面向持续客户的代管式控制平面
本文档适用于 Anthos Service Mesh 持续客户 使用代管式控制平面或集群内控制平面此文档 讨论了控制平面的实现,以及 控制平面
如果您是持续的 Traffic Director 客户或新客户, 不需要阅读本文档。
控制平面概览
在服务网格中,控制平面提供流量管理、代理管理(在使用 Envoy 代理时)和其他网络功能。
Anthos Service Mesh 提供两个控制平面:代管式控制平面和集群内控制平面。仅 Envoy 代理用作数据平面。
新建代管式控制平面
新的代管式控制平面称为 Traffic Director (TD) 实施。新的控制平面对您来说意味着什么?
从 Anthos Service Mesh 产品迁移到 Cloud Service Mesh 将迁移到多租户全局控制平面。
Anthos Service Mesh 中使用的代管式控制平面专门用于单个 集群。虽然用于 GKE 的 API(Istio CRD)相同,并且发送到边车的 xDS 配置兼容且没有行为差异,但控制平面差异会导致最终用户可见的一些特性。
- 配置更改响应时间。使用新控制平面时,新服务部署或服务政策更改需要稍长时间。
- 配置流水线对 可靠性。第一个通过执行验证以检查 配置的格式是否正确。后续阶段 将配置全局传播到服务部署。为了支持使用 Google Cloud 服务(例如全球跨可用区或跨区域负载均衡、集中式健康检查、由流量驱动的自动扩缩和受管理的速率限制),系统会将配置传播到这些系统,并独立验证配置是否正确。该配置 以保证 Google 站点可靠性的方式进行内部存储 可靠而高效地执行产品运营 处理这些事件
- 这些操作可提高可靠性,但会导致配置推送速度比 Anthos Service Mesh 当前用户观察到的延迟时间慢。
- 任何新 Pod 提取现有配置的延迟时间为 使用新控制平面后,它们的测量结果要稍微好一点。缓慢的配置推送适用于首次传播创建的任何新服务或为服务推送的任何新政策。端点传播 但延迟时间在功能上是类似的
- 对端点进行事件伸缩和其他更改的速度。使用新控制平面处理这些问题的速度至少与之前一样快。这些活动 包括由于 Pod 横向自动扩缩而启动或停止的新 Pod, 以及由于已迁移至其他 IP 地址而使用新 IP 地址重启的 Pod 集群节点
- 扩缩端点数量。采用新的全球控制平面后, 网格的端点直接从每个集群发送到 从网格中所有集群的角度平面。与之前的代管式控制平面所用的方法相比,这种方法更简单、更快速且更易于扩展。在 旧的代管式控制平面(专用控制平面)模型,每个 Istiod 都必须 与网格中的其他集群进行通信,以确定端点 在其他集群中可用有了全局控制平面后 端点直接传播到全局控制平面。这样,您就可以 提高网格的可靠性和性能 并允许网格扩容为更多端点。
新的控制平面会对您有何影响?
新的控制平面对您有何影响取决于 资源。
- 如果您是 Traffic Director 用户,您的控制平面将保持不变。您 不需要阅读本指南的其余部分。适用于 Cloud Service Mesh 实现位于配置 Google Cloud API。
- 如果您是 Anthos Service Mesh 用户,请了解控制平面的后续步骤
取决于您是否在现有部署中使用代管式控件
或集群内控制平面
- 如果您使用的是代管式控制平面,除了某些例外情况外,您的现有服务器群将迁移到新的控制平面(在 Cloud Service Mesh 中称为代管式控制平面 [Traffic Director,简称 TD] 实现)。请阅读下一部分:控制平面 现有网格和舰队的迁移。如果您使用的功能不受 Traffic Director 控制平面实现支持,则您暂时会保留旧版控制平面。您应继续阅读本指南。
- 如果您使用的是集群内控制平面,则控制平面保持不变。您无需阅读本指南的其余部分。
- 如果您没有 Google Cloud 组织,但使用 代管式控制平面,您将获得 TD 控制平面。
- 如果您是 Anthos Service Mesh 客户,并且正在创建新的车队,则会收到 Traffic Director 控制平面实现。您
请继续阅读本指南。
- 您会收到关于以下日期的通知: 新舰队接收 TD 控制平面。
针对现有网格和舰队的控制平面迁移
自 2024 年 7 月 22 日起,Google 将逐步更新现有集群以使用 具有 TD 实现的代管式控制平面。我们会提前通知您 更新网格。
您可以查看 Istiod 和 Traffic Director 控制方案的功能 介绍使用 Istio API 支持的功能(代管式控件 。
您应该会在集群安排更新前至少两周收到通知。您可以在集群级地图项状态条件中使用通知。
使用以下 Google Cloud CLI 命令检查通知:
gcloud container hub mesh describe --project=[PROJECT_ID]
您会看到如下所示的结果:
membershipStates:
projects/656460026795/locations/us-central1/memberships/cluster:
servicemesh:
conditions:
- code: MODERNIZATION_SCHEDULED
details: This cluster has been scheduled for modernization on or after (date ~ at least 2 weeks).
documentationLink:
severity: INFO
使用
meshconfig.googleapis.com API 将自动注册到舰队
在集群的项目中使用 gkehub.googleapis.com Membership API。如果您有任何用于取消注册集群的自动化操作,则必须先将其移除,否则迁移将会出现问题。为了让受管产品能够成功运行,必须将其注册到启用了网格功能的舰队。
如需进行自定义,请与支持团队联系 或者您对是否使用不受支持的 功能。
在迁移期间,系统会以安全可控的方式进行以下更改:
- 要启用运行状况检查,
snk在kube-system命名空间,以及每个集群的防火墙规则 创建。 - 如需启用网络端点组 (NEG) 提取功能,系统会将注解
cloud.google.com/neg添加到所有 Kubernetes 服务。 - 新的 Google Cloud 资源,例如
Mesh,Routes、后端 服务和运行状况 的检查是在 集群。 - 系统会重启由 Kubernetes 部署管理的 Pod,以便重新连接到 Traffic Director 控制平面。
部分新资源有配额限制。您可以 查看配额并在必要时申请更多配额。
检查控制平面兼容性
查看代管式控制平面实现之间支持的功能差异,以确定您当前对 Cloud Service Mesh 的使用是否需要更改。
新网格的控制平面
自 2024 年 7 月 1 日起,受管理的istiod控件的大多数现有用户
平面实现将开始接收更新后的代管式控制平面
采用 Google 的全球实施方案 - Traffic Director (TD)
在新舰队中部署控制平面
目前使用代管式 Cloud Service Mesh 且istiod的用户
控制平面实现与 Traffic Director 不兼容
未进行更改的实现将继续获得 istiod 实现
至 2024 年 9 月 8 日。如果您的组织属于这种情况,那么您收到的
服务公告。
如果您将新的车队纳入托管式 Cloud Service Mesh,并且此车队不在 Google Cloud 组织中,或者位于新的 Google Cloud 组织中,那么您将从 Cloud Service Mesh 发布之日起获得采用 TD 实现的新托管式控制平面。
后续步骤
- 如果您仍然是 Anthos Service Mesh 客户,请参阅左侧目录下的 使用 Istio API 配置服务网格。
- 如果您仍然是 Traffic Director 客户,您的文档位于 使用 Google Cloud API 配置服务网格。