集群内控制层面支持的功能
本页介绍了具有集群内控制平面的 Cloud Service Mesh1.22.6 支持的功能。如需改用代管式控制平面的 Cloud Service Mesh 1.22.6 支持的功能,请参阅代管式控制平面。
支持的版本
对 Cloud Service Mesh 的支持遵循 GKE Enterprise 版本支持政策。
对于采用 TRAFFIC_DIRECTOR
控制平面实现的托管式 Cloud Service Mesh,Google 始终支持此控制平面。
对于采用 ISTIOD
控制平面实现的托管式 Cloud Service Mesh,Google 支持每个发布渠道中提供的当前 Cloud Service Mesh 版本。
对于自行安装的集群内 Cloud Service Mesh,Google 支持当前 Cloud Service Mesh 版本和前两个 (n-2) 次要版本。
下表显示了受支持的自行安装的集群内 Cloud Service Mesh 版本以及版本的最早服务终止 (EOL) 日期。
发布版本 | 发布日期 | 最早服务终止日期 |
---|---|---|
1.22 | 2024 年 7 月 25 日 | 2025 年 4 月 25 日 |
1.21 | 2024 年 6 月 4 日 | 2025 年 3 月 4 日 |
1.20 | 2024 年 2 月 8 日 | 2024 年 11 月 8 日 |
如果您使用的是不受支持的 Cloud Service Mesh 版本,则必须升级到 Cloud Service Mesh 1.20 或更高版本。如需了解如何升级,请参阅升级 Cloud Service Mesh。
下表显示了不受支持的 Cloud Service Mesh 版本及其服务终止 (EOL) 日期。
发布版本 | 发布日期 | 服务终止日期 |
---|---|---|
1.19 | 2023 年 10 月 31 日 | 不支持(2024 年 7 月 31 日) |
1.18 | 2023 年 8 月 3 日 | 不支持(2024 年 6 月 4 日) |
1.17 | 2023 年 4 月 4 日 | 不支持(2024 年 2 月 8 日) |
1.16 | 2023 年 2 月 21 日 | 不支持(2023 年 12 月 11 日) |
1.15 | 2022 年 10 月 25 日 | 不支持(2023 年 8 月 4 日) |
1.14 | 2022 年 7 月 20 日 | 不支持(2023 年 4 月 20 日) |
1.13 | 2022 年 3 月 30 日 | 不支持(2023 年 2 月 8 日) |
1.12 | 2021 年 12 月 9 日 | 不受支持(2022 年 10 月 25 日) |
1.11 | 2021 年 10 月 6 日 | 不受支持(2022 年 7 月 20 日) |
1.10 | 2021 年 6 月 24 日 | 不支持(2022 年 3 月 30 日) |
1.9 | 2021 年 3 月 4 日 | 不受支持(2021 年 12 月 14 日) |
1.8 | 2020 年 12 月 15 日 | 不受支持(2021 年 12 月 14 日) |
1.7 | 2020 年 11 月 3 日 | 不受支持(2021 年 12 月 14 日) |
1.6 | 2020 年 6 月 30 日 | 不支持(2021 年 3 月 30 日) |
1.5 | 2020 年 5 月 20 日 | 不支持(2021 年 2 月 17 日) |
1.4 | 2019 年 12 月 20 日 | 不支持(2020 年 9 月 18 日) |
如需详细了解我们的支持政策,请参阅获取支持。
平台差异
受支持的功能在支持的平台之间存在差异。
其他 GKE Enterprise 集群列指的是 Google Cloud 外部的集群,例如:
Google Distributed Cloud:
- Google Distributed Cloud
- 适用于裸金属的 Google Distributed Cloud(纯软件)
本页面使用 Google Distributed Cloud(Google Distributed Cloud for VMware [纯软件] 和 Google Distributed Cloud for Bare Metal [纯软件] 上支持的功能相同),以及平台之间支持的功能存在差异的特定平台。
其他公有云上的 GKE Enterprise:
GKE 关联集群 - 已注册到舰队的第三方 Kubernetes 集群。以下集群类型支持 Cloud Service Mesh:
- Amazon EKS 集群
- Microsoft AKS 集群
在下表中:
- - 表示该功能默认处于启用状态。
- – 表示平台支持该功能且可启用,如启用可选功能或功能表中链接的功能指南中所述。
- 兼容 - 表示该功能或第三方工具将与 Cloud Service Mesh 集成或配合使用,但不受 Google Cloud 支持团队的完全支持,并且不提供功能指南。
- - 表示该功能不可用或不受 Cloud Service Mesh 1.22.6支持。
Google Cloud 支持完全支持默认功能和可选功能。该表中未明确列出的功能会得到全力支持。
基础映像
特征 | Google Cloud 上的 GKE 集群 | 其他 GKE Enterprise 集群 |
---|---|---|
