Pianificazione di un'installazione
bookmark_border Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questa pagina fornisce informazioni utili per pianificare una nuova installazione di Cloud Service Mesh.

Personalizzare il piano di controllo

Le funzionalità supportate da Cloud Service Mesh variano a seconda della piattaforma. I nostri suggerimenti di esaminare le Funzionalità supportate per scopri quali funzionalità sono supportate sulla tua piattaforma. Alcune funzionalità sono attive per impostazione predefinita e altre opzioni che puoi abilitare se possono essere attivate creando un IstioOperator file di overlay. Quando esegui asmcli install, puoi personalizzare il piano di controllo specificando il --custom_overlay con il file di overlay. Come best practice, ti consigliamo di risparmiare i file degli overlay nel sistema di controllo della versione.

La anthos-service-mesh in GitHub contiene molti file di overlay. Questi file contengono personalizzazioni alla configurazione predefinita. Puoi utilizzare questi file mentre o apportare modifiche aggiuntive in base alle necessità. Alcuni file sono tenuti a abilitare le funzionalità facoltative di Cloud Service Mesh. Il pacchetto anthos-service-mesh viene scaricato quando esegui asmcli in convalida il progetto e il cluster.

Quando installi Cloud Service Mesh utilizzando asmcli install, puoi specificare uno o più file di overlay con --option o --custom_overlay. Se non devi apportare modifiche ai file in anthos-service-mesh repository, puoi utilizzare --option e lo script recupera il file da GitHub per te. Altrimenti, puoi apportare modifiche al file dell'overlay e utilizzare --custom_overlay per passarlo a asmcli.

Scegli un'autorità di certificazione

A seconda del caso d'uso, della piattaforma e del tipo di piano di controllo (in-cluster o gestite), puoi scegliere una delle seguenti autorità di certificazione (CA) per emissione del TLS reciproca (mTLS) certificati:

Questa sezione fornisce informazioni generali su ciascuna di queste opzioni di CA e nei loro casi d'uso.

CA mesh

A meno che tu non abbia bisogno di una CA personalizzata, ti consigliamo di usare Autorità di certificazione Cloud Service Mesh per i seguenti motivi:

L'autorità di certificazione Cloud Service Mesh è un servizio altamente affidabile e scalabile, e ottimizzato per carichi di lavoro con scalabilità dinamica.
Con l'autorità di certificazione Cloud Service Mesh, Google gestisce la sicurezza e la disponibilità del backend della CA.
L'autorità di certificazione Cloud Service Mesh ti consente di affidarti a un'unica radice di attendibilità tra cluster.

I certificati emessi dall'autorità di certificazione Cloud Service Mesh includono i seguenti dati su dei servizi della tua applicazione:

ID del progetto Google Cloud
Lo spazio dei nomi GKE
Il nome dell'account di servizio GKE

Servizio CA

Nota sulla piattaforma: CA Service è supportato solo sulla le piattaforme seguenti: cluster GKE su Google Cloud, Google Distributed Cloud e Distributed Cloud. Se esegui asmcli install e specifica --ca gcp_cas su altro piattaforme, l'installazione sembra riuscita, ma i carichi di lavoro non riusciranno per iniziare.

Oltre a Mesh CA, puoi configurare Cloud Service Mesh per utilizzare Certificate Authority Service. Questo offre l'opportunità di eseguire l'integrazione con CA Service, consigliato per i seguenti casi d'uso:

Se sono necessarie autorità di certificazione diverse per firmare i certificati dei carichi di lavoro su cluster diversi.
Se vuoi utilizzare istiod certificati plug-in CA personalizzati.
Se devi eseguire il backup delle chiavi di firma in un HSM gestito.
Se operi in un settore altamente regolamentato e sei soggetto a conformità.
Se vuoi collegare la tua CA Cloud Service Mesh a una radice aziendale personalizzata per firmare i certificati dei carichi di lavoro.

Il costo di Mesh CA è incluso nella Prezzi di Cloud Service Mesh. La CA Service non è incluso nel prezzo base di Cloud Service Mesh ed è con un addebito separato. Inoltre, CA Service include SLA esplicito, al contrario della CA mesh.

Per questa integrazione, sono concessi tutti i carichi di lavoro in Cloud Service Mesh Ruoli IAM:

privateca.workloadCertificateRequester
privateca.auditor
privateca.template (obbligatorio se utilizzi un modello di certificato)

CA Istio

Ti consigliamo di utilizzare Istio CA se soddisfi i seguenti criteri:

Il tuo mesh utilizza già Istio CA e non è necessario disporre dei vantaggi abilitati Autorità di certificazione o servizio CA di Cloud Service Mesh.
Hai bisogno di una CA radice personalizzata.
Hai carichi di lavoro esterni a Google Cloud in cui Il servizio CA gestito da Google Cloud non è accettabile.

Prepara la configurazione del gateway

Cloud Service Mesh ti offre la possibilità di eseguire il deployment dei gateway e gestirli del tuo mesh di servizi. Un gateway descrive un bilanciatore del carico che opera a livello perimetrale del mesh che riceve connessioni HTTP/TCP in entrata o in uscita. I gateway sono Proxy Envoy che forniscono un controllo granulare sul traffico in entrata senza uscire dalla rete.

asmcli non installa istio-ingressgateway. Ti consigliamo di il deployment e la gestione del piano di controllo e dei gateway separatamente. Per maggiori informazioni consulta Installazione e upgrade dei gateway.

Passaggi successivi

Installa strumenti dipendenti e convalida il cluster