이 페이지에서는 TRAFFIC_DIRECTOR 또는 ISTIOD를 컨트롤 플레인으로 사용하는 Cloud Service Mesh에 지원되는 기능과 제한사항, 각 구현 간의 차이점을 설명합니다. 이러한 옵션은 선택할 수 없습니다. ISTIOD 구현은 기존 사용자에게만 제공됩니다.
새 설치는 가능한 경우 TRAFFIC_DIRECTOR 구현을 사용합니다.
마이그레이션 및 업그레이드는 Mesh CA와 함께 설치된 클러스터 내 Cloud Service Mesh 버전 1.9 이상에서만 지원됩니다. Istio CA(이전 명칭: Citadel)를 사용하여 설치하는 경우 먼저 Mesh CA로 마이그레이션해야 합니다.
확장은 클러스터당 1,000개 서비스 및 5,000개 워크로드로 제한됩니다.
멀티 클러스터에 대해서는 다중 기본 배포 옵션만 지원되며, 멀티 클러스터에 대해 기본 원격 배포 옵션은 지원되지 않습니다.
istioctl ps는 지원되지 않습니다. 대신 문제 해결에 설명된 대로 gcloud beta container fleet mesh debug 명령어를 사용할 수 있습니다.
지원되지 않는 API:
EnvoyFilter API
WasmPlugin API
IstioOperator API
Kubernetes Ingress API
GKE Enterprise를 구독하지 않고도 관리형 컨트롤 플레인을 사용할 수 있지만 Google Cloud 콘솔의 특정 UI 요소와 기능은 GKE Enterprise 구독자에게만 제공됩니다. 구독자와 비구독자가 사용할 수 있는 항목에 대한 자세한 내용은 GKE Enterprise 및 Cloud Service Mesh UI 차이점을 참조하세요.
관리형 제어 영역의 프로비저닝 프로세스 중에 선택한 채널에 해당하는 Istio CRD가 지정된 클러스터에 설치됩니다. 클러스터에 기존 Istio CRD가 있으면 덮어씁니다.
관리형 Cloud Service Mesh는 기본 DNS 도메인인 .cluster.local만 지원합니다.
2023년 11월 14일부터는 빠른 출시 채널에서 관리형 Cloud Service Mesh를 새로 설치하면 Envoy만 사용하여 JWKS를 가져옵니다. 이는 PILOT_JWT_ENABLE_REMOTE_JWKS=envoy Istio 옵션과 동일합니다. 규칙적이고 안정적인 출시 채널에 설치된 것과 비교하거나 2023년 11월 14일 이전에 신속한 출시 채널에 설치된 것과 비교하면 추가 ServiceEntry 및 DestinationRule 구성이 필요할 수 있습니다. 이에 관한 예시는 requestauthn-with-se.yaml.tmpl을 참조하세요.
컨트롤 플레인 차이점
ISTIOD와 TRAFFIC_DIRECTOR 컨트롤 플레인 구현 간에 지원되는 기능이 다릅니다. 사용 중인 구현을 확인하려면 컨트롤 플레인 구현 식별을 참조하세요.
– 기능이 제공되며 기본적으로 사용 설정되어 있음을 나타냅니다.
† - 기능 API가 다양한 플랫폼 간에 차이가 있을 수 있음을 나타냅니다.
* – 선택적 기능 사용 설정 또는 기능 테이블에 링크된 기능 가이드에 설명된 대로 해당 기능이 플랫폼에 지원되고 사용 설정될 수 있음을 나타냅니다.
§ – 기능이 허용 목록에서 지원됨을 나타냅니다. 관리형 Anthos Service Mesh의 이전 사용자는 조직 수준에서 자동으로 허용 목록에 추가됩니다.
액세스를을 요청하거나 허용 목록 상태를 확인하려면 Google Cloud 지원팀에 문의하세요.
– 기능이 제공되지 않거나 지원되지 않음을 나타냅니다.
기본 기능 및 선택적 기능은 Google Cloud 지원팀에서 완전하게 지원됩니다. 표에 명시적으로 나열되지 않은 기능은 최선의 지원을 받습니다.
컨트롤 플레인 구현을 결정하는 요소
Fleet에서 관리형 Cloud Service Mesh를 처음으로 프로비저닝하면 사용할 컨트롤 플레인 구현이 결정됩니다. 동일한 구현이 해당 Fleet에서 관리형 Cloud Service Mesh를 프로비저닝하는 모든 클러스터에 사용됩니다.
관리형 Cloud Service Mesh에 온보딩하는 새 Fleet은 특정 예외를 제외하고 TRAFFIC_DIRECTOR 컨트롤 플레인 구현을 수신합니다.
기존 관리형 Cloud Service Mesh 사용자인 경우 2024년 6월 30일까지 동일한 Google Cloud 조직의 새 Fleet을 관리형 Cloud Service Mesh에 온보딩할 때 ISTIOD 컨트롤 플레인 구현을 수신합니다.
이러한 사용자 중 한 명인 경우 지원팀에 문의하여 이 동작을 미세 조정할 수 있습니다.
기존 사용량이 변경 없이 TRAFFIC_DIRECTOR 구현과 호환되지 않는 사용자는 2024년 9월 8일까지 ISTIOD 구현을 계속 받게 됩니다. (이러한 사용자에게는 서비스 공지가 전송되었습니다.)
