Preparar la configuración de la API Gateway para Cloud Service Mesh
En esta página se describe cómo instalar las definiciones de recursos personalizados necesarias para la puerta de enlace en tu clúster.
Limitaciones
- No se admite tener una combinación de clústeres de
gatewayconfig-api yistioconfig-api en la misma flota. Asegúrate de que la config-api esté definida comogatewaypara todos los clústeres de tu flota. Usa el comandogcloud container fleet mesh describe --project FLEET_PROJECT_IDpara ver lo que has configurado para tu flota. - No se admite el descubrimiento de servicios y el balanceo de carga entre varios clústeres en los clústeres de la API de configuración de
gateway. - Si se incorpora un clúster mediante la marca
--management automatic, el clúster empezará a usar la API de configuraciónistioy no podrá cambiar a la APIgateway. - Solo se admiten FQDNs. No se admiten nombres cortos.
Consideraciones sobre la gestión del plano de datos
En el caso de los pods nuevos, Google gestiona qué versión del proxy se inserta. Ten en cuenta que el plano de datos gestionado depende del canal de lanzamiento de Google Kubernetes Engine (GKE) para determinar la versión del proxy.
En el caso de los pods, la gestión del proxy se realiza de forma pasiva, en función del ciclo de vida natural de los pods en el clúster. Para activar la actualización y volver a insertar nuevas versiones del proxy, reinicia tus cargas de trabajo.
Requisitos previos
Para empezar, en esta guía se da por hecho que ya has creado un Google Cloud proyecto y configurado kubectl.
Antes de empezar
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Kubernetes Engine, GKE Hub, and Cloud Service Mesh APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Kubernetes Engine, GKE Hub, and Cloud Service Mesh APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. - CLUSTER_NAME es el nombre de tu clúster
- LOCATION es la ubicación de tu clúster
- PROJECT_ID es el ID del proyecto de tu clúster.
Ve a la página Google Kubernetes Engine en la Google Cloud consola.
Haz clic en add_box Crear.
En la sección Estándar, haga clic en Configurar.
En la sección Información básica de los clústeres, haz lo siguiente:
- Introduce el nombre del clúster.
- En Tipo de ubicación, selecciona una región de Compute Engine para tu clúster.
En el panel de navegación, haga clic en default-pool en la sección Grupos de nodos y seleccione Seguridad.
En la lista Permisos de acceso, selecciona Definir acceso para cada API y, a continuación, Habilitado en Cloud Platform.
En el panel de navegación, ve a la sección Clúster y haz clic en Redes.
En la lista Redes del clúster, selecciona Habilitar API Gateway.
En el panel de navegación, haga clic en Seguridad en la sección Clúster.
En la lista Seguridad, selecciona Habilitar Workload Identity.
Haz clic en Crear.
Registra tu clúster en una flota:
gcloud container fleet memberships register CLUSTER_NAME \ --gke-cluster LOCATION/CLUSTER_NAME \ --project=PROJECT_IDVerifica que el clúster esté registrado en la flota:
gcloud container fleet memberships list --project=PROJECT_IDLa salida es similar a la siguiente:
NAME EXTERNAL_ID LOCATION my-cluster 91980bb9-593c-4b36-9170-96445c9edd39 us-west1Habilita la función de malla:
gcloud container fleet mesh enable --project PROJECT_IDActualiza la malla para usar la API Gateway:
gcloud alpha container fleet mesh update \ --config-api gateway \ --memberships CLUSTER_NAME \ --project PROJECT_IDVerifica la actualización describiendo el estado del recurso de Cloud Service Mesh:
gcloud alpha container fleet mesh describeCrea un archivo YAML que especifique el uso de la API Gateway:
echo "configapi: gateway" > mesh.yamlActualiza tu malla:
gcloud alpha container fleet mesh update --project FLEET_PROJECT_ID \ --fleet-default-member-config mesh.yamlCrea un clúster y regístralo en tu flota en un solo paso para usar la configuración predeterminada:
gcloud container clusters create CLUSTER_NAME \ --project PROJECT_ID \ --fleet-project FLEET_PROJECT_ID \ --location=LOCATION \Habilita Workload Identity Federation para GKE y ejecuta el servidor de metadatos de GKE en tu nodo.
- CLUSTER_NAME es el nombre de tu clúster
- LOCATION es la ubicación de tu clúster
- PROJECT_ID es el ID del proyecto de tu clúster.
- Configurar una malla de servicios de sidecar de Envoy en GKE
- Configurar una malla de servicios gRPC sin proxy en GKE
Crear y registrar un clúster de GKE
gcloud
Crea un clúster de GKE:
gcloud container clusters create CLUSTER_NAME \
--location=LOCATION \
--enable-ip-alias \
--scopes=https://www.googleapis.com/auth/cloud-platform \
--release-channel=regular \
--project=PROJECT_ID \
--gateway-api=standard \
--workload-pool=PROJECT_ID.svc.id.goog \
--workload-metadata=GKE_METADATA
donde:
Consola
Una vez creado el clúster,
Configurar permisos
Ten en cuenta que los siguientes comandos conceden permiso a todos los usuarios autenticados, pero puedes usar Workload Identity Federation para GKE para conceder permiso solo a determinadas cuentas. Para obtener información sobre cómo funciona Workload Identity Federation para GKE, consulta el artículo Acerca de Workload Identity Federation para GKE. Para configurar Workload Identity Federation para GKE, consulta Autenticar en APIs Google Cloud desde cargas de trabajo de GKE.
Asigna el rol trafficdirector.client:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member "group:PROJECT_ID.svc.id.goog:/allAuthenticatedUsers/" \
--role "roles/trafficdirector.client"
Habilitar Cloud Service Mesh
Configurar las nuevas suscripciones de tu flota para que usen la API Gateway de forma predeterminada (opcional)
También puedes crear ajustes predeterminados a nivel de flota para que los nuevos clústeres de GKE registrados en la flota durante la creación del clúster se configuren automáticamente con la API Gateway.
Instalar definiciones de recursos personalizadas
Genera una entrada kubeconfig para tu clúster:
gcloud container clusters get-credentials CLUSTER_NAME --location LOCATION --project PROJECT_ID
donde:
Instala la definición de recurso personalizado (CRD) GRPCRoute:
curl https://raw.githubusercontent.com/kubernetes-sigs/gateway-api/v1.1.0/config/crd/standard/gateway.networking.k8s.io_grpcroutes.yaml \
| kubectl apply -f -
La salida es similar a la siguiente:
customresourcedefinition.apiextensions.k8s.io/grpcroutes.gateway.networking.k8s.io created