Requisitos previos de Cloud Service Mesh en el clúster
En esta página, se describen los requisitos previos y los requisitos para la instalación Malla de servicios de Cloud en el clúster para cargas de trabajo de Kubernetes fuera de Google Cloud, como como las licencias de GKE Enterprise, los requisitos de los clústeres, los requisitos de la flota y requisitos generales.
Proyecto de Cloud
Antes de comenzar:
Verifica que la facturación esté habilitada para tu proyecto.
Licencias de GKE Enterprise
Para instalar Cloud Service Mesh de forma local, en GKE en AWS, en Amazon EKS, en GKE en Azure o en Microsoft AKS, debes tener cliente de GKE Enterprise. A los clientes de GKE Enterprise no se les factura por separado por Cloud Service Mesh porque ya está incluido en los precios de GKE Enterprise. Para obtener más información, consulta la Guía de precios de GKE Enterprise.
Requisitos generales
Para que se los incluya en la malla de servicios, los puertos de servicio deben tener un nombre, y ese nombre debe incluir el protocolo del puerto en la siguiente sintaxis:
name: protocol[-suffix], en la que los corchetes indican un sufijo opcional que debe comenzar con un guion. Para obtener más información, consulta Asigna nombres a puertos de servicio.Si creaste un perímetro de servicio en tu organización, es posible que debas agregar el servicio de autoridad certificadora de Cloud Service Mesh al perímetro. Para obtener más información, consulta Cómo agregar la AC de Cloud Service Mesh a un perímetro de servicio.
Si deseas cambiar los límites de recursos predeterminados para el contenedor del archivo adicional
istio-proxy, los valores nuevos deben ser mayores que los valores predeterminados a fin de evitar eventos de memoria (OOM).Un proyecto de Google Cloud solo puede tener una malla asociada.
Requisitos del clúster
Asegúrate de que el clúster de usuario en el que instales Cloud Service Mesh tenga al menos 4 CPU virtuales, 15 GB de memoria y 4 nodos.
Verifica que la versión del clúster se enumere en las plataformas compatibles.
Asegúrate de que la máquina cliente desde la que instalas Cloud Service Mesh tenga conectividad de red al servidor de la API.
Si implementas sidecars en pods de aplicaciones en los que la conectividad directa a los servicios de CA (como
meshca.googleapis.comyprivateca.googleapis.com) no está disponible; debes configurar un proxy HTTPS basado enCONNECTexplicito.Para clústeres públicos con reglas de firewall de salida configuradas que bloquean reglas implícitas, asegúrate de tener configurar reglas HTTP/HTTPS y DNS para llegar a las APIs públicas de Google.
Requisitos de la flota
Todos los clústeres deben estar registrados en una flota y se debe habilitar la identidad de carga de trabajo de la flota. Puedes configurar los clústeres o puedes permitir que asmcli registre los clústeres siempre que cumplan con los siguientes requisitos:
- Clústeres de GKE fuera de Google Cloud: (se aplica a Cloud Service Mesh en clúster) Google Distributed Cloud, Google Distributed Cloud, GKE en AWS y GKE en Azure se registran automáticamente en la flota de tu proyecto en el momento de la creación del clúster. Hasta el GKE Enterprise 1.8, todos estos tipos de clústeres habilitan la flota automáticamente y Workload Identity cuando se registra. Se actualizan los clústeres registrados existentes. para usar Workload Identity de la flota cuando se actualicen a GKE Enterprise 1.8.
- Clústeres de Amazon EKS: (se aplica a la malla de servicios de Cloud en el clúster) El clúster debe tener un proveedor de identidad de OIDC de IAM público. Sigue las instrucciones que se indican en Crea un proveedor de OIDC de IAM para tu clúster para comprobar si existe un proveedor y crear uno si es necesario.
Cuando ejecutas asmcli install, especificas el ID del proyecto del proyecto host de la flota.
asmcli registra el clúster si aún no lo está.