Planeie uma instalação

Esta página fornece informações para ajudar a planear uma nova instalação do Cloud Service Mesh no cluster para cargas de trabalho do Kubernetes fora do Google Cloud.

Personalize o plano de controlo

As funcionalidades suportadas pelo Cloud Service Mesh diferem entre plataformas. Recomendamos que reveja as funcionalidades suportadas para saber que funcionalidades são suportadas na sua plataforma. Algumas funcionalidades estão ativadas por predefinição e outras pode ativar opcionalmente criando um ficheiro de sobreposição.IstioOperator Quando executa o comando asmcli install, pode personalizar o plano de controlo especificando a opção --custom_overlay com o ficheiro de sobreposição. Como prática recomendada, sugerimos que guarde os ficheiros de sobreposição no seu sistema de controlo de versões.

O diretório asmcli no GitHub contém muitos ficheiros de sobreposição. Estes ficheiros contêm personalizações comuns à configuração predefinida. Pode usar estes ficheiros tal como estão ou fazer alterações adicionais conforme necessário. Alguns dos ficheiros são necessários para ativar funcionalidades opcionais da malha de serviços na nuvem. O pacote anthos-service-mesh é transferido quando executa asmcli para validar o seu projeto e cluster.

Quando instala o Cloud Service Mesh através do asmcli install, pode especificar um ou mais ficheiros de sobreposição com o --option ou o --custom_overlay. Se não precisar de fazer alterações aos ficheiros no repositório anthos-service-mesh, pode usar --option, e o script obtém o ficheiro do GitHub por si. Caso contrário, pode fazer alterações ao ficheiro de sobreposição e, em seguida, usar a opção --custom_overlay para o transmitir ao asmcli.

Escolha uma autoridade de certificação

Consoante o seu exemplo de utilização e plataforma, pode escolher uma das seguintes opções como a autoridade de certificação (AC) para emitir certificados TLS mútuo (mTLS):

Esta secção fornece informações gerais sobre cada uma destas opções de CA e os respetivos exemplos de utilização.

Mesh CA

A menos que precise de uma AC personalizada, recomendamos que use a autoridade de certificação do Cloud Service Mesh pelos seguintes motivos:

A autoridade de certificação do Cloud Service Mesh é um serviço altamente fiável e escalável que está otimizado para cargas de trabalho dimensionadas dinamicamente.
Com a autoridade de certificação da Cloud Service Mesh, a Google gere a segurança e a disponibilidade do back-end da AC.
A autoridade de certificação do Cloud Service Mesh permite-lhe confiar numa única raiz de confiança em todos os clusters.

Os certificados da autoridade de certificação do Cloud Service Mesh incluem os seguintes dados acerca dos serviços da sua aplicação:

O Google Cloud ID do projeto
O espaço de nomes do GKE
O nome da conta de serviço do GKE

Serviço de AC

Nota da plataforma: o serviço de AC só é suportado nas seguintes plataformas: clusters do GKE no Google Cloud, Google Distributed Cloud (apenas software) para VMware e Distributed Cloud. Se executar o comando asmcli install e especificar --ca gcp_cas noutras plataformas, a instalação é apresentada como bem-sucedida, mas as suas cargas de trabalho não são iniciadas.

Além da autoridade de certificação do Cloud Service Mesh, pode configurar o Cloud Service Mesh para usar o Certificate Authority Service. Este guia oferece-lhe uma oportunidade de integração com o serviço de CA, que é recomendado para os seguintes exemplos de utilização:

Se precisar de diferentes autoridades de certificação para assinar certificados de carga de trabalho em diferentes clusters.
Se precisar de fazer uma cópia de segurança das suas chaves de assinatura num HSM gerido.
Se estiver num setor altamente regulamentado e estiver sujeito a conformidade.
Se quiser encadear a sua AC do Cloud Service Mesh a um certificado de raiz empresarial personalizado para assinar certificados de carga de trabalho.

O custo da autoridade de certificação do Cloud Service Mesh está incluído nos preços do Cloud Service Mesh. O serviço de AC não está incluído no preço base da Cloud Service Mesh e é cobrado separadamente. Além disso, o serviço de AC inclui um SLA explícito, mas a autoridade de certificação da malha de serviços na nuvem não.

AC do Istio

Recomendamos que use a CA do Istio se cumprir os seguintes critérios:

A sua malha já usa a AC do Istio e não precisa das vantagens ativadas pela autoridade de certificação do Cloud Service Mesh ou pelo serviço de AC.
Precisa de uma AC de raiz personalizada.
Tem cargas de trabalho fora doGoogle Cloud Google Cloud Platform (GCP)Google Cloud, onde um serviço de AC gerido pelo Google Cloud não é aceitável.

Prepare a configuração do gateway

O Cloud Service Mesh dá-lhe a opção de implementar e gerir gateways como parte da sua malha de serviços. Um gateway descreve um balanceador de carga que opera no limite da malha e recebe ligações HTTP/TCP de entrada ou saída. As gateways são proxies Envoy que lhe oferecem um controlo detalhado sobre o tráfego que entra e sai da malha.

O asmcli não instala o istio-ingressgateway. Recomendamos que implemente e faça a gestão do plano de controlo e das gateways separadamente. Para mais informações, consulte o artigo Instalar e atualizar gateways.

O que se segue?

Instale ferramentas dependentes e valide o cluster