Referência da API Cloud Run
Esta página fornece uma referência para as APIs usadas para configurar o Service Mesh para cargas de trabalho do Cloud Run.
API Cloud Run V1 (google.cloud.run.v1)
A malha de serviço é ativada usando uma anotação de sistema no nível de revisão. O valor dessa anotação é o nome do cluster de suporte do Istio do Cloud Service Mesh.
Nota | Valor |
---|---|
run.googleapis.com/mesh | projects/PROJECT>/locations/global/meshes/MESH> |
API Istio do Cloud Service Mesh
API VirtualService
Nome do campo | Tipo | Descrição do campo |
---|---|---|
gateways | String [] | Se os gateways incluírem uma "rede externa", o serviço virtual será aplicado apenas a cargas de trabalho que não sejam do GKE. Se "mesh" for especificado com "external-mesh", o serviço virtual será aplicado a cargas de trabalho que não são do GKE e do GKE. |
exportTo | string | Considerando que as cargas de trabalho que não são do GKE não têm o conceito de namespace, os serviços virtuais "external-mesh" ignoram o campo exportTo. No entanto, eles vão continuar funcionando para serviços virtuais que têm "rede" ou gateways, como esperado para cargas de trabalho do GKE. |
httpRoute.HTTPMatchRequest.SourceLabels | map<string, string=""></string,> | Será ignorado para serviços virtuais "external-mesh". No entanto, eles vão continuar funcionando para serviços virtuais que tenham "mesh" ou gateways, conforme o esperado para cargas de trabalho do GKE. |
httpRoute.HTTPMatchRequest.SourceNamespace | string | Será ignorado para serviços virtuais "external-mesh". No entanto, eles vão continuar funcionando para serviços virtuais que tenham "rede" ou gateways, como esperado para cargas de trabalho do GKE. |
httpRoute.HTTPMatchRequest.Gateways | string[] | Será ignorado para serviços virtuais "external-mesh". No entanto, eles vão continuar funcionando para serviços virtuais que têm "rede" ou gateways, como esperado para cargas de trabalho do GKE. |
tls | tlsRoute[] | Será ignorado para serviços virtuais "external-mesh". No entanto, eles vão continuar funcionando para serviços virtuais que têm "rede" ou gateways, como esperado para cargas de trabalho do GKE. |
TCP | tcpRoute[] | Será ignorado para o serviço virtual de malha externa. No entanto, eles vão continuar funcionando para serviços virtuais que têm "rede" ou gateways, como esperado para cargas de trabalho do GKE. |
mTLS automático e nomenclatura segura do Istio
No momento, o Cloud Service Mesh oferece suporte ao MutualTLS automático do Istio e ao nomeamento seguro para solicitações entre serviços do GKE.
Na visualização, as cargas de trabalho que não são do GKE que se comunicam com cargas de trabalho/serviços do GKE não vão usar o MTLS automático do Istio nem o Secure Naming. O tráfego será em texto simples. Verifique se os serviços do GKE têm uma política mTLS permissiva (que é o padrão da API Istio) que aceita o tráfego mTLS de cargas de trabalho do GKE e texto simples de cargas de trabalho que não são do GKE.
Use o comando a seguir para verificar se a PeerAuthentication está no modo permissivo:
# list PeerAuthentication resources in a namespace
# If no PeerAuthentication resource exists in the namespace,
# then it's PERMISSIVE mode (Istio API default)
kubectl get PeerAuthentication -n $NAMESPACE
# for each of the above run the following command
kubectl get PeerAuthentication $PEER-AUTHN -n $NAMESPACE
# Expected Output is as follows:
# MTLS Mode must be PERMISSIVE.
# If the output says STRICT, then please update the policy to PERMISSIVE.
apiVersion: security.istio.io/v1
kind: PeerAuthentication
metadata:
name: $PEER-AUTHN
namespace: $NAMESPACE
spec:
mtls:
mode: PERMISSIVE
Telemetria de MeshConfig
O Cloud Service Mesh oferece suporte à API de telemetria MeshConfig para ativar e desativar o Cloud Logging e o Cloud Monitoring para cargas de trabalho do GKE. Isso também vai funcionar de maneira semelhante para cargas de trabalho que não são do GKE.
Regra do destino
Na pré-visualização, a segmentação DestinationRule
dos serviços virtuais "external-mesh" será aceita, exceto os seguintes campos: trafficPolicy.tls
API Sidecar
A API Sidecar não será aplicável a cargas de trabalho que não sejam do GKE. As cargas de trabalho que não são do GKE vão poder acessar todos os serviços virtuais com escopo "external-mesh" sem serem filtrados por nenhuma regra de visibilidade do Sidecar.
API de segurança: política de autorização, política de autenticação de solicitação
Elas não se aplicam a cargas de trabalho que não são do GKE e que atuam como clientes enviando tráfego de saída. Elas vão continuar a aplicar cargas de trabalho do GKE que recebem tráfego de entrada.
API GCPBackend
Nome do campo | Tipo | Descrição do campo |
---|---|---|
GCPBackend | struct | Esquema do recurso GCPBackend. |
TypeMeta | metav1.TypeMeta | Estrutura incorporada para armazenar informações de metadados, como tipo e versão da API. |
ObjectMeta | metav1.ObjectMeta | Estrutura incorporada para armazenar informações de metadados, como nome, namespace, rótulos, anotações etc. |
Especificações | GCPBackendSpec | Especificação do recurso GCPBackend, que define o estado desejado. |
GCPBackendSpec | struct | Define o estado desejado da GRPCRoute. |
CloudRun | *CloudRunBackend | Define um back-end em execução no Cloud Run (opcional). |
CloudRunBackend | struct | Identifica um serviço em execução no Cloud Run. |
Serviço | string | Nome do serviço do Cloud Run. Precisa ter entre 1 e 49 caracteres, seguir um padrão específico e consistir apenas de letras minúsculas, hifens e números. |
Regiões | []Região | Regiões do serviço Cloud Run. É necessário informar exatamente uma região. |
Projeto | string | ID do projeto do serviço do Cloud Run. O padrão é o mesmo projeto do cluster do GKE. Precisa ter entre 6 e 30 caracteres e seguir um padrão específico. Atualmente, o serviço do Cloud Run e o cluster do GKE precisam estar no mesmo projeto. |
GCPBackendList | struct | Contém uma lista de GCPBackends. |
Itens | []*GCPBackend | Matriz de ponteiros do GCPBackend que representam a lista de recursos do GCPBackend. |
ListMeta | metav1.ListMeta | Estrutura incorporada para armazenar informações de metadados de lista, como a versão do recurso e o token de continuação para paginação. |