Rencanakan upgrade
Halaman ini memberikan informasi untuk membantu Anda merencanakan upgrade Cloud Service Mesh. Sebaiknya tinjau juga catatan upgrade Istio.
Tentang upgrade canary
Sebaiknya upgrade Cloud Service Mesh dengan terlebih dahulu menjalankan deployment canary pada bidang kontrol baru. Dengan upgrade canary, asmcli
akan menginstal
revisi baru bidang kontrol
bersama bidang kontrol lama. Bidang kontrol lama dan baru diberi label dengan label revision
, yang berfungsi sebagai ID untuk bidang kontrol.
Untuk memigrasikan workload ke bidang kontrol baru:
Tetapkan label
revision
bidang kontrol baru di salah satu namespace Anda.Lakukan mulai ulang berkelanjutan. Mulai ulang memasukkan ulang proxy file bantuan di Pod sehingga proxy tersebut menggunakan bidang kontrol baru.
Memantau efek upgrade pada workload. Jika perlu menguji aplikasi Anda, ulangi langkah-langkah sebelumnya.
Setelah menguji aplikasi, Anda dapat memigrasikan semua traffic ke bidang kontrol baru atau melakukan rollback ke bidang kontrol lama.
Upgrade canary jauh lebih aman daripada melakukan upgrade langsung karena bidang kontrol baru menggantikan bidang kontrol lama. Untuk mengetahui langkah-langkah mendetail, lihat Beralih ke bidang kontrol baru.
Menyesuaikan bidang kontrol
Jika telah menyesuaikan penginstalan sebelumnya, Anda memerlukan penyesuaian yang sama saat mengupgrade Cloud Service Mesh. Jika menyesuaikan penginstalan dengan menambahkan tanda --set values
ke istioctl install
, Anda harus menambahkan setelan tersebut ke file YAML IstioOperator
, yang disebut sebagai file overlay. Anda menentukan
file overlay dengan menggunakan opsi --custom_overlay
beserta nama file saat
menjalankan asmcli
.
Paket
anthos-service-mesh
di GitHub berisi banyak file overlay. File ini berisi penyesuaian umum
pada konfigurasi default. Anda dapat menggunakan file ini sebagaimana adanya, atau Anda dapat membuat perubahan tambahan padanya sesuai kebutuhan. Beberapa file diperlukan untuk mengaktifkan fitur Cloud Service Mesh opsional.
Paket anthos-service-mesh
akan didownload saat Anda menjalankan asmcli
untuk
memvalidasi project dan cluster Anda.
Saat menginstal Cloud Service Mesh menggunakan asmcli install
, Anda dapat menentukan satu atau beberapa file overlay dengan --option
atau --custom_overlay
.
Jika tidak perlu membuat perubahan pada file di repositori anthos-service-mesh
, Anda dapat menggunakan --option
, dan skrip akan mengambil file dari GitHub untuk Anda. Jika tidak, Anda dapat membuat perubahan pada file overlay, lalu menggunakan
opsi --custom_overlay
untuk meneruskannya ke asmcli
.
Pilih certificate authority
Jika penginstalan Cloud Service Mesh Anda saat ini menggunakan certificate authority Cloud Service Mesh sebagai certificate authority (CA) untuk menerbitkan sertifikat mutual TLS (mTLS), sebaiknya Anda terus menggunakan certificate authority Cloud Service Mesh karena alasan berikut:
- Certificate authority Cloud Service Mesh adalah layanan sangat andal dan skalabel yang dioptimalkan untuk workload yang diskalakan secara dinamis.
- Dengan certificate authority Cloud Service Mesh, Google mengelola keamanan dan ketersediaan backend CA.
- Dengan certificate authority Cloud Service Mesh, Anda dapat mengandalkan satu root kepercayaan di seluruh cluster.
Jika penginstalan Cloud Service Mesh saat ini menggunakan Istio CA (sebelumnya disebut "Citadel"), Anda dapat beralih ke certificate authority Cloud Service Mesh saat melakukan upgrade, tetapi Anda harus menjadwalkan periode nonaktif. Selama upgrade, traffic mTLS terganggu sampai semua workload dialihkan untuk menggunakan bidang kontrol baru dengan certificate authority Cloud Service Mesh.
Sertifikat dari certificate authority Cloud Service Mesh mencakup data berikut tentang layanan aplikasi Anda:
- ID project Google Cloud
- Namespace GKE
- Nama akun layanan GKE
Mengidentifikasi CA Anda
Saat menjalankan asmcli install
untuk melakukan upgrade, Anda menentukan CA yang harus diaktifkan asmcli
di bidang kontrol baru.
Mengubah CA akan menyebabkan periode nonaktif saat Anda men-deploy workload ke bidang kontrol baru. Jika Anda tidak dapat menjadwalkan periode nonaktif, pastikan untuk menentukan CA yang sama untuk bidang kontrol baru yang digunakan bidang kontrol lama. Jika Anda tidak yakin CA mana yang diaktifkan pada mesh Anda, jalankan perintah berikut:
Dapatkan daftar Pod dari salah satu namespace Anda:
kubectl get pods -n NAMESPACE
Ganti
POD_NAME
dengan nama salah satu Pod Anda di perintah berikut:kubectl get pod POD_NAME -n NAMESPACE -o yaml | grep CA_ADDR -A 1
Jika certificate authority Cloud Service Mesh diaktifkan di namespace, Anda akan melihat output berikut:
- name: CA_ADDR value: meshca.googleapis.com:443
Menyiapkan konfigurasi gateway
Cloud Service Mesh memberi Anda opsi untuk men-deploy dan mengelola gateway sebagai bagian dari mesh layanan Anda. Gateway menjelaskan load balancer yang beroperasi di edge mesh yang menerima koneksi HTTP/TCP masuk atau keluar. Gateway adalah proxy Envoy yang memberi Anda kontrol terperinci atas traffic yang masuk dan keluar dari mesh.
asmcli
tidak menginstal istio-ingressgateway
. Sebaiknya deploy dan kelola bidang kontrol dan gateway secara terpisah. Untuk mengetahui informasi selengkapnya, lihat Menginstal dan mengupgrade gateway.
Upgrade platform Anda (opsional)
Sebagai praktik terbaik, Anda harus mengupgrade Cloud Service Mesh ke versi terbaru yang didukung yang juga mendukung platform Anda saat ini. Kemudian, upgrade lingkungan Anda agar berada dalam rentang versi platform dan Kubernetes yang didukung. Terakhir, jika diperlukan, upgrade ke versi terbaru yang didukung dari Cloud Service Mesh.