Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
Funciones compatibles con las APIs de Istio (plano de control gestionado)
En esta página se describen las funciones admitidas y las limitaciones de Cloud Service Mesh con TRAFFIC_DIRECTOR o ISTIOD como plano de control, así como las diferencias entre cada implementación. Ten en cuenta que no puedes elegir estas opciones. La implementación de ISTIOD solo está disponible para los usuarios que ya la tengan.
Las nuevas instalaciones usan la implementación de TRAFFIC_DIRECTOR cuando es posible.
Las migraciones y las actualizaciones solo se admiten desde versiones 1.9 o posteriores de Cloud Service Mesh en el clúster instaladas con Mesh CA. Las instalaciones con Istio CA (anteriormente conocido como Citadel) deben migrar a Mesh CA primero.
Solo se admite la opción de implementación multiprimaria para multiclústeres. No se admite la opción de implementación primaria-remota para multiclústeres.
No se admite istioctl ps. En su lugar, puedes usar los comandos de gcloud beta container fleet mesh debug tal como se describe en Solucionar problemas.
APIs no compatibles:
EnvoyFilter API
WasmPlugin API
IstioOperator API
Kubernetes Ingress API
.
Puedes usar el plano de control gestionado sin una suscripción a GKE Enterprise, pero algunos elementos de la interfaz de usuario y funciones de la consola Google Cloud solo están disponibles para los suscriptores de GKE Enterprise. Para obtener información sobre lo que está disponible para suscriptores y no suscriptores, consulta Diferencias entre la interfaz de GKE Enterprise y la de Cloud Service Mesh.
Durante el proceso de aprovisionamiento de un plano de control gestionado, se instalan en el clúster especificado los CRDs de Istio correspondientes al canal seleccionado. Si hay CRDs de Istio en el clúster, se sobrescribirán.
Managed Cloud Service Mesh solo admite el dominio DNS predeterminado .cluster.local.
Las nuevas instalaciones de Cloud Service Mesh gestionado solo obtienen JWKS mediante Envoys, a menos que la flota contenga otros clústeres en los que no esté habilitado ese comportamiento. Es equivalente a la opción PILOT_JWT_ENABLE_REMOTE_JWKS=envoy de Istio. En comparación con las instalaciones que no tienen la condición VPCSC_GA_SUPPORTED (consulta la información que se muestra más abajo), es posible que necesites una configuración adicional para las configuraciones ServiceEntry
y DestinationRule. Para ver un ejemplo, consulta requestauthn-with-se.yaml.tmpl.
Puedes determinar si el modo de funcionamiento actual es equivalente a PILOT_JWT_ENABLE_REMOTE_JWKS=envoy comprobando si Controles de Servicio de VPC se admite en el plano de control (es decir, si se muestra la condición VPCSC_GA_SUPPORTED).
El plano de datos gestionado solo se admite en cargas de trabajo sin sidecars adicionales (aparte del sidecar de Cloud Service Mesh).
Diferencias en el plano de control
Hay diferencias en las funciones admitidas entre las implementaciones del plano de control de ISTIOD y TRAFFIC_DIRECTOR. Para comprobar qué implementación estás usando, consulta Identificar la implementación del plano de control.
: indica que la función está disponible y habilitada de forma predeterminada.
† indica que las APIs de funciones pueden tener diferencias entre las distintas plataformas.
* indica que la función es compatible con la plataforma y se puede habilitar, tal como se describe en la sección Habilitar funciones opcionales o en la guía de la función vinculada en la tabla de funciones.
§: indica que la función se admite en la lista de permitidos. Los usuarios anteriores de Anthos Service Mesh gestionado se añaden automáticamente a la lista de permitidos a nivel de organización.
Ponte en contacto con el Google Cloud equipo de Asistencia para solicitar acceso o consultar el estado de tu lista de permitidos.
: indica que la función no está disponible o que no es compatible.
El equipo de Asistencia de Google Cloud
ofrece asistencia completa para las funciones predeterminadas y opcionales. Las funciones que no se indican explícitamente en las tablas reciben asistencia de la mejor manera posible.
Qué determina la implementación del plano de control
Cuando aprovisionas Cloud Service Mesh gestionado por primera vez en una flota, determinamos qué implementación del plano de control se debe usar. La misma implementación se usa en todos los clústeres que aprovisionan Cloud Service Mesh gestionado en esa flota.
