Como ativar recursos opcionais

Ao instalar o Anthos Service Mesh, você especifica o perfil de configuração do Anthos Service Mesh, que ativa os recursos do padrão compatível listados na página Recursos compatíveis. Os perfis de configuração do Anthos Service Mesh, asm.yaml e asm-onprem.yaml, estão localizados no subdiretório install/kubernetes/operator/profiles, no diretório raiz da instalação do Anthos Service Mesh. Os perfis de configuração definem e configuram os recursos instalados com o Anthos Service Mesh.

É possível substituir o perfil de configuração do ASM e ativar os recursos opcionais compatíveis individualmente na linha de comando usando --set values. Como alternativa, se você tiver muitos recursos para ativar ou o recurso tiver várias configurações, crie um arquivo de definição de recurso personalizado IstioControlPlane. Você transmite o arquivo para istioctl usando a opção -f. Para mais informações, consulte Como personalizar a configuração.

Ao ativar os recursos opcionais:

  • Verifique se o recurso que você ativou é compatível.

  • Especifique o perfil de configuração aplicável à sua plataforma:

    • Para o Google Kubernetes Engine, use --set profile=asm
    • Para o GKE no VMware, use --set profile=asm-onprem

Opções de linha de comando para ativar recursos opcionais

A tabela a seguir fornece as opções de linha de comando para ativar recursos opcionais e compatíveis.

Recurso Opções da linha de comando
Modo mTLS STRICT --set values.global.mtls.enabled=true
Prometheus --set values.prometheus.enabled=true
Grafana (que requer Prometheus) --set values.prometheus.enabled=true \
--set values.grafana.enabled=true
Envoy direto para stdout --set values.global.proxy.accessLogFile="/dev/stdout"
Para mais informações, consulte Ativar a geração de registros de acesso do Envoy.
Rastreamento do Stackdriver --set values.tracing.enabled=true \
--set values.global.proxy.tracer="stackdriver"
Saída por meio de gateways --set values.gateways.istio-egressgateway.enabled=true
Para mais informações, consulte o Gateway.

Examples

Os comandos para instalar o Anthos Service Mesh no GKE usam as seguintes variáveis de ambiente:

  • Defina o ID do projeto do Google Cloud:

    export PROJECT_ID=YOUR_PROJECT_ID
  • Defina o número do projeto:

    export PROJECT_NUMBER=$(gcloud projects describe ${PROJECT_ID} --format="value(projectNumber)")
  • Defina o nome do cluster.

    export CLUSTER_NAME=YOUR_CLUSTER_NAME

  • Defina CLUSTER_LOCATION como a zona ou a região do cluster.

    export CLUSTER_LOCATION=YOUR_ZONE_OR_REGION

  • Defina o pool de carga de trabalho.

    export WORKLOAD_POOL=${PROJECT_ID}.svc.id.goog

  • Defina o ID da malha, que é necessário para que as métricas sejam exibidas nas páginas do Anthos Service Mesh no console do Google Cloud:

    export MESH_ID="proj-${PROJECT_NUMBER}"

Ativar o gateway de saída

Para instalar o Anthos Service Mesh no modo de autenticação PERMISSIVE TLS mútua (mTLS) e ativar o gateway de saída:

GKE

istioctl manifest apply --set profile=asm \
--set values.global.trustDomain=${WORKLOAD_POOL} \
--set values.global.sds.token.aud=${WORKLOAD_POOL} \
--set values.nodeagent.env.GKE_CLUSTER_URL=https://container.googleapis.com/v1/projects/${PROJECT_ID}/locations/${CLUSTER_LOCATION}/clusters/${CLUSTER_NAME} \
--set values.global.meshID=${MESH_ID} \
--set values.global.proxy.env.GCP_METADATA="${PROJECT_ID}|${PROJECT_NUMBER}|${CLUSTER_NAME}|${CLUSTER_LOCATION}" \
--set values.gateways.istio-egressgateway.enabled=true

GKE On-Prem

istioctl manifest apply --set profile=asm-onprem} \
--set values.gateways.istio-egressgateway.enabled=true

Ativar o modo mTLS do STRICT

Para instalar o Anthos Service Mesh no modo mTLS STRICT:

GKE

istioctl manifest apply --set profile=asm \
--set values.global.trustDomain=${WORKLOAD_POOL} \
--set values.global.sds.token.aud=${WORKLOAD_POOL} \
--set values.nodeagent.env.GKE_CLUSTER_URL=https://container.googleapis.com/v1/projects/${PROJECT_ID}/locations/${CLUSTER_LOCATION}/clusters/${CLUSTER_NAME} \
--set values.global.meshID=${MESH_ID} \
--set values.global.proxy.env.GCP_METADATA="${PROJECT_ID}|${PROJECT_NUMBER}|${CLUSTER_NAME}|${CLUSTER_LOCATION}" \
--set values.global.mtls.enabled=true

GKE On-Prem

istioctl manifest apply --set profile=asm-onprem \
--set values.global.mtls.enabled=true

Ativar um balanceador de carga interno

Para instalações no GKE, é possível ativar um balanceador de carga interno para o gateway de entrada do Istio. Os balanceadores de carga internos não são compatíveis com o GKE no VMware. Para mais informações sobre como configurar o GKE no VMware, consulte Como configurar o balanceador de carga para o GKE no VMware.

  1. Copie o texto a seguir em um arquivo e salve-o como ilb.yaml:

    apiVersion: install.istio.io/v1alpha2
    kind: IstioControlPlane
    spec:
      values:
        gateways:
          istio-ingressgateway:
            serviceAnnotations:
              cloud.google.com/load-balancer-type: internal
            ports:
              - name: status-port
                port: 15020
              - name: http2
                port: 80
              - name: https
                port: 443
    
  2. Especifique o arquivo na linha de comando:

    istioctl manifest apply --set profile=asm \
    --set values.global.trustDomain=${WORKLOAD_POOL} \
    --set values.global.sds.token.aud=${WORKLOAD_POOL} \
    --set values.nodeagent.env.GKE_CLUSTER_URL=https://container.googleapis.com/v1/projects/${PROJECT_ID}/locations/${CLUSTER_LOCATION}/clusters/${CLUSTER_NAME} \
    --set values.global.meshID=${MESH_ID} \
    --set values.global.proxy.env.GCP_METADATA="${PROJECT_ID}|${PROJECT_NUMBER}|${CLUSTER_NAME}|${CLUSTER_LOCATION}" \
    -f ilb.yaml