Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Fonctionnalités compatibles à l'aide des API Istio (plan de contrôle géré)
Cette page décrit les fonctionnalités et les limites compatibles avec
Cloud Service Mesh utilisant TRAFFIC_DIRECTOR ou ISTIOD comme plan de contrôle et
entre chaque implémentation. Notez qu'il ne s'agit pas d'options que vous pouvez
choisir. L'implémentation de ISTIOD n'est disponible que pour les utilisateurs existants.
Les nouvelles installations utilisent l'implémentation TRAFFIC_DIRECTOR lorsque cela est possible.
Les migrations et les mises à niveau ne sont compatibles qu'à partir de Cloud Service Mesh intégré au cluster.
versions 1.9 et ultérieures installées avec Mesh CA. Les installations utilisant Istio CA (anciennement Citadel) doivent d'abord migrer vers Mesh CA.
Le scaling est limité à 1 000 services et 5 000 charges de travail par cluster.
Seule l'option de déploiement multi-niveau pour les clusters multiples est compatible : l'option de déploiement principal à distance n'est pas acceptée.
istioctl ps n'est pas compatible. Vous pouvez utiliser les commandes gcloud beta container fleet mesh debug comme décrit dans la section Dépannage.
API non compatibles:
EnvoyFilter API
WasmPlugin API
IstioOperator API
Kubernetes Ingress API
Vous pouvez utiliser le plan de contrôle géré sans abonnement GKE Enterprise, mais certains éléments d'UI et certaines fonctionnalités de la console Google Cloud ne sont disponibles que pour les abonnés GKE Enterprise. Pour en savoir plus sur ce qui est disponible pour les abonnés et les non-abonnés, consultez la section Différences entre les interfaces utilisateur GKE Enterprise et Cloud Service Mesh.
Au cours du processus de provisionnement d'un plan de contrôle géré, les CRD d'Istio correspondant au canal sélectionné sont installées dans le cluster spécifié. Si des CRD d'Istio sont présentes dans le cluster, elles seront écrasées.
Le service géré Cloud Service Mesh n'est compatible qu'avec le domaine DNS par défaut .cluster.local.
Depuis le 14 novembre 2023, les nouvelles installations de Cloud Service Mesh géré sur le canal de publication rapide ne récupèrent les clés JWKS qu'à l'aide d'envoys. Cela équivaut à l'option Istio PILOT_JWT_ENABLE_REMOTE_JWKS=envoy. Par rapport aux installations sur les canaux de publication standard et stable, ou sur le canal de publication rapide avant le 14 novembre 2023, vous devrez peut-être configurer des ServiceEntry et DestinationRule supplémentaires. Pour voir un exemple, consultez la
requestauthn-with-se.yaml.tmpl
Différences entre les plans de contrôle
Les fonctionnalités compatibles diffèrent entre les implémentations du plan de contrôle ISTIOD et TRAFFIC_DIRECTOR. Pour vérifier quelle implémentation vous utilisez, consultez
Identifier la mise en œuvre du plan de contrôle
: indique que la fonctionnalité est disponible et activée par défaut.
† : indique que les API de fonctionnalités peuvent différer entre les différentes plates-formes.
* : indique que la fonctionnalité est compatible avec
la plate-forme et peuvent être activées, comme décrit dans
Activer les fonctionnalités facultatives
ou le guide des fonctionnalités dont le lien figure dans le tableau des fonctionnalités.
§ : indique que la fonctionnalité est compatible avec la liste d'autorisation. Les anciens utilisateurs d'Anthos Service Mesh géré
automatiquement ajouté à la liste d'autorisation au niveau de l'organisation.
Contactez l'assistance Google Cloud pour demander l'accès ou vérifier l'état de votre liste d'autorisation.
: indique que la fonctionnalité n'est pas disponible ou qu'elle n'est pas compatible.
Les fonctionnalités par défaut et facultatives sont entièrement prises en charge par l'assistance Google Cloud. Les fonctionnalités qui ne sont pas explicitement répertoriées dans les tableaux bénéficient d'une assistance selon le principe du meilleur effort.
Ce qui détermine l'implémentation du plan de contrôle
Lorsque vous provisionnez Cloud Service Mesh géré pour la première fois dans un parc, nous déterminons l'implémentation du plan de contrôle à utiliser. La même implémentation est
utilisé pour tous les clusters qui provisionnent le maillage
Cloud Service Mesh géré de ce parc.
Les nouveaux parcs qui intègrent le maillage de services Cloud Service géré reçoivent le
Implémentation du plan de contrôle TRAFFIC_DIRECTOR, à quelques exceptions près:
Si vous utilisez déjà le service géré Cloud Service Mesh, vous recevez les ISTIOD
l'implémentation du plan de contrôle lorsque vous embarquez un nouveau parc dans le même Google Cloud
Organisation utilisant Cloud Service Mesh géré, au moins jusqu'au 30 juin 2024
Si vous faites partie de ces utilisateurs, vous pouvez contacter l'assistance pour ajuster ce comportement.