관리형 Cloud Service Mesh를 프로비저닝할 때 Fleet의 클러스터에서 Certificate Authority Service를 사용하는 경우 ISTIOD 컨트롤 플레인 구현이 수신됩니다.
관리형 Cloud Service Mesh를 프로비저닝할 때 Fleet의 클러스터에 클러스터 내 Cloud Service Mesh 컨트롤 플레인이 포함된 경우 ISTIOD 컨트롤 플레인 구현이 수신됩니다.
Fleet의 클러스터에서 GKE 샌드박스를 사용하는 경우 관리형 Cloud Service Mesh를 프로비저닝할 때 ISTIOD 컨트롤 플레인 구현이 수신됩니다.
† 관리형(TD) 컨트롤 플레인이 포함된 Cloud Service Mesh는 distroless 이미지 유형만 지원합니다. 변경은 불가능합니다.
Distroless 이미지에는 최소한의 바이너리가 있으므로 bash 또는 curl과 같은 일반적인 명령어는 distroless 이미지에 없으므로 실행할 수 없습니다.
하지만 임시 컨테이너를 사용하여 실행 중인 워크로드 포드에 연결하여 검사하고 커스텀 명령어를 실행할 수 있습니다. 예시는 Cloud Service Mesh 로그 수집을 참고하세요.
TCP는 네트워킹 및 TCP 측정항목 수집에 지원되는 프로토콜이지만 보고되지는 않습니다. 측정항목은 Google Cloud 콘솔의 HTTP 서비스에만 표시됩니다.
WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ, Cloud SQL 등의 프로토콜을 위한 레이어 7 기능으로 구성된 서비스는 지원되지 않습니다. TCP 바이트 스트림 지원을 사용하여 프로토콜을 작동시킬 수 있습니다. TCP 바이트 스트림에서 프로토콜을 지원할 수 없는 경우(예: Kafka가 프로토콜별 응답에서 리디렉션 주소를 전송하고 이 리디렉션이 Cloud Service Mesh의 라우팅 로직과 호환되지 않는 경우)에는 프로토콜이 지원되지 않습니다.
Envoy 배포
기능
관리형(TD)
관리형(istiod)
사이드카
인그레스 게이트웨이
사이드카에서 직접 이그레스
이그레스 게이트웨이를 사용한 이그레스
*
*
CRD 지원
기능
관리형(TD)
관리형(istiod)
사이드카 리소스
서비스 항목 리소스
비율, 결함 삽입, 경로 일치, 리디렉션, 재시도, 재작성, 제한 시간, 재시도, 미러링, 헤더 조작, CORS 라우팅 규칙
† TRAFFIC_DIRECTOR 컨트롤 플레인 구현은 다음 필드와 필드의 값을 지원하지 않습니다.
workloadSelector 필드
endpoints[].network 필드
endpoints[].locality 필드
endpoints[].weight 필드
endpoints[].serviceAccount 필드
resolution 필드의 DNS_ROUND_ROBIN 값
location 필드의 MESH_INTERNAL 값
endpoints[].address 필드의 Unix 도메인 소켓 주소
subjectAltNames 필드
대상 규칙
기능
관리형(TD)
관리형(istiod)
DestinationRule v1beta1
†
† TRAFFIC_DIRECTOR 컨트롤 플레인 구현은 trafficPolicy.loadBalancer.localityLbSetting 필드와 trafficPolicy.tunnel 필드를 지원하지 않습니다.
또한 TRAFFIC_DIRECTOR 컨트롤 플레인 구현에서는 하위 집합을 정의하는 대상 규칙이 Kubernetes 서비스 또는 ServiceEntry와 동일한 네임스페이스 및 클러스터에 있어야 합니다.
Sidecar
기능
관리형(TD)
관리형(istiod)
Sidecar v1beta1
†
† TRAFFIC_DIRECTOR 컨트롤 플레인 구현은 다음 필드와 필드의 값을 지원하지 않습니다.
ingress 필드
egress.port 필드
egress.bind 필드
egress.captureMode 필드
inboundConnectionPool 필드
MeshConfig
기능
관리형(TD)
관리형(istiod)
LocalityLB
§
ExtensionProviders
§
CACert
ImageType - distroless
§
OutboundTrafficPolicy
§
defaultProviders.accessLogging
defaultProviders.tracing
defaultConfig.tracing.stackdriver
§
accessLogFile
§
ProxyConfig
기능
관리형(TD)
관리형(istiod)
DNS 프록시(ISTIO_META_DNS_CAPTURE, ISTIO_META_DNS_AUTO_ALLOCATE)
[[["이해하기 쉬움","easyToUnderstand","thumb-up"],["문제가 해결됨","solvedMyProblem","thumb-up"],["기타","otherUp","thumb-up"]],[["Hard to understand","hardToUnderstand","thumb-down"],["Incorrect information or sample code","incorrectInformationOrSampleCode","thumb-down"],["Missing the information/samples I need","missingTheInformationSamplesINeed","thumb-down"],["번역 문제","translationIssue","thumb-down"],["기타","otherDown","thumb-down"]],["최종 업데이트: 2024-12-22(UTC)"],[],[]]