Anthos Service Mesh 1.4 est arrivé en fin de vie et n'est plus pris en charge. Consultez la section Mettre à niveau à partir de versions antérieures.

Accédez à la documentation la plus récente ou sélectionnez une autre version disponible :

Versions disponibles

1.20 (dernière version)
1.19
1.18
1.17
1.16
1.15
1.14
1.13
1.12

Mettre à niveau Anthos Service Mesh sur site

Ce guide explique comment mettre à niveau Anthos Service Mesh de la version 1.4.5+ vers la version 1.4.10 sur GKE sur VMware. Si vous souhaitez passer à Anthos Service Mesh 1.5, consultez la page Mettre à niveau Anthos Service Mesh sur site dédiée à la version 1.5.

Le redéploiement des composants du plan de contrôle d'Anthos Service Mesh prend environ 5 à 10 minutes. En outre, vous devez injecter de nouveaux proxys side-car dans toutes vos charges de travail afin qu'elles soient mises à jour avec la version actuelle d'Anthos Service Mesh. Le temps nécessaire à la mise à jour des proxys side-car dépend de nombreux facteurs, tels que le nombre de pods, le nombre de nœuds, les paramètres de scaling du déploiement, les budgets d'interruption de pod et d'autres paramètres de configuration. Une estimation approximative du temps nécessaire à la mise à jour des proxys side-car est de 100 pods par minute.

Préparer la mise à niveau

Cette section décrit les étapes que vous devez suivre pour mettre à niveau Anthos Service Mesh.

Consultez la page Fonctionnalités compatibles et ce guide pour vous familiariser avec les fonctionnalités et le processus de mise à niveau.
Examinez vos stratégies d'autorisation pour voir si elles doivent être mises à jour.
Lorsque vous avez installé la version précédente d'Anthos Service Mesh, si vous avez activé des fonctionnalités facultatives en ajoutant des options --set values à la commande en ligne istioctl apply, vous devez utiliser les mêmes indicateurs lorsque vous exécutez istioctl apply pour installer 1.4.10.
Lorsque vous avez installé la version précédente d'Anthos Service Mesh, si vous avez activé des fonctionnalités facultatives en ajoutant des options -f à la commande en ligne istioctl apply pour spécifier un fichier YAML, vous devez spécifier le même fichier (ou un fichier présentant le même contenu) lorsque vous exécutez istioctl apply pour installer 1.4.10.

Attention : L'omission des options --set values ou de l'option -f avec le fichier YAML permet de faire aboutir l'installation. Cependant, elle a une configuration différente de celle que vous souhaitiez, car les valeurs par défaut des options omises sont rétablies lors du redéploiement d'Anthos Service Mesh.
Planifiez un temps d'arrêt. La mise à niveau peut prendre jusqu'à une heure en fonction de l'échelle du cluster. Notez que cela n'inclut pas le temps nécessaire au redéploiement des charges de travail afin de mettre à jour les proxys side-car.

Configurer votre environnement

Sur votre ordinateur local, installez et initialisez Google Cloud CLI.

Si gcloud CLI est déjà installé :

Authentifiez-vous en utilisant gcloud CLI :
```
gcloud auth login
```
Mettez à jour les composants :
```
gcloud components update
```
Installez kubectl :
```
gcloud components install kubectl
```
Obtenez l'ID du projet dans lequel le cluster a été créé :
gcloud
```
gcloud projects list
```
Console
1. Dans la console Google Cloud, accédez à la page Tableau de bord :
  
  Accéder à la page "Tableau de bord"
2. Cliquez sur la liste déroulante Sélectionner située en haut de la page. Sélectionnez votre projet dans la fenêtre Sélectionner qui vous est présentée. L'ID du projet est affiché sur la fiche Informations sur le projet du tableau de bord du projet.
Définissez l'ID de projet par défaut pour Google Cloud CLI :
```
gcloud config set project PROJECT_ID
```

Définir des identifiants et des autorisations

Assurez-vous de disposer du rôle kubectl pour le cluster d'utilisateur dans lequel vous souhaitez installer Anthos Service Mesh. Notez que vous ne pouvez installer Anthos Service Mesh que sur un cluster d'utilisateur, et non sur un cluster d'administrateur.
Accordez des autorisations d'administrateur de cluster à l'utilisateur actuel. Vous avez besoin de ces autorisations pour créer les règles de contrôle d'accès basé sur les rôles (RBAC) nécessaires pour Anthos Service Mesh :
```
kubectl create clusterrolebinding cluster-admin-binding \
  --clusterrole=cluster-admin \
  --user="$(gcloud config get-value core/account)"
```
Si l'erreur "cluster-admin-binding" already exists s'affiche, vous pouvez l'ignorer en toute sécurité et continuer avec le cluster-admin-binding existant.

