Mengaktifkan fitur opsional

Saat menginstal Anthos Service Mesh, Anda menentukan profil konfigurasi Anthos Service Mesh, yang mengaktifkan fitur Default yang didukung yang tercantum di halaman Fitur yang didukung. Profil konfigurasi Anthos Service Mesh, asm.yaml dan asm-onprem.yaml, terletak di subdirektori install/kubernetes/operator/profiles dalam direktori utama penginstalan Anthos Service Mesh. Profil konfigurasi menentukan dan mengonfigurasi fitur yang diinstal dengan Anthos Service Mesh.

Anda dapat mengganti profil konfigurasi ASM dan mengaktifkan fitur Opsional yang didukung secara terpisah pada command line menggunakan --set values. Atau, jika Anda memiliki banyak fitur yang akan diaktifkan atau fitur tersebut memiliki banyak setelan, Anda dapat membuat file definisi resource kustom IstioControlPlane. Anda meneruskan file ke istioctl menggunakan opsi -f. Untuk informasi selengkapnya, lihat Menyesuaikan konfigurasi.

Jika Anda mengaktifkan fitur opsional:

  • Pastikan fitur yang Anda aktifkan didukung.

  • Tentukan profil konfigurasi yang berlaku untuk platform Anda:

    • Untuk Google Kubernetes Engine, gunakan --set profile=asm
    • Untuk GKE di VMware, gunakan --set profile=asm-onprem

Opsi command line untuk mengaktifkan fitur opsional

Tabel berikut menyediakan opsi command line untuk mengaktifkan fitur opsional dan yang didukung.

Fitur Opsi command line
Mode STRICT mTLS --set values.global.mtls.enabled=true
Prometheus --set values.prometheus.enabled=true
Grafana (yang membutuhkan Prometheus) --set values.prometheus.enabled=true \
--set values.grafana.enabled=true
Mengarahkan Envoy ke stdout --set values.global.proxy.accessLogFile="/dev/stdout"
Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan logging akses Envoy.
Pelacakan Stackdriver --set values.tracing.enabled=true \
--set values.global.proxy.tracer="stackdriver"
Traffic keluar melalui gateway keluar --set values.gateways.istio-egressgateway.enabled=true
Untuk mengetahui informasi selengkapnya, lihat Gateway.

Contoh

Perintah untuk menginstal Anthos Service Mesh di GKE menggunakan variabel lingkungan berikut:

  • Tetapkan project ID Google Cloud Anda:

    export PROJECT_ID=YOUR_PROJECT_ID

  • Tetapkan nomor project:

    export PROJECT_NUMBER=$(gcloud projects describe ${PROJECT_ID} --format="value(projectNumber)")

  • Tetapkan nama cluster. 

    export CLUSTER_NAME=YOUR_CLUSTER_NAME

  • Tetapkan CLUSTER_LOCATION ke zona cluster atau region cluster Anda. 

    export CLUSTER_LOCATION=YOUR_ZONE_OR_REGION

  • Tetapkan kumpulan beban kerja. 

    export WORKLOAD_POOL=${PROJECT_ID}.svc.id.goog

  • Tetapkan ID mesh, yang diperlukan agar metrik ditampilkan di halaman Anthos Service Mesh di Konsol Google Cloud: 

    export MESH_ID="proj-${PROJECT_NUMBER}"

Aktifkan gateway keluar

Untuk menginstal Anthos Service Mesh dalam mode autentikasi PERMISSIVE TLS (mTLS) dan mengaktifkan gateway keluar:

GKE

istioctl manifest apply --set profile=asm \
--set values.global.trustDomain=${WORKLOAD_POOL} \
--set values.global.sds.token.aud=${WORKLOAD_POOL} \
--set values.nodeagent.env.GKE_CLUSTER_URL=https://container.googleapis.com/v1/projects/${PROJECT_ID}/locations/${CLUSTER_LOCATION}/clusters/${CLUSTER_NAME} \
--set values.global.meshID=${MESH_ID} \
--set values.global.proxy.env.GCP_METADATA="${PROJECT_ID}|${PROJECT_NUMBER}|${CLUSTER_NAME}|${CLUSTER_LOCATION}" \
--set values.gateways.istio-egressgateway.enabled=true

GKE on-prem

istioctl manifest apply --set profile=asm-onprem} \
--set values.gateways.istio-egressgateway.enabled=true

Aktifkan mode mTLS STRICT

Untuk menginstal Anthos Service Mesh dalam mode mTLS STRICT:

GKE

istioctl manifest apply --set profile=asm \
--set values.global.trustDomain=${WORKLOAD_POOL} \
--set values.global.sds.token.aud=${WORKLOAD_POOL} \
--set values.nodeagent.env.GKE_CLUSTER_URL=https://container.googleapis.com/v1/projects/${PROJECT_ID}/locations/${CLUSTER_LOCATION}/clusters/${CLUSTER_NAME} \
--set values.global.meshID=${MESH_ID} \
--set values.global.proxy.env.GCP_METADATA="${PROJECT_ID}|${PROJECT_NUMBER}|${CLUSTER_NAME}|${CLUSTER_LOCATION}" \
--set values.global.mtls.enabled=true

GKE on-prem

istioctl manifest apply --set profile=asm-onprem \
--set values.global.mtls.enabled=true

Mengaktifkan load balancer internal

Untuk penginstalan di GKE, Anda dapat mengaktifkan load balancer internal untuk gateway masuk Istio. Load balancer internal tidak didukung untuk GKE di VMware. Untuk mengetahui informasi tentang cara mengonfigurasi GKE di VMware, baca Menyiapkan load balancer untuk GKE di VMware.

  1. Salin teks berikut ke file dan simpan sebagai ilb.yaml:

    apiVersion: install.istio.io/v1alpha2
kind: IstioControlPlane
spec:
  values:
    gateways:
      istio-ingressgateway:
        serviceAnnotations:
          cloud.google.com/load-balancer-type: internal
        ports:
          - name: status-port
            port: 15020
          - name: http2
            port: 80
          - name: https
            port: 443

  2. Tentukan file pada command line:

    istioctl manifest apply --set profile=asm \
--set values.global.trustDomain=${WORKLOAD_POOL} \
--set values.global.sds.token.aud=${WORKLOAD_POOL} \
--set values.nodeagent.env.GKE_CLUSTER_URL=https://container.googleapis.com/v1/projects/${PROJECT_ID}/locations/${CLUSTER_LOCATION}/clusters/${CLUSTER_NAME} \
--set values.global.meshID=${MESH_ID} \
--set values.global.proxy.env.GCP_METADATA="${PROJECT_ID}|${PROJECT_NUMBER}|${CLUSTER_NAME}|${CLUSTER_LOCATION}" \
-f ilb.yaml