Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
Funciones compatibles con las APIs de Istio (plano de control administrado)
En esta página, se describen las funciones y limitaciones admitidas para
Cloud Service Mesh con TRAFFIC_DIRECTOR o ISTIOD como plano de control y el
diferencias entre cada implementación. Ten en cuenta que estas no son opciones que puedes
elegir. La implementación de ISTIOD solo está disponible para los usuarios existentes.
Las instalaciones nuevas usan la implementación de TRAFFIC_DIRECTOR cuando es posible.
Las migraciones y actualizaciones solo son compatibles con Cloud Service Mesh integrado en el clúster
versiones 1.9 o posteriores instaladas con la CA de Mesh. Las instalaciones con la CA de Istio (antes conocida como Citadel) primero se deben migrar a la CA de Mesh.
El escalamiento se limita a 1,000 servicios y 5,000 cargas de trabajo por clúster.
Solo se admite la opción de implementación de varias instancias para varios clústeres; no se admite la opción de implementación principal remota para varios clústeres.
istioctl ps no es compatible. En su lugar, puedes usar los comandos gcloud beta container fleet mesh debug como se describe en Solución de problemas.
APIs no admitidas:
API EnvoyFilter
API WasmPlugin
API IstioOperator
API Kubernetes Ingress
Puedes usar el plano de control administrado sin una suscripción a GKE Enterprise.
pero ciertos elementos y funciones de la IU de la consola de Google Cloud solo están disponibles
para los suscriptores de GKE Enterprise. Para obtener información sobre las opciones disponibles
para suscriptores y usuarios no suscritos, consulta
Diferencias entre la IU de GKE Enterprise y Cloud Service Mesh.
Durante el proceso de aprovisionamiento de un plano de control administrado, las CRD de Istio correspondientes al canal seleccionado se instalan en el clúster especificado. Si hay CRD de Istio existentes en el clúster, se reemplazarán.
Cloud Service Mesh administrado solo admite el dominio DNS predeterminado .cluster.local.
A partir del 14 de noviembre de 2023, se realizaron nuevas instalaciones de Cloud Service Mesh administrado en la
Se recuperan JWKS del canal de versiones rápido solo con Envoys. Esto equivale a lo siguiente:
la opción PILOT_JWT_ENABLE_REMOTE_JWKS=envoy de Istio En comparación con las instalaciones en
los canales de versiones normal y estable, o las instalaciones en
rápido antes del 14 de noviembre de 2023, es posible que necesites
Configuraciones ServiceEntry y DestinationRule. Para ver un ejemplo, consulta requestauthn-with-se.yaml.tmpl.
Diferencias del plano de control
Existen diferencias en las funciones compatibles entre ISTIOD y TRAFFIC_DIRECTOR
implementaciones del plano de control. Para verificar qué implementación estás usando, consulta
Identifica la implementación del plano de control.
: Indica que la función está disponible y habilitada de forma predeterminada.
†: Indica que las APIs de funciones pueden
tienen diferencias entre varias plataformas.
*: Indica que la función es compatible con la plataforma y se puede habilitar, como se describe en Habilita funciones opcionales o la guía de funciones vinculada en la tabla de funciones.
§: Indica que el componente está
de la lista de entidades permitidas. Los usuarios anteriores de Anthos Service Mesh administrado se incluyen automáticamente en la lista de entidades permitidas a nivel de la organización.
Comunícate con el equipo de Asistencia de Google Cloud para solicitar acceso o verificar el estado de tu lista de entidades permitidas.
: Indica que la función no está disponible o no se admite.
Las funciones predeterminadas y opcionales tienen una compatibilidad total con la asistencia de Google Cloud. Las funciones que no aparecen en las tablas de manera explícita reciben la mejor asistencia posible.
Qué determina la implementación del plano de control
Cuando aprovisionas Cloud Service Mesh administrado por primera vez en una flota,
determinar qué implementación del plano de control usar. La misma implementación se
que se usa para todos los clústeres que aprovisionan Cloud Service Mesh administrado en esa flota.