Les utilisateurs dont l'utilisation actuelle n'est pas compatible avec l'implémentation de TRAFFIC_DIRECTOR sans modification continueront de recevoir l'implémentation de ISTIOD jusqu'au 8 septembre 2024. (Ces utilisateurs ont reçu un e-mail
Announcement.)
Si l'un des clusters de votre parc utilise Certificate Authority Service lorsque vous provisionnez des
Cloud Service Mesh, vous recevez l'implémentation du plan de contrôle ISTIOD.
Si un cluster de votre parc contient un plan de contrôle Cloud Service Mesh au sein du cluster lorsque vous provisionnez Cloud Service Mesh géré, vous recevrez l'implémentation du plan de contrôle ISTIOD.
Si un cluster de votre parc utilise
GKE Sandbox
Lorsque vous provisionnez Cloud Service Mesh géré, vous recevez le rôle ISTIOD
l'implémentation du plan de contrôle.
Fonctionnalités du plan de contrôle géré
Installer, mettre à niveau et effectuer un rollback
Caractéristique
Géré (TD)
Géré (istiod)
Installation sur les clusters GKE à l'aide de l'API de la fonctionnalité PARC
Mises à niveau à partir de versions ASM 1.9 utilisant l'autorité de certification Mesh
Mises à niveau directes à partir de versions de Cloud Service Mesh antérieures à la version 1.9 (voir les notes pour les mises à niveau indirectes)
Mises à niveau directes d'Istio OSS (voir les notes pour les mises à niveau indirectes)
Mises à niveau directes du module complémentaire Istio-on-GKE (voir les notes pour les mises à niveau indirectes)
Environnements extérieurs à Google Cloud (GKE Enterprise sur site,
GKE Enterprise sur d'autres clouds publics, Amazon EKS, Microsoft AKS,
ou d'autres clusters Kubernetes)
Échelle
Caractéristique
Géré (TD)
Géré (istiod)
1 000 services et 5 000 charges de travail par cluster
Détection de points de terminaison multiclusters avec l'API déclarative
Détection de points de terminaison multicluster avec des secrets distants
Remarques sur la terminologie
Une configuration multi-principale signifie que la configuration doit être répliquée
dans tous les clusters.
Une configuration de déploiement principal à distance signifie qu'un cluster unique contient la configuration et qu'elle est considérée comme source fiable.
Cloud Service Mesh utilise une définition simplifiée du réseau basée sur des
la connectivité. Les instances de charge de travail se trouvent sur le même réseau si elles peuvent communiquer directement, sans passerelle.
† Cloud Service Mesh avec un plan de contrôle géré (TD) ne prend en charge que
le type d'image "distroless". Vous ne pouvez pas le modifier.
Notez que les images distroless ont un nombre minimal de binaires. Vous ne pouvez donc pas exécuter les commandes
comme bash ou curl, car elles ne sont pas présentes dans l'image distroless.
Toutefois, vous pouvez utiliser des conteneurs éphémères pour vous associer à un pod de charge de travail en cours d'exécution afin de pouvoir l'inspecter et d'exécuter des commandes personnalisées. Par exemple, consultez
Collecter des journaux Cloud Service Mesh
Intégration aux autorités de certification personnalisées
Fonctionnalités de sécurité
En plus d'être compatible avec les fonctionnalités de sécurité d'Istio, Cloud Service Mesh
propose encore plus de fonctionnalités pour vous aider à sécuriser vos applications.
Adaptateurs/Backends personnalisés, via un processus ou hors processus
Backends de télémétrie et de journalisation arbitraires
† Le plan de contrôle TRAFFIC_DIRECTOR est compatible avec un sous-ensemble de l'API de télémétrie d'Istio.
utilisées pour configurer les journaux d'accès et
trace.
Bien que TCP soit un protocole compatible pour la mise en réseau et que les métriques TCP soient collectées, elles ne sont pas signalées. Les métriques ne sont affichées que pour les services HTTP dans la console Google Cloud.
Les services configurés avec des fonctionnalités de couche 7 pour les protocoles suivants ne sont pas compatibles : WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ, Cloud SQL. Vous pourrez peut-être rendre le protocole opérationnel grâce à la prise en charge du flux d'octets TCP. Si le flux d'octets TCP ne peut pas prendre en charge le protocole (par exemple, Kafka envoie une adresse de redirection dans une réponse spécifique au protocole, et cette redirection n'est pas compatible avec la logique de routage de Cloud Service Mesh), le protocole n'est pas compatible.
