Prerequisiti di Cloud Service Mesh nel cluster
Questa pagina descrive i prerequisiti e i requisiti per l'installazione di Cloud Service Mesh in-cluster per i carichi di lavoro Kubernetes off Google Cloud, ad esempio requisiti del cluster, del parco risorse e generali.
Progetto cloud
Prima di iniziare:
Verifica che la fatturazione sia attivata per il tuo progetto.
Requisiti generali
Per essere incluse nel mesh di servizi, le porte di servizio devono essere denominate e il nome deve includere il protocollo della porta nella seguente sintassi:
name: protocol[-suffix]dove le parentesi quadre indicano un suffisso facoltativo che deve iniziare con un trattino. Per ulteriori informazioni, vedi Denominazione delle porte di servizio.Se hai creato un perimetro di servizio nella tua organizzazione, potresti dover aggiungere il servizio di autorità di certificazione Cloud Service Mesh al perimetro. Per saperne di più, consulta Aggiunta di un'autorità di certificazione Cloud Service Mesh a un perimetro di servizio.
Se vuoi modificare i limiti delle risorse predefiniti per il container sidecar
istio-proxy, i nuovi valori devono essere superiori a quelli predefiniti per evitare eventi di esaurimento della memoria (OOM).Un progetto Google Cloud può avere un solo mesh associato.
Requisiti per i cluster
Assicurati che il cluster utente su cui installi Cloud Service Mesh abbia almeno 4 vCPU, 15 GB di memoria e 4 nodi.
Verifica che la versione del cluster sia elencata in Piattaforme supportate.
Assicurati che la macchina client da cui installi Cloud Service Mesh abbia la connettività di rete al server API.
Se esegui il deployment di sidecar nei pod dell'applicazione in cui la connettività diretta ai servizi CA (come
meshca.googleapis.comeprivateca.googleapis.com) non è disponibile, devi configurare un proxy HTTPS esplicito basato suCONNECT.Per i cluster pubblici con regole firewall in uscita impostate che bloccano le regole implicite, assicurati di aver configurato le regole HTTP/HTTPS e DNS per raggiungere le API Google pubbliche.
Requisiti del parco risorse
Tutti i cluster devono essere registrati in un parco risorse e l'identità del workload del parco risorse deve essere abilitata. Puoi configurare i cluster autonomamente oppure puoi consentire a asmcli di registrarli, a condizione che soddisfino i seguenti requisiti:
- Cluster GKE esterni a Google Cloud: (si applica a Cloud Service Mesh nel cluster) Google Distributed Cloud (solo software) per VMware, Google Distributed Cloud (solo software) per bare metal, GKE su AWS (ritirato) e GKE su Azure (ritirato) vengono registrati automaticamente nel parco progetti al momento della creazione del cluster. A partire da GKE Enterprise 1.8, tutti questi tipi di cluster abilitano automaticamente l'Workload Identityd del parco risorse al momento della registrazione. I cluster registrati esistenti vengono aggiornati per utilizzare Workload Identity del parco risorse quando vengono eseguiti l'upgrade a GKE Enterprise 1.8.
- Cluster Amazon EKS (ritirati): (si applica a Cloud Service Mesh nel cluster) Il cluster deve avere un provider di identità IAM OIDC pubblico. Segui le istruzioni riportate in Crea un provider OIDC IAM per il tuo cluster per verificare se esiste un provider e crearne uno, se necessario.
Quando esegui asmcli install, specifichi l'ID progetto
del
progetto host del parco risorse.
asmcli registra il cluster se non è già registrato.