir plus sur la mise à niveau, consultez les pages Mettre à niveau Google Distributed Cloud (logiciel uniquement) pour VMware ou Mettre à niveau Google Distributed Cloud (logiciel uniquement) pour Bare Metal.