Déploiements Envoy
Caractéristique
Géré (TD)
Géré (istiod)
Side-cars
Passerelle d'entrée
Sortie directe à partir des side-cars
Sortie à l'aide de passerelles de sortie
*
*
Compatibilité des CRD
Caractéristique
Géré (TD)
Géré (istiod)
Ressource side-car
Ressource d'entrée de service
Pourcentage, injection de pannes, mise en correspondance des chemins d'accès, redirections, nouvelles tentatives, réécriture, délai avant expiration, nouvelle tentative, mise en miroir, manipulation des en-têtes et règles de routage CORS
Équilibreur de charge pour la passerelle d'entrée Istio
Caractéristique
Géré (TD)
Géré (istiod)
Équilibreur de charge externe tiers
Équilibreur de charge interne Google Cloud
*
*
Passerelle cloud du maillage de services
Caractéristique
Géré (TD)
Géré (istiod)
Passerelle cloud de service mesh
API Gateway Kubernetes
Caractéristique
Géré (TD)
Géré (istiod)
API Gateway Kubernetes
Règles d'équilibrage de charge
Caractéristique
Géré (TD)
Géré (istiod)
Round robin (à tour de rôle)
connexions minimales
Aléatoire
Passthrough
Hachage cohérent
Localité
Entrée de service
Caractéristique
Géré (TD)
Géré (istiod)
ServiceEntry v1beta1
†
† L'implémentation du plan de contrôle TRAFFIC_DIRECTOR n'est pas compatible avec les champs et valeurs suivants :
Champ workloadSelector
Champ endpoints[].network
Champ endpoints[].locality
Champ endpoints[].weight
Champ endpoints[].serviceAccount
Valeur DNS_ROUND_ROBIN dans le champ resolution
Valeur MESH_INTERNAL dans le champ location
Adresse de socket de domaine Unix dans le champ endpoints[].address
Champ subjectAltNames
Règle de destination
Caractéristique
Géré (TD)
Géré (istiod)
DestinationRule v1beta1
†
† L'implémentation du plan de contrôle TRAFFIC_DIRECTOR n'est pas compatible
Champ trafficPolicy.loadBalancer.localityLbSetting et trafficPolicy.tunnel
.
De plus, l'implémentation du plan de contrôle TRAFFIC_DIRECTOR exige que la règle de destination définissant des sous-ensembles se trouve dans le même espace de noms et le même cluster que le service Kubernetes ou ServiceEntry.
Sidecar
Caractéristique
Géré (TD)
Géré (istiod)
Sidecar v1beta1
†
† L'implémentation du plan de contrôle TRAFFIC_DIRECTOR n'est pas compatible avec ce qui suit :
et les valeurs qu'ils contiennent:
Champ ingress
Champ egress.port
Champ egress.bind
Champ egress.captureMode
Champ inboundConnectionPool
MeshConfig
Caractéristique
Géré (TD)
Géré (istiod)
LocalityLB
§
ExtensionProviders
§
CACert
ImageType – distroless
§
OutboundTrafficPolicy
§
defaultProviders.accessLogging
defaultProviders.tracing
defaultConfig.tracing.stackdriver
§
accessLogFile
§
ProxyConfig
Caractéristique
Géré (TD)
Géré (istiod)
Proxy DNS (ISTIO_META_DNS_CAPTURE, ISTIO_META_DNS_AUTO_ALLOCATE)
Compatibilité avec HTTP/1.0 (ISTIO_META_NETWORK)
Sélection de l'image (image minimale ou image de base)
Les clusters GKE doivent se trouver dans l'une des régions suivantes ou dans n'importe quelle zone des régions suivantes.
Région
Emplacement
asia-east1
Taïwan
asia-east2
Hong Kong
asia-northeast1
Tokyo, Japon
asia-northeast2
Osaka, Japon
asia-northeast3
Corée du Sud
asia-south1
Mumbai, Inde
asia-south2
Delhi, Inde
asia-southeast1
Singapour
asia-southeast2
Jakarta
australia-southeast1
Sydney, Australie
australia-southeast2
Melbourne, Australie
europe-central2
Pologne
europe-north1
Finlande
europe-southwest1
Espagne
europe-west1
Belgique
europe-west2
Angleterre
europe-west3
Francfort, Allemagne
europe-west4
Pays-Bas
europe-west6
Suisse
europe-west8
Milan, Italie
europe-west9
France
europe-west10
Berlin, Allemagne
europe-west12
Turin, Italie
me-central1
Doha
me-central2
Dammam, Arabie saoudite
me-west1
Tel-Aviv
northamerica-northeast1
Montréal, Canada
northamerica-northeast2
Toronto, Canada
southamerica-east1
Brésil
southamerica-west1
Chili
us-central1
Iowa
us-east1
Caroline du Sud
us-east4
Virginie du Nord
us-east5
Ohio
us-south1
Dallas
us-west1
Oregon
us-west2
Los Angeles
us-west3
Salt Lake City
us-west4
Las Vegas
Interface utilisateur
Caractéristique
Géré (TD)
Géré (istiod)
Tableaux de bord Cloud Service Mesh dans la console Google Cloud
Cloud Monitoring
Cloud Logging
Outils
Caractéristique
Géré (TD)
Géré (istiod)
Outil gcloud beta container fleet mesh debug
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2024/11/28 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Hard to understand","hardToUnderstand","thumb-down"],["Incorrect information or sample code","incorrectInformationOrSampleCode","thumb-down"],["Missing the information/samples I need","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2024/11/28 (UTC)."],[],[]]
