Limites de Cloud Service Mesh avec Envoy
Ce document décrit les limites applicables à Cloud Service Mesh avec les API Google Cloud, y compris les limites en matière de gestion avancée du trafic. Il ne s'applique pas à Cloud Service Mesh à l'aide des API Istio.
Pour en savoir plus sur les limites, consultez la section Quotas et limites.
Limites générales
Cloud Service Mesh présente les limites suivantes :
- Cloud Service Mesh avec les API de routage de services n'est compatible qu'avec les API Google Cloud.
- Vous pouvez utiliser Cloud Service Mesh pour configurer les protocoles de requête suivants : HTTP (HTTP/1.1 ou HTTP/2), HTTPS, TCP et gRPC.
- Lorsque vous utilisez Envoy comme proxy de plan de données, la valeur
stream_idle_timeout
est définie par défaut sur cinq minutes. Ce paramètre n'est pas configurable via Cloud Service Mesh. - Lorsque vous configurez le protocole de requête TCP à l'aide de la ressource
TCPRoute
, vous ne pouvez pas utiliser les fonctionnalités avancées de gestion du trafic. La gestion avancée du trafic n'est disponible que lorsque vous configurez le plan de données pour gérer les requêtes HTTP ou gRPC. - Cloud Service Mesh est compatible avec l'appairage de réseaux VPC avec les API de routage de services.
- Cloud Service Mesh n'est pas compatible avec les protocoles de priorité au serveur.
- Vous ne pouvez pas utiliser Cloud Service Mesh avec des services exécutés dans Knative ou dans l'informatique sans serveur Google Cloud.
- Ce document traite des proxys Envoy, mais vous pouvez utiliser n'importe quelle Proxy d'API Open Standard (xDS) avec Cloud Service Mesh. Cependant, Google n'a testé Cloud Service Mesh qu'avec le proxy Envoy.
- Pour vous assurer que toutes les failles de sécurité connues sont atténuées, nous vous recommandons d'utiliser la dernière version d'Envoy. Pour plus d'informations sur les conseils de sécurité Envoy, consultez la page Conseils de sécurité Envoy.
- Google Cloud Console n'est pas compatible avec les groupes de points de terminaison du réseau (NEG) de connectivité hybride. Pour créer ou supprimer des NEG de connectivité hybride, utilisez Google Cloud CLI.
- Étant donné que votre plan de données gère les vérifications d'état, vous ne pouvez pas utiliser la console Google Cloud, l'API ou gcloud CLI pour récupérer l'état de cette vérification.
Vérifiez que
iptables
est correctement configuré. Pour en savoir plus sur la configuration deiptables
, consultez les notes d'Envoy sur la configuration du filtrage HTTP.- Si vous utilisez la console Google Cloud pour créer des instances de machines virtuelles (VM), certains modules associés à
ipv6
ne sont pas installés et disponibles avant un redémarrage. Par conséquent,iptables.sh
échoue en raison de dépendances manquantes. Dans ce cas, redémarrez la VM et réexécutez le scriptrun.sh
. - Si vous utilisez gcloud CLI pour créer des VM Compute Engine, ce problème ne devrait pas se produire.
- Si vous utilisez la console Google Cloud pour créer des instances de machines virtuelles (VM), certains modules associés à
Limites de la gestion du trafic avancée
La gestion avancée du trafic comprend les limites suivantes:
- Si la valeur de
BackendService.sessionAffinity
n'est pas NONE, etBackendService.localityLbPolicy
est défini sur une règle d'équilibrage de charge autre queMAGLEV
ouRING_HASH
, les paramètres d'affinité de session ne prennent pas l'effet. - La commande
gcloud import
ne supprime pas les champs de premier niveau de la ressource, tels que le service de backend et le mappage d'URL. Par exemple, si un service de backend est créé avec des paramètres pourcircuitBreakers
, vous pouvez exécuter une commandegcloud import
ultérieure pour mettre à jour ces paramètres. Toutefois, vous ne pouvez pas supprimer ces paramètres du service de backend. Vous pouvez supprimer et recréer la ressource sans les paramètrescircuitBreakers
.
Limites avec l'Annuaire des services
- L'Annuaire des services et Cloud Service Mesh garantir la joignabilité du réseau aux clients.
Un service de backend ne peut faire référence qu'à l'un des éléments suivants :
- Groupe d'instances géré ou groupe d'instances non géré
- Groupe de points de terminaison du réseau
- Liaisons de service
Les services de l'Annuaire des services ne peuvent être utilisés qu'avec des services de backend globaux avec
load-balancing-scheme=INTERNAL_SELF_MANAGED
.Un service de l'Annuaire des services référencé par une liaison de service peut être supprimé. Si le service de l'Annuaire des services sous-jacent auquel le service de backend est associé est supprimé, les applications qui utilisent Cloud Service Mesh ne peuvent pas envoyer de trafic vers ce service. Par conséquent, les requêtes échouent. Consultez la page Observabilité et débogage pour connaître les bonnes pratiques.
Lorsque vous liez un service de l'Annuaire des services à un backend vous ne pouvez pas configurer de vérification de l'état sur ce service de backend.
Étape suivante
- Pour en savoir plus sur les limites applicables au service de maillage de services Cloud avec des applications gRPC sans proxy, consultez la section Limites de gRPC sans proxy.