Prerequisiti di Cloud Service Mesh
In questa pagina vengono descritti i prerequisiti e i requisiti per l'installazione Cloud Service Mesh, ad esempio licenze GKE Enterprise, requisiti dei cluster, parco risorse e requisiti generali.
Progetto cloud
Prima di iniziare:
Verifica che la fatturazione sia abilitata per il tuo progetto.
Licenze GKE Enterprise
GKE
Cloud Service Mesh è disponibile con GKE Enterprise o come servizio autonomo.
Le API di Google vengono utilizzate per determinare le modalità di fatturazione. Per utilizzare Cloud Service Mesh come
un servizio autonomo, non abilitare l'API GKE Enterprise nel tuo progetto.
asmcli abilita tutte le altre API di Google richieste per tuo conto. Per
informazioni sui prezzi di Cloud Service Mesh, consulta la pagina Prezzi.
- Gli abbonati a GKE Enterprise devono assicurarsi di abilitare l'API GKE Enterprise.
Se non hai un abbonamento a GKE Enterprise, puoi comunque installare Cloud Service Mesh, ma alcuni elementi UI e funzionalità della console Google Cloud disponibile solo per gli abbonati a GKE Enterprise. Per informazioni su le informazioni disponibili per gli iscritti e non, vedi Differenze tra le UI di GKE Enterprise e Cloud Service Mesh.
Se hai abilitato l'API GKE Enterprise, ma vuoi utilizzare Cloud Service Mesh come un servizio autonomo, disabilitare l'API GKE Enterprise.
Al di fuori di Google Cloud
Per installare Cloud Service Mesh on-premise, su GKE su AWS, on-premise Amazon EKS, o su Microsoft AKS, devi essere cliente di GKE Enterprise. I clienti di GKE Enterprise non vengono fatturati separatamente per Cloud Service Mesh perché poiché è già incluso nei prezzi di GKE Enterprise. Per ulteriori informazioni, consulta la guida ai prezzi di GKE Enterprise.
Requisiti generali
Per essere incluse nel mesh di servizi, le porte di servizio devono essere denominate e il nome deve includere il protocollo della porta nella seguente sintassi:
name: protocol[-suffix]dove le parentesi quadre indicano un suffisso facoltativo che deve iniziare con un trattino. Per ulteriori informazioni, vedi Denominazione delle porte dei servizi.Se hai creato un perimetro di servizio nella tua organizzazione, potresti dover aggiungere il servizio di autorità di certificazione Cloud Service Mesh al perimetro. Consulta Aggiunta dell'autorità di certificazione Cloud Service Mesh a un perimetro di servizio per ulteriori informazioni.
Se vuoi modificare i limiti delle risorse predefiniti per il container collaterale
istio-proxy, i nuovi valori devono essere maggiori di valori predefiniti a per evitare eventi di esaurimento della memoria (OOM).A un progetto Google Cloud può essere associato un solo mesh.
Requisiti per i cluster
GKE
Verifica che la versione del cluster sia elencata in Piattaforme supportate.
Il tuo cluster GKE deve soddisfare i seguenti requisiti:
Il cluster GKE deve essere Standard. I cluster Autopilot supportata solo con Cloud Service Mesh gestito.
Un tipo di macchina con almeno 4 vCPU, come
e2-standard-4. Se il tipo di macchina per il cluster non ha almeno 4 vCPU, modificare il tipo di macchina come descritto in Migrazione dei carichi di lavoro a tipi di macchine diversi.Il numero minimo di nodi dipende dal tipo di macchina. Cloud Service Mesh richiede almeno 8 vCPU. Se il tipo di macchina ha 4 vCPU, il cluster deve avere almeno due nodi. Se il tipo di macchina ha 8 vCPU, il cluster ha bisogno di un solo nodo. Se devi aggiungere nodi, consulta Ridimensionamento di un cluster.