Las flotas nuevas que se incorporan a Cloud Service Mesh administrado reciben la implementación del plano de control TRAFFIC_DIRECTOR, con ciertas excepciones:
Si ya eres un usuario administrado de Cloud Service Mesh, recibirás el ISTIOD
implementación del plano de control cuando se incorpora una nueva flota en el mismo Google Cloud
De organización a Cloud Service Mesh administrado hasta al menos el 30 de junio de 2024.
Si eres uno de estos usuarios, puedes comunicarte con el equipo de asistencia para ajustar este comportamiento.
Usuarios cuyo uso existente no es compatible con TRAFFIC_DIRECTOR
implementación sin cambios seguirá recibiendo el ISTIOD
hasta el 8 de septiembre de 2024. (Estos usuarios recibieron un Service
Announcement.)
Si algún clúster de tu flota usa el servicio de la AC cuando aprovisionas Cloud Service Mesh administrado, recibirás la implementación del plano de control ISTIOD.
Si algún clúster de tu flota contiene una malla de servicios de Cloud en el clúster.
cuando aprovisiones Cloud Service Mesh administrado,
recibir la implementación del plano de control de ISTIOD.
Si algún clúster de tu flota usa GKE Sandbox, cuando aprovisiones Cloud Service Mesh administrado, recibirás la implementación del plano de control ISTIOD.
Funciones compatibles con el plano de control administrado
Instala, actualiza y revierte
Atributo
Administrado (TD)
Administrado (istiod)
Instalación en clústeres de GKE mediante la API de la función de flota
Actualizaciones de las versiones de ASM 1.9 que usan CA de Mesh
Actualizaciones directas (de nivel omisión) de versiones de Cloud Service Mesh anteriores a la 1.9 (consulta las notas para conocer las actualizaciones indirectas)
Actualizaciones directas (nivel de omisión) de Istio OSS (consulta las notas para las actualizaciones indirectas)
Actualizaciones directas (nivel de omisión) del complemento Istio-on-GKE (consulta las notas para las actualizaciones indirectas)
Entornos fuera de Google Cloud (GKE Enterprise local,
GKE Enterprise en otras nubes públicas, Amazon EKS, Microsoft AKS,
o algún otro clúster de Kubernetes)
Escala
Atributo
Administrado (TD)
Administrado (istiod)
1,000 servicios y 5,000 cargas de trabajo por clúster
Descubrimiento de extremos de varios clústeres con la API declarativa
Descubrimiento de extremos de varios clústeres con secretos remotos
Notas sobre la terminología
Una configuración de varias instancias principales implica que la configuración debe replicarse
en todos los clústeres.
Una configuración principal remota significa que un clúster único contiene la configuración y que se considera la fuente de información.
Cloud Service Mesh usa una definición simplificada de la red basada en la conectividad general. Las instancias de carga de trabajo están en la misma red si pueden comunicarse de forma directa, sin una puerta de enlace.
† Cloud Service Mesh con un plano de control administrado (TD) solo admite el tipo de imagen sin distribución. No se puede cambiar.
Ten en cuenta que las imágenes distroless tienen binarios mínimos, por lo que no puedes ejecutar el comando
comandos como bash o curl porque no están presentes en la imagen de distroless.
Sin embargo, puedes usar contenedores efímeros para conectarte a un pod de carga de trabajo en ejecución para poder inspeccionarlo y ejecutar comandos personalizados. Por ejemplo, consulta
Cómo recopilar registros de Cloud Service Mesh.
Adaptadores y backends personalizados, dentro o fuera del proceso
Telemetría arbitraria y backends de registro
† El plano de control de TRAFFIC_DIRECTOR admite un subconjunto de la API de telemetría de Istio
que se usan para configurar los registros de accesotrace.
Aunque TCP es un protocolo compatible para las redes y se recopilan las métricas de TCP, no se informan. Las métricas solo se muestran para
Servicios HTTP en la consola de Google Cloud.