Distroless 代理映像 |
安全
证书分发/轮替机制
特征 | Google Cloud 上的 GKE 集群 | 其他 GKE Enterprise 集群 |
---|---|---|
工作负载证书管理 | ||
入站流量和出站流量网关的外部证书管理。 |
证书授权机构 (CA) 支持
特征 | Google Cloud 上的 GKE 集群 | 本地 GKE Enterprise 集群 | 其他 GKE Enterprise 集群 |
---|---|---|---|
Cloud Service Mesh 证书授权机构 | |||
Certificate Authority Service | * | * | |
Istio CA(以前称为 Citadel) | * | * | |
插入您自己的 CA 证书 | 受 CA 服务和 Istio CA 支持 | 受 CA 服务和 Istio CA 支持 | 受 Istio CA 支持 |
Cloud Service Mesh 安全功能
除了支持 Istio 安全功能之外,Cloud Service Mesh 还提供了更多功能来帮助您保护应用。
功能 | Google Cloud 上的 GKE 集群 | 分布式云 | GKE Multi-cloud | 其他 GKE Enterprise 集群 |
---|---|---|---|---|
IAP 集成 | ||||
最终用户身份验证 | ||||
审核政策(预览版) | * | |||
试运行模式 | ||||
拒绝日志记录 |
授权政策
特征 | Google Cloud 上的 GKE 集群 | 其他 GKE Enterprise 集群 |
---|---|---|
授权 v1beta1 政策 | ||
路径模板 |
身份验证政策
对等身份验证
特征 | Google Cloud 上的 GKE 集群 | 其他 GKE Enterprise 集群 |
---|---|---|
自动 mTLS | ||
mTLS PERMISSIVE 模式 |
如需了解如何启用 mTLS STRICT 模式,请参阅配置传输安全性。
请求身份验证
特征 | Google Cloud 上的 GKE 集群 | 其他 GKE Enterprise 集群 |
---|---|---|
JWT 身份验证(备注 1) |
注意:
- 第三方 JWT 默认处于启用状态。
遥测
指标
特征 | Google Cloud 上的 GKE 集群 | 本地 GKE Enterprise 集群 | 其他 GKE Enterprise 集群 |
---|---|---|---|
Cloud Monitoring(HTTP 代理中指标) | |||
Cloud Monitoring(TCP 代理中指标) | |||
Istio Telemetry API | |||
自定义适配器/后端,出入进程 | |||
任意遥测和日志记录后端 | |||
Prometheus 指标导出到客户安装的 Prometheus、Grafana 和 Kiali 信息中心 | 兼容 | 兼容 | 兼容 |
Google Cloud Managed Service for Prometheus,不包括 Cloud Service Mesh 信息中心 | |||
Google Cloud 控制台中的拓扑图不再使用网格遥测服务作为其数据源。虽然拓扑图的数据源已更改,但界面保持不变。 |
代理请求日志记录
特征 | Google Cloud 上的 GKE 集群 | 本地 GKE Enterprise 集群 | 其他 GKE Enterprise 集群 |
---|---|---|---|
流量日志 | |||
访问日志 | * | * | * |
跟踪
特征 | Google Cloud 上的 GKE 集群 | 本地 GKE Enterprise 集群 | 其他 GKE Enterprise 集群 |
---|---|---|---|
Cloud Trace | * | * | |
Jaeger 跟踪(允许使用客户管理的 Jaeger) | 兼容 | 兼容 | 兼容 |
Zipkin 跟踪(允许使用客户管理的 Zipkin) | 兼容 | 兼容 | 兼容 |
网络
流量拦截/重定向机制
特征 | Google Cloud 上的 GKE 集群 | 其他 GKE Enterprise 集群 |
---|---|---|
iptables 的传统用法:将 init 容器与 CAP_NET_ADMIN 结合使用 |
||
容器网络接口 (CNI) | * | * |
协议支持
不支持将配置有第 7 层功能的服务用于以下协议:WebSocket、MongoDB、Redis、Kafka、Cassandra、RabbitMQ、Cloud SQL。您可以通过 TCP 字节流支持来使协议正常工作。如果 TCP 字节流无法支持协议(例如,Kafka 在特定于协议的回复中发送重定向地址,并且此重定向与 Cloud Service Mesh 的路由逻辑不兼容),则协议不受支持。
功能 | Google Cloud 上的 GKE 集群 | 其他 GKE Enterprise 集群 |
---|---|---|
IPv4 | ||
HTTP/1.1 | ||
HTTP/2 | ||
TCP 字节流(备注 1) | ||
gRPC | ||
IPv6 |
备注:
- 虽然 TCP 是网络支持的协议,但系统不会收集或报告 TCP 指标。系统仅针对 Google Cloud 控制台中的 HTTP 服务显示指标。
