Cloud Service Mesh und Traffic Director heißen jetzt Cloud Service Mesh. Weitere Informationen finden Sie in der Cloud Service Mesh-Übersicht.

Diese Seite wurde von der Cloud Translation API übersetzt.

Voraussetzungen für clusterinternes Cloud Service Mesh

Auf dieser Seite werden die Voraussetzungen und Anforderungen für die Installation von In-Cluster-Cloud Service Mesh für Kubernetes-Arbeitslasten außerhalb von Google Cloudbeschrieben, z. B. Cluster- und Flottenanforderungen sowie allgemeine Anforderungen.

Cloud-Projekt

Hinweise:

Allgemeine Voraussetzungen

Für die Aufnahme in das Service Mesh müssen Dienstports benannt werden und der Name muss das Protokoll des Ports in der folgenden Syntax enthalten: name: protocol[-suffix], wobei die eckigen Klammern ein optionales Suffix angeben, das mit einem Bindestrich beginnen muss. Weitere Informationen finden Sie unter Dienstports benennen.
Wenn Sie in Ihrer Organisation einen Dienstperimeter erstellt haben, müssen Sie möglicherweise den Dienst für die Cloud Service Mesh-Zertifizierungsstelle dem Perimeter hinzufügen. Weitere Informationen finden Sie unter Cloud Service Mesh-Zertifizierungsstelle einem Dienstperimeter hinzufügen.
Wenn Sie die standardmäßigen Ressourcenlimits für den Sidecar-Container istio-proxy ändern möchten, müssen die neuen Werte größer als die Standardwerte sein, um Ereignisse aufgrund von Speicherplatzmangel zu vermeiden.
Mit einem Google Cloud -Projekt kann nur ein Mesh verknüpft sein.

Clusteranforderungen

Achten Sie darauf, dass der Nutzercluster, auf dem Sie Cloud Service Mesh installieren, mindestens 4 vCPUs, 15 GB Arbeitsspeicher und 4 Knoten hat.
Prüfen Sie, ob Ihre Clusterversion unter Unterstützte Plattformen aufgeführt ist.
Prüfen Sie, ob der Clientcomputer, auf dem Sie Cloud Service Mesh installieren, eine Netzwerkverbindung zum API-Server hat.
Wenn Sie Sidecars in Anwendungs-Pods bereitstellen, in denen keine direkte Verbindung zu CA-Diensten (z. B. meshca.googleapis.com und privateca.googleapis.com) verfügbar ist, müssen Sie einen expliziten CONNECT-basierten HTTPS-Proxy konfigurieren.
Bei öffentlichen Clustern mit festgelegten Firewallregeln für ausgehenden Traffic, die implizite Regeln blockieren, müssen Sie HTTP-/HTTPS- und DNS-Regeln konfigurieren, um öffentliche Google-APIs zu erreichen.

Flottenanforderungen

Alle Cluster müssen in einer Flotte registriert sein und Flotten-Workload Identity muss aktiviert sein. Sie können entweder die Cluster selbst einrichten oder asmcli die Cluster registrieren lassen, solange sie die folgenden Anforderungen erfüllen:

GKE-Cluster außerhalb von Google Cloud: (gilt für clusterinternes Cloud Service Mesh) Google Distributed Cloud (nur Software) für VMware, Google Distributed Cloud (nur Software) für Bare Metal, GKE on AWS (eingestellt) und GKE on Azure (eingestellt) werden zum Zeitpunkt der Clustererstellung automatisch bei Ihrer Projektflotte registriert. Ab GKE Enterprise 1.8 aktivieren alle diese Clustertypen Workload Identity der Flotte automatisch, wenn sie registriert werden. Vorhandene registrierte Cluster werden bei der Aktualisierung auf GKE Enterprise 1.8 so aktualisiert, dass Workload Identity der Flotte verwendet wird.
Amazon EKS-Cluster (eingestellt): (gilt für clusterinternes Cloud Service Mesh) Der Cluster muss einen öffentlichen IAM-OIDC-Identitätsanbieter haben. Folgen Sie der Anleitung unter IAM-OIDC-Anbieter für Ihren Cluster erstellen, um zu prüfen, ob ein Anbieter vorhanden ist, und erstellen Sie bei Bedarf einen Anbieter.

Wenn Sie asmcli install ausführen, geben Sie die Projekt-ID des Flottenhostprojekts an. asmcli registriert den Cluster, falls er noch nicht registriert wurde.