Las flotas nuevas que se incorporan a Cloud Service Mesh gestionado reciben la implementación del plano de control TRAFFIC_DIRECTOR, con algunas excepciones:
Si ya usas Cloud Service Mesh gestionado, recibirás la implementación del plano de control ISTIOD
cuando incorpores una nueva flota a Cloud Service Mesh gestionado en la misma organización Google Cloud
, al menos hasta el 30 de junio del 2024.
Si eres uno de estos usuarios, puedes ponerte en contacto con el equipo de Asistencia para ajustar este comportamiento.
Los usuarios cuyo uso actual no sea compatible con la implementación TRAFFIC_DIRECTOR
sin cambios seguirán recibiendo la implementación ISTIOD
hasta el 8 de septiembre del 2024. (Estos usuarios han recibido un anuncio de servicio).
Si algún clúster de GKE en tu flota contiene un plano de control de Cloud Service Mesh en el clúster cuando aprovisiones Cloud Service Mesh gestionado, recibirás la implementación del plano de control de ISTIOD. Google Cloud
Si algún clúster de tu flota usa GKE Sandbox, cuando aprovisiones Cloud Service Mesh gestionado, recibirás la implementación del plano de control ISTIOD.
Funciones admitidas del plano de control gestionado
Instalar, actualizar y restaurar
Función
Gestionado (TD)
Gestionado (istiod)
Instalación en clústeres de GKE mediante la API de la función flota
Actualizaciones desde versiones de ASM 1.9 que usan Mesh CA
Actualizaciones directas (con salto de versión) desde versiones de Cloud Service Mesh anteriores a la 1.9 (consulta las notas sobre las actualizaciones indirectas)
Actualizaciones directas (con salto de versión) desde Istio OSS (consulta las notas sobre las actualizaciones indirectas)
Actualizaciones directas (con salto de versión) desde el complemento Istio on GKE (consulta las notas sobre las actualizaciones indirectas)
Entornos que no sean Google Cloud (GKE Enterprise on-premise, GKE Enterprise en otras nubes públicas, Amazon EKS, Microsoft AKS u otros clústeres de Kubernetes)
Escalar
Función
Gestionado (TD)
Gestionado (istiod)
1000 servicios y 5000 cargas de trabajo por clúster
Descubrimiento de endpoints entre clústeres con secretos remotos
Descubrimiento de endpoints multiclúster con una API declarativa y una topología sencilla
Notas sobre la terminología
Una configuración multimaestra significa que la configuración debe replicarse en todos los clústeres.
Una configuración principal-remota significa que un único clúster contiene la configuración y se considera la fuente de información veraz.
Cloud Service Mesh usa una definición simplificada de la red basada en la conectividad general. Las instancias de carga de trabajo están en la misma red si pueden comunicarse directamente, sin una pasarela.
La topología sencilla para la detección de endpoints de varios clústeres significa que cada clúster de la flota participa o no en la detección de endpoints. Entre las topologías complejas no admitidas se incluyen las siguientes: a) detección de puntos finales unidireccional (por ejemplo, el clúster A puede detectar puntos finales en el clúster B, pero no al revés) y b) redes de detección de puntos finales disjuntas (por ejemplo, los clústeres A y B pueden detectar los puntos finales de cada uno, los clústeres C y D pueden detectar los puntos finales de cada uno, pero A/B y C/D no pueden detectar los puntos finales de cada uno).
† Cloud Service Mesh con un plano de control gestionado (TD) solo admite el tipo de imagen sin distribución. No puedes cambiarlo.
Ten en cuenta que las imágenes sin distribución tienen archivos binarios mínimos, por lo que no puedes ejecutar los comandos habituales, como bash o curl, porque no están presentes en la imagen sin distribución.
Sin embargo, puedes usar contenedores efímeros para conectarte a un pod de carga de trabajo en ejecución y, de esta forma, inspeccionarlo y ejecutar comandos personalizados. Por ejemplo, consulta el artículo Recoger registros de Cloud Service Mesh.
Adaptadores o back-ends personalizados, dentro o fuera del proceso
Back-ends de telemetría y registro arbitrarios
† El plano de control de TRAFFIC_DIRECTOR admite un subconjunto de la API de telemetría de Istio que se usa para configurar registros de acceso y trazas. El TRAFFIC_DIRECTOR
plano de control no admite la configuración de la frecuencia de muestreo de trazas.
Aunque TCP es un protocolo compatible con las redes y se recogen métricas de TCP, no se registran. Las métricas solo se muestran para los servicios HTTP en la consola de Google Cloud .
