Prerequisiti di Cloud Service Mesh nel cluster
Questa pagina descrive i prerequisiti e i requisiti per l'installazione di Cloud Service Mesh in-cluster per i workload Kubernetes off- Google Cloud, ad esempio le licenze GKE Enterprise, i requisiti del cluster, i requisiti del parco risorse e i requisiti generali.
Progetto cloud
Prima di iniziare:
Verifica che la fatturazione sia attivata per il tuo progetto.
Licenze GKE Enterprise
Per installare Cloud Service Mesh on-premise, su GKE su AWS, su Amazon EKS, su GKE su Azure o su Microsoft AKS, devi essere un cliente GKE Enterprise. Cloud Service Mesh non viene fatturato separatamente per i clienti GKE Enterprise perché è già incluso nel prezzo di GKE Enterprise. Per ulteriori informazioni, consulta la guida ai prezzi di GKE Enterprise.
Requisiti generali
Per essere incluse nel service mesh, le porte dei servizi devono essere denominate e il nome deve includere il protocollo della porta nella seguente sintassi:
name: protocol[-suffix]dove le parentesi quadre indicano un suffisso facoltativo che deve iniziare con un trattino. Per ulteriori informazioni, consulta Porte del servizio di denominazione.Se hai creato un perimetro di servizio nella tua organizzazione, potresti dover aggiungere al perimetro il servizio di autorità di certificazione Cloud Service Mesh. Per ulteriori informazioni, consulta Aggiunta dell'autorità di certificazione Cloud Service Mesh a un perimetro di servizio.
Se vuoi modificare i limiti di risorse predefiniti per il contenitore sidecar
istio-proxy, i nuovi valori devono essere superiori a quelli predefiniti per evitare eventi di esaurimento della memoria (OOM).Un Google Cloud progetto può avere un solo mesh associato.
Requisiti per i cluster
Assicurati che il cluster di utenti su cui installi Cloud Service Mesh abbia almeno 4 vCPU, 15 GB di memoria e 4 nodi.
Verifica che la versione del cluster sia elencata in Piattaforme supportate.
Assicurati che il computer client da cui installi Cloud Service Mesh abbia connettività di rete con il server API.
Se esegui il deployment di sidecar nei pod di applicazioni in cui la connettività diretta ai servizi CA (come
meshca.googleapis.comeprivateca.googleapis.com) non è disponibile, devi configurare un proxy HTTPS esplicito basato suCONNECT.Per i cluster pubblici con regole firewall in uscita impostate che bloccano le regole implicite, assicurati di aver configurato regole HTTP/HTTPS e DNS per raggiungere le API pubbliche di Google.
Requisiti del parco risorse
Tutti i cluster devono essere registrati in un
parco risorse e debe essere attivata la identità del workload del parco risorse. Puoi configurare i cluster autonomamente o lasciare che sia asmcli a registrarli, a condizione che soddisfino i seguenti requisiti:
- Cluster GKE esterni Google Cloud: (si applica a Cloud Service Mesh all'interno del cluster) Google Distributed Cloud (solo software) per VMware, Google Distributed Cloud (solo software) per bare metal, GKE su AWS e GKE su Azure vengono registrati automaticamente al parco risorse del progetto al momento della creazione del cluster. A partire da GKE Enterprise 1.8, tutti questi tipi di cluster attivano automaticamente l'identità di carico di lavoro del parco risorse quando vengono registrati. I cluster registrati esistenti vengono aggiornati per utilizzare Workload Identity del parco risorse quando viene eseguito l'upgrade a GKE Enterprise 1.8.
- Cluster Amazon EKS: (si applica a Cloud Service Mesh all'interno del cluster) Il cluster deve avere un provider di identità OIDC IAM pubblico. Segui le istruzioni riportate in Creare un provider OIDC IAM per il cluster per verificare se esiste un provider e, se necessario, creane uno.
Quando esegui asmcli install, specifica l'ID progetto
del
progetto host del parco risorse.
asmcli registra il cluster se non è già registrato.