클러스터 내 Cloud Service Mesh 기본 요건
이 페이지에서는 GKE Enterprise 라이선스, 클러스터 요구사항, Fleet 요구사항, 일반 요구사항과 같은 Google Cloud의 Kubernetes 워크로드용 클러스터 내 Cloud Service Mesh 설치 기본 요건과 요구사항을 설명합니다.
Cloud 프로젝트
시작하기 전에 다음 사항을 확인하세요.
프로젝트에 결제가 사용 설정되었는지 확인합니다.
GKE Enterprise 라이선스
Cloud Service Mesh를 온프레미스, AWS용 GKE, Amazon EKS, Azure용 GKE, Microsoft AKS에 설치하려면 GKE Enterprise 고객이어야 합니다. Cloud Service Mesh가 이미 GKE Enterprise 가격 책정에 포함되어 있으므로 GKE Enterprise 고객에게는 별도로 비용이 청구되지 않습니다. 자세한 내용은 GKE Enterprise 가격 책정 가이드를 참조하세요.
일반 요구사항
서비스 메시에 포함하려면 서비스 포트의 이름이 지정되어야 하며 이름은
name: protocol[-suffix]
문법에서 포트 프로토콜을 포함해야 합니다. 여기서 대괄호는 대시로 시작해야 하는 선택적 서픽스를 나타냅니다. 자세한 내용은 서비스 포트 이름 지정을 참조하세요.조직에서 서비스 경계를 만든 경우 경계에 Cloud Service Mesh 인증기관 서비스를 추가해야 할 수 있습니다. 자세한 내용은 서비스 경계에 Cloud Service Mesh 인증기관 추가를 참조하세요.
istio-proxy
사이드카 컨테이너의 기본 리소스 한도를 변경하려면 메모리 부족(OOM) 이벤트를 방지하기 위해 새 값이 기본값보다 커야 합니다.Google Cloud 프로젝트에는 하나의 메시만 연결할 수 있습니다.
클러스터 요구사항
Cloud Service Mesh를 설치하는 사용자 클러스터에 최소 4개의 vCPU, 15GB 메모리, 4개의 노드가 있는지 확인합니다.
클러스터 버전이 지원되는 플랫폼에 나열되어 있는지 확인합니다.
Cloud Service Mesh를 설치할 클라이언트 머신이 API 서버에 네트워크로 연결되어 있는지 확인합니다.
CA 서비스(예:
meshca.googleapis.com
및privateca.googleapis.com
)에 직접 연결할 수 없는 애플리케이션 포드에 사이드카를 배포하는 경우 명시적CONNECT
기반 HTTPS 프록시를 구성해야 합니다.묵시적 규칙을 차단하는 이그레스 방화벽 규칙이 설정된 공개 클러스터의 경우 공개 Google API에 연결하도록 HTTP/HTTPS 및 DNS 규칙을 구성했는지 확인합니다.
Fleet 요구사항
모든 클러스터를 Fleet에 등록해야 하며 Fleet 워크로드 아이덴티티를 사용 설정해야 합니다. 직접 클러스터를 설정하거나 클러스터가 다음 요구사항을 충족하는 경우 asmcli
에서 클러스터를 등록하도록 허용할 수 있습니다.
- Google Cloud 외부의 GKE 클러스터: (클러스터 내 Cloud Service Mesh에 적용) Google Distributed Cloud, Google Distributed Cloud, AWS 기반 GKE, Azure 기반 GKE는 클러스터 생성 시에 프로젝트 Fleet에 자동으로 등록됩니다. GKE Enterprise 1.8부터 이러한 클러스터 유형은 모두 등록 시 Fleet 워크로드 아이덴티티가 자동으로 사용 설정됩니다. 기존에 등록된 클러스터는 GKE Enterprise 1.8로 업그레이드되면 Fleet 워크로드 아이덴티티를 사용하도록 업데이트됩니다.
- Amazon EKS 클러스터: (클러스터 내 Cloud Service Mesh에 적용) 클러스터에 공개 IAM OIDC ID 공급업체가 있어야 합니다. 클러스터에 대한 IAM OIDC 제공업체 만들기의 안내에 따라 제공업체가 존재하는지 확인하고, 필요하면 제공업체를 만듭니다.
asmcli install
을 실행할 때 Fleet 호스트 프로젝트의 프로젝트 ID를 지정합니다.
클러스터가 아직 등록되지 않은 경우 asmcli
에서 클러스터를 등록합니다.