L'identità dei carichi di lavoro GKE è obbligatoria. Ti consigliamo di Attiva Workload Identity prima di installare Cloud Service Mesh. L'abilitazione di Workload Identity cambia il modo dai carichi di lavoro alle API di Google siano protette, come descritto Limitazioni di Workload Identity. Tieni presente che non è necessario abilitare Server metadati GKE su pool di nodi esistenti.
(Facoltativo ma consigliato) registra il cluster in una canale di rilascio. Ti consigliamo di registrarti al canale di rilascio regolare perché altri i canali potrebbero essere basati su una versione GKE non supportata con Cloud Service Mesh 1.23.2. Per ulteriori informazioni, vedi Piattaforme supportate. Segui le istruzioni in Registrazione di un cluster esistente in un canale di rilascio se hai una versione GKE statica.
Se stai installando Cloud Service Mesh su un cluster privato, devi aprire la porta 15017 nel firewall per recuperare i webhook utilizzati per inserimento automatico del file collaterale e configurazione che la convalida funzioni correttamente. Per ulteriori informazioni, vedi Apertura di una porta su un cluster privato
Assicurati che la macchina client da cui installi Cloud Service Mesh abbia la connettività di rete al server API.
Per i carichi di lavoro Windows Server, Cloud Service Mesh non è supportato. Se le tue un cluster ha pool di nodi Linux e Windows Server, puoi comunque installare Cloud Service Mesh e utilizzarlo sui tuoi carichi di lavoro Linux.
- Dopo il provisioning di Cloud Service Mesh, devi contatta l'assistenza prima di iniziare la rotazione IP o rotazione delle credenziali del certificato.
Al di fuori di Google Cloud
Assicurati che il cluster utente su cui installi Cloud Service Mesh abbia almeno 4 vCPU, 15 GB di memoria e 4 nodi.
Verifica che la versione del cluster sia elencata in Piattaforme supportate.
Assicurati che la macchina client da cui installi Cloud Service Mesh abbia la connettività di rete al server API.
Se esegui il deployment di file collaterali nei pod di applicazioni in cui la connettività diretta ai servizi CA (come
meshca.googleapis.comeprivateca.googleapis.com) non è disponibile, devi configurare un proxy HTTPS esplicito basato suCONNECT.Per i cluster pubblici con regole firewall in uscita impostate che bloccano regole implicite, assicurati di avere configurate regole HTTP/HTTPS e DNS per raggiungere le API pubbliche di Google.
Requisiti del parco risorse
Con Cloud Service Mesh 1.11 e versioni successive, tutti i cluster devono essere registrati in un
fleet e
identità dei carichi di lavoro del parco risorse
devono essere abilitati. Puoi
configurare i cluster
oppure puoi lasciare che asmcli registri i cluster a condizione che
devono soddisfare i seguenti requisiti:
GKE: (si applica a Cloud Service Mesh gestito e in-cluster) Abilitazione di GKE Workload Identity sul cluster Google Kubernetes Engine, se non è già abilitato. Inoltre, deve registrare il cluster utilizzando Workload Identity del parco risorse.
Cluster GKE esterni a Google Cloud: (si applica a Cloud Service Mesh nel cluster) Google Distributed Cloud, Google Distributed Cloud, GKE su AWS e GKE on Azure viene eseguito registrati automaticamente nel parco risorse al momento della creazione del cluster. Dati aggiornati GKE Enterprise 1.8, tutti questi tipi di cluster abilitano automaticamente il parco risorse Workload Identity al momento della registrazione. I cluster registrati esistenti vengono aggiornati per utilizzare Workload Identity del parco risorse quando viene eseguito l'upgrade a GKE Enterprise 1.8.
Cluster Amazon EKS: (si applica al mesh di servizi Cloud nel cluster) il cluster deve avere un provider di identità OIDC IAM pubblico. Segui le istruzioni in Crea un provider OIDC IAM per il tuo cluster per verificare l'esistenza di un provider e, se necessario, crearne uno.
Quando esegui asmcli install, specifichi l'ID progetto
del
progetto host del parco risorse.
asmcli registra il cluster, se non è già registrato.