No se admiten los servicios configurados con funciones de la capa 7 para los siguientes protocolos: WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ y Cloud SQL. Es posible que puedas hacer que el protocolo funcione mediante la compatibilidad con la transmisión de bytes de TCP. Si la transmisión de bytes de TCP no admite el protocolo.
(por ejemplo, Kafka envía una dirección de redireccionamiento en una respuesta específica del protocolo y
este redireccionamiento no es compatible con la lógica de enrutamiento de Cloud Service Mesh).
el protocolo no es compatible.
Implementaciones de Envoy
Atributo
Administrado (TD)
Administrado (istiod)
Sidecars
Puerta de enlace de entrada
Salida directa desde sidecars
Salida mediante puertas de enlace de salida
*
*
Compatibilidad con CRD
Atributo
Administrado (TD)
Administrado (istiod)
Recurso de sidecar
Recurso de entrada del servicio
Porcentajes, inserción de errores, coincidencias de rutas de acceso, redireccionamientos, reintentos, reescrituras, tiempo de espera, reintentos, duplicaciones, manipulación de encabezados y reglas de enrutamiento de CORS
Balanceador de cargas para la puerta de enlace de entrada de Istio
Atributo
Administrado (TD)
Administrado (istiod)
Balanceador de cargas externo de terceros
Balanceador de cargas interno de Google Cloud
*
*
Puerta de enlace de la nube de la malla de servicios
Atributo
Administrado (TD)
Administrado (istiod)
Puerta de enlace de nube de Service Mesh
API de Kubernetes Gateway
Atributo
Administrado (TD)
Administrado (istiod)
API de Kubernetes Gateway
Políticas de balanceo de cargas
Atributo
Administrado (TD)
Administrado (istiod)
Round robin
Conexiones mínimas
Aleatorio
Transferencia
Hash coherente
Localidad
Entrada de servicio
Atributo
Administrado (TD)
Administrado (istiod)
ServiceEntry v1beta1
†
† La implementación del plano de control de TRAFFIC_DIRECTOR no admite lo siguiente
campos y valores en los campos:
Campo workloadSelector
Campo endpoints[].network
Campo endpoints[].locality
Campo endpoints[].weight
Campo endpoints[].serviceAccount
Valor DNS_ROUND_ROBIN en el campo resolution
Valor MESH_INTERNAL en el campo location
Dirección del socket de dominio Unix en el campo endpoints[].address
Campo subjectAltNames
Regla de destino
Atributo
Administrado (TD)
Administrado (istiod)
DestinationRule v1beta1
†
† La implementación del plano de control TRAFFIC_DIRECTOR no admite los campos trafficPolicy.loadBalancer.localityLbSetting ni trafficPolicy.tunnel.
Además, la implementación del plano de control de TRAFFIC_DIRECTOR requiere que la
la regla de destino que define subconjuntos está en el mismo espacio de nombres y clúster con
o ServiceEntry de Kubernetes.
Sidecar
Atributo
Administrado (TD)
Administrado (istiod)
Sidecar v1beta1
†
† La implementación del plano de control de TRAFFIC_DIRECTOR no admite lo siguiente
campos y valores en los campos:
Campo ingress
Campo egress.port
Campo egress.bind
Campo egress.captureMode
Campo inboundConnectionPool
MeshConfig
Atributo
Administrado (TD)
Administrado (istiod)
LocalityLB
§
ExtensionProviders
§
CACert
ImageType: distroless
§
OutboundTrafficPolicy
§
defaultProviders.accessLogging
defaultProviders.tracing
defaultConfig.tracing.stackdriver
§
accessLogFile
§
ProxyConfig
Atributo
Administrado (TD)
Administrado (istiod)
Proxy de DNS (ISTIO_META_DNS_CAPTURE, ISTIO_META_DNS_AUTO_ALLOCATE)
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Hard to understand","hardToUnderstand","thumb-down"],["Incorrect information or sample code","incorrectInformationOrSampleCode","thumb-down"],["Missing the information/samples I need","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2024-10-11 (UTC)"],[],[]]