Envoy 部署
特征 | Google Cloud 上的 GKE 集群 | 其他 GKE Enterprise 集群 |
---|---|---|
Sidecar | ||
入站流量网关 | ||
直接从 Sidecar 出站 | ||
使用出站流量网关出站 | * | * |
CRD 支持
特征 | Google Cloud 上的 GKE 集群 | 其他 GKE Enterprise 集群 |
---|---|---|
Istio API 支持(有以下例外) | ||
自定义 Envoy 过滤器 |
Istio 入站流量网关的负载均衡器
特征 | Google Cloud 上的 GKE 集群 | 其他 GKE Enterprise 集群 |
---|---|---|
第三方外部负载均衡器 | ||
Google Cloud 内部负载均衡器 | * | 不受支持。请参阅以下链接。 |
如需了解如何配置负载平衡器,请参阅以下内容:
Kubernetes Gateway API(预览版)
在 Cloud Service Mesh v1.20 中,Kubernetes Gateway API 以公开预览版的形式提供。
功能 | Google Cloud 上的 GKE 集群 | 其他 GKE Enterprise 集群 |
---|---|---|
入站 | ||
网关与 class: istio 搭配使用 |
||
使用 parentRef 的 HttpRoute |
||
网状网流量 | ||
使用 targetRef 字段配置 Istio CRD,包括 AuthorizationPolicy、RequestAuthentication、Telemetry 和 WasmPlugin |
如果您使用的是 Microsoft AKS 附加集群或 GKE on Azure 集群,则必须为网关资源设置以下注解,才能配置通过 TCP 进行的健康检查:
service.beta.kubernetes.io/port_80_health-probe_protocol: tcp
否则,系统将不接受 HTTP 流量。
Kubernetes Gateway API 预览版要求
Kubernetes Gateway API 预览版具有以下要求:
为网关使用默认的自动部署行为。
使用
HttpRoute
CRD 进行路由配置。HttpRoute
必须有一个指向网关的parentRef
。请勿在同一集群中使用 Istio Gateway CRD 和 Kubernetes Gateway API CRD。
负载均衡政策
特征 | Google Cloud 上的 GKE 集群 | 其他 GKE Enterprise 集群 |
---|---|---|
轮循机制 | ||
最少连接 | ||
随机 | ||
直通 | ||
一致的哈希 | ||
局部 |
如需详细了解负载均衡政策,请参阅目标规则。
数据平面
功能 | Google Cloud 上的 GKE 集群 | 其他 GKE Enterprise 集群 |
---|---|---|
Sidecar | ||
氛围 |
多集群支持
对于不同项目中的 GKE 集群的多主模式部署,所有集群都必须位于共享 Virtual Private Cloud (VPC) 中。
网络
特征 | Google Cloud 上的 GKE 集群 | 本地 GKE Enterprise 集群 | GKE on AWS | GKE on Azure | 关联集群 |
---|---|---|---|---|---|
单网络 | |||||
多网络 |
注意:
- 对于关联集群,目前仅支持跨单个平台(Microsoft AKS、Amazon EKS)的多集群网格。
部署模型
特征 | Google Cloud 上的 GKE 集群 | 本地 GKE Enterprise 集群 | 其他公有云上的 GKE Enterprise | 关联集群 |
---|---|---|---|---|
多主模式 | ||||
主远程 |
有关术语的注意事项:
主集群是具有控制层面的集群。单个网格可以有多个主集群来实现高可用性或缩短延迟时间。在 Istio 1.7 文档中,多主模式部署称为复制的控制层面。
远程集群是连接到集群外部的控制层面的集群。远程集群可以连接到在主集群中运行的控制层面或外部控制层面。
Cloud Service Mesh 会根据通用连接使用简化的网络定义。如果工作负载实例无需使用网关就可以直接通信,则它们位于同一网络上。
界面
特征 | Google Cloud 上的 GKE 集群 | Google Distributed Cloud | 适用于裸金属的 Google Distributed Cloud(纯软件) | 其他 GKE Enterprise 集群 |
---|---|---|---|---|
Google Cloud 控制台中的 Cloud Service Mesh 信息中心 | * | * | * | |
Cloud Monitoring | * | |||
Cloud Logging | * | |||
Cloud Trace | * |
注意:本地集群需要 GKE Enterprise 1.11 或更高版本。如需详细了解如何升级,请参阅升级 Google Distributed Cloud for VMware(纯软件)或升级 Google Distributed Cloud for Bare Metal(纯软件)。