Pianificazione di un'installazione

Questa pagina fornisce informazioni utili per pianificare una nuova installazione di Cloud Service Mesh in-cluster per i carichi di lavoro Kubernetes al di fuori di Google Cloud.

Personalizzare il piano di controllo

Le funzionalità supportate da Cloud Service Mesh variano a seconda della piattaforma. Ti consigliamo di esaminare le funzionalità supportate per scoprire quali sono supportate sulla tua piattaforma. Alcune funzionalità sono attive per impostazione predefinita e altre opzioni che puoi abilitare, creando un IstioOperator di overlay. Quando esegui asmcli install, puoi personalizzare il piano di controllo specificando --custom_overlay con il file di overlay. Come best practice, ti consigliamo di salvare i file di overlay nel sistema di controllo delle versioni.

La directory asmcli in GitHub contiene molti file overlay. Questi file contengono personalizzazioni comuni alla configurazione predefinita. Puoi utilizzare questi file così come sono oppure apportarvi modifiche aggiuntive, se necessario. Alcuni file sono obbligatori per abilitare le funzionalità facoltative di Cloud Service Mesh. Il pacchetto anthos-service-mesh viene scaricato quando esegui asmcli in convalida il progetto e il cluster.

Quando installi Cloud Service Mesh utilizzando asmcli install, puoi specificare uno o più file overlay con --option o --custom_overlay. Se non devi apportare modifiche ai file nel repository anthos-service-mesh, puoi utilizzare --option e lo script recupererà il file da GitHub per te. In caso contrario, puoi apportare modifiche al file overlay e utilizzare l'opzione --custom_overlay per trasmetterlo a asmcli.

Scegli un'autorità di certificazione

A seconda del caso d'uso e della piattaforma, puoi scegliere una delle seguenti come autorità di certificazione (CA) per l'emissione di certificati mTLS (mutual TLS):

Questa sezione fornisce informazioni di alto livello su ciascuna di queste opzioni di CA e sui relativi casi d'uso.

CA mesh

A meno che tu non abbia bisogno di una CA personalizzata, ti consigliamo di usare Autorità di certificazione Cloud Service Mesh per i seguenti motivi:

L'autorità di certificazione Cloud Service Mesh è un servizio estremamente affidabile e scalabile ottimizzato per i carichi di lavoro con scalabilità dinamica.
Con l'autorità di certificazione Cloud Service Mesh, Google gestisce la sicurezza e la disponibilità del backend dell'autorità di certificazione.
L'autorità di certificazione Cloud Service Mesh ti consente di affidarti a un'unica radice di attendibilità tra cluster.

I certificati emessi dall'autorità di certificazione Cloud Service Mesh includono i seguenti dati su dei servizi della tua applicazione:

ID del progetto Google Cloud
Lo spazio dei nomi GKE
Il nome dell'account di servizio GKE

Servizio CA

Nota sulla piattaforma: CA Service è supportato solo sulla le piattaforme seguenti: cluster GKE su Google Cloud, Google Distributed Cloud (solo software) per VMware e Distributed Cloud. Se esegui asmcli install e specifichi --ca gcp_cas su altre piattaforme, l'installazione sembra essere andata a buon fine, ma i carichi di lavoro non riusciranno a essere avviati.

Oltre all'autorità di certificazione Cloud Service Mesh, puoi configurare Cloud Service Mesh per utilizzare Certificate Authority Service. Questo offre l'opportunità di eseguire l'integrazione con CA Service, consigliato per i seguenti casi d'uso:

Se hai bisogno di autorità di certificazione diverse per firmare i certificati dei carichi di lavoro su cluster diversi.
Se devi eseguire il backup delle chiavi di firma in un HSM gestito.
Se operi in un settore altamente regolamentato e sei soggetto a conformità.
Se vuoi collegare la CA Cloud Service Mesh a un certificato radice aziendale personalizzato per firmare i certificati del carico di lavoro.

Il costo dell'autorità di certificazione Cloud Service Mesh è incluso nella Prezzi di Cloud Service Mesh. La CA Service non è incluso nel prezzo base di Cloud Service Mesh ed è con un addebito separato. Inoltre, CA Service include SLA esplicito, al contrario dell'autorità di certificazione Cloud Service Mesh.

CA Istio

Ti consigliamo di utilizzare Istio CA se soddisfi i seguenti criteri:

Il tuo mesh utilizza già Istio CA e non sono necessari i vantaggi abilitati Autorità di certificazione o servizio CA di Cloud Service Mesh.
Hai bisogno di una CA radice personalizzata.
Hai carichi di lavoro esterni a Google Cloud in cui Il servizio CA gestito da Google Cloud non è accettabile.

Prepara la configurazione del gateway

Cloud Service Mesh ti offre la possibilità di eseguire il deployment e gestire i gateway come parte mesh di servizi. Un gateway descrive un bilanciatore del carico che opera a livello perimetrale mesh che riceve connessioni HTTP/TCP in entrata o in uscita. I gateway sono Envoy che forniscono un controllo granulare sul traffico in entrata e escono dalla rete.

asmcli non installa istio-ingressgateway. Ti consigliamo di eseguire il deployment e gestire il piano di controllo e i gateway separatamente. Per ulteriori informazioni, consulta Installare e eseguire l'upgrade dei gateway.

Passaggi successivi

Installa strumenti dipendenti e convalida il cluster