No se admiten los servicios configurados con funciones de capa 7 para los siguientes protocolos: WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ y Cloud SQL. Es posible que puedas hacer que el protocolo funcione usando la compatibilidad con el flujo de bytes TCP. Si el flujo de bytes TCP no admite el protocolo (por ejemplo, Kafka envía una dirección de redirección en una respuesta específica del protocolo y esta redirección no es compatible con la lógica de enrutamiento de Cloud Service Mesh), el protocolo no se admite.
† En gRPC sin proxy, las funciones de pila dual IPv6 solo se admiten en gRPC 1.66.1 o versiones posteriores en C++ y Python, gRPC Go v1.71 y gRPC Node.js v1.12.
Si intentas configurar funciones de pila dual con una versión de gRPC que no admita la pila dual, los clientes solo usarán la primera dirección enviada por Traffic Director.
Despliegues de Envoy
Función
Gestionado (TD)
Gestionado (istiod)
Sidecars
Pasarela de entrada
Salida directamente desde los sidecars
Salida mediante pasarelas de salida
*
*
Compatibilidad con CRD
Función
Gestionado (TD)
Gestionado (istiod)
Recurso de sidecar
Recurso de entrada de servicio
Porcentaje, inyección de fallos, coincidencia de rutas, redirecciones, reintentos, reescritura,
tiempo de espera, reintento, creación de reflejos, manipulación de encabezados y reglas de enrutamiento de CORS
Balanceador de carga de la pasarela de entrada de Istio
Función
Gestionado (TD)
Gestionado (istiod)
Balanceador de carga externo de terceros
Google Cloud Balanceador de carga interno
*
*
Puerta de enlace de nube de malla de servicios
Función
Gestionado (TD)
Gestionado (istiod)
Puerta de enlace de nube de malla de servicios
API Gateway de Kubernetes
Función
Gestionado (TD)
Gestionado (istiod)
API Gateway de Kubernetes
Políticas de balanceo de carga
Función
Gestionado (TD)
Gestionado (istiod)
Orden aleatorio
Menos conexiones
Aleatoria
Transparente
Hash coherente
Localidad
GCPTrafficDistributionPolicy
GCPBackendPolicy
Entrada de servicio
Función
Gestionado (TD)
Gestionado (istiod)
ServiceEntry v1beta1
†
† La implementación del plano de control de TRAFFIC_DIRECTOR no admite los siguientes campos ni valores de campos:
Campo workloadSelector
Campo endpoints[].network
Campo endpoints[].locality
Campo endpoints[].weight
Campo endpoints[].serviceAccount
Valor de DNS_ROUND_ROBIN en el campo resolution
Valor de MESH_INTERNAL en el campo location
Dirección de socket de dominio de Unix en el campo endpoints[].address
Campo subjectAltNames
Regla de destino
Función
Gestionado (TD)
Gestionado (istiod)
DestinationRule v1beta1
†
† La implementación del plano de control de TRAFFIC_DIRECTOR no admite los siguientes campos.
Campo trafficPolicy.loadBalancer.localityLbSetting
Campo trafficPolicy.tunnel
Campo trafficPolicy.tls.credentialName
Campo trafficPolicy.portLevelSettings[].tls.credentialName
Además, la implementación del plano de control de TRAFFIC_DIRECTOR requiere que la regla de destino que define los subconjuntos esté en el mismo espacio de nombres y clúster que el servicio de Kubernetes o ServiceEntry.
Sidecar
Función
Gestionado (TD)
Gestionado (istiod)
Sidecar v1beta1
†
† La implementación del plano de control de TRAFFIC_DIRECTOR no admite los siguientes campos ni valores de campos:
Campo ingress
Campo egress.port
Campo egress.bind
Campo egress.captureMode
Campo inboundConnectionPool
MeshConfig
Función
Gestionado (TD)
Gestionado (istiod)
LocalityLB
§
ExtensionProviders
§
CACert
ImageType - distroless
§
OutboundTrafficPolicy
§
defaultProviders.accessLogging
defaultProviders.tracing
defaultConfig.tracing.stackdriver
§
accessLogFile
§
ProxyConfig
Función
Gestionado (TD)
Gestionado (istiod)
Proxy de DNS (ISTIO_META_DNS_CAPTURE e ISTIO_META_DNS_AUTO_ALLOCATE)
Compatibilidad con HTTP/1.0 (ISTIO_META_NETWORK)
Selección de imagen (sin distribución o imagen base)
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-12 (UTC)."],[],[],null,[]]