Télécharger le fichier d'installation

Linux

Téléchargez le fichier d'installation d'Anthos Service Mesh dans votre répertoire de travail actuel :

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.4.10-asm.18-linux.tar.gz

Téléchargez le fichier de signature et utilisez openssl pour valider la signature :

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.4.10-asm.18-linux.tar.gz.1.sig
openssl dgst -verify - -signature istio-1.4.10-asm.18-linux.tar.gz.1.sig istio-1.4.10-asm.18-linux.tar.gz <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

La sortie attendue est Verified OK.

macOS

Téléchargez le fichier d'installation d'Anthos Service Mesh dans votre répertoire de travail actuel :

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.4.10-asm.18-osx.tar.gz

Téléchargez le fichier de signature et utilisez openssl pour valider la signature :

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.4.10-asm.18-osx.tar.gz.1.sig
openssl dgst -sha256 -verify /dev/stdin -signature istio-1.4.10-asm.18-osx.tar.gz.1.sig istio-1.4.10-asm.18-osx.tar.gz <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

La sortie attendue est Verified OK.

Windows

Téléchargez le fichier d'installation d'Anthos Service Mesh dans votre répertoire de travail actuel :

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.4.10-asm.18-win.zip

Téléchargez le fichier de signature et utilisez openssl pour valider la signature :

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.4.10-asm.18-win.zip.1.sig
openssl dgst -verify - -signature istio-1.4.10-asm.18-win.zip.1.sig istio-1.4.10-asm.18-win.zip <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

La sortie attendue est Verified OK.

Extrayez le contenu du fichier vers n’importe quel emplacement de votre système de fichiers. Par exemple, pour extraire le contenu vers le répertoire de travail actuel :
```
tar xzf istio-1.4.10-asm.18-linux.tar.gz
```
La commande crée un répertoire d'installation dans votre répertoire de travail actuel, nommé istio-1.4.10-asm.18, et qui contient les éléments suivants:
- Des exemples d'application dans samples
- Les outils suivants dans le répertoire bin :
  - istioctl : utilisez istioctl pour installer Anthos Service Mesh.
  - asmctl : utilisez asmctl pour valider votre configuration de sécurité après avoir installé Anthos Service Mesh. (Actuellement, asmctl n'est pas compatible avec GKE sur VMware.)
Assurez-vous d'être dans le répertoire racine de l'installation Anthos Service Mesh.
```
cd istio-1.4.10-asm.18
```
Pour plus de commodité, ajoutez les outils du répertoire /bin à votre variable PATH :
```
export PATH=$PWD/bin:$PATH
```

Mettre à niveau Anthos Service Mesh

Cette section explique comment mettre à niveau Anthos Service Mesh et activer les fonctionnalités par défaut compatibles répertoriées sur la page Fonctionnalités compatibles. Pour plus d'informations sur l'activation des fonctionnalités facultatives compatibles, consultez Activer des fonctionnalités facultatives.

Pour mettre à niveau Anthos Service Mesh, procédez comme suit :

Choisissez l'une des commandes suivantes pour configurer Anthos Service Mesh en mode d'authentification TLS mutuel (mTLS) PERMISSIVE ou en mode mTLS STRICT.

mTLS en mode PERMISSIVE

istioctl manifest apply --set profile=asm-onprem

Attention : En mode PERMISSIVE, vos services peuvent accepter simultanément le trafic en texte brut et le trafic TLS mutuel, et envoyer du trafic intra-maillage en texte brut par défaut. Pour sécuriser votre maillage de services après une mise à niveau, migrez vos services vers le mode TLS mutuel STRICT, comme décrit dans la section Migration vers TLS mutuel.

mTLS en mode STRICT

istioctl manifest apply --set profile=asm-onprem \
  --set values.global.mtls.enabled=true

Vérifier les composants du plan de contrôle

La mise à niveau nécessite de réinstaller les composants du plan de contrôle. L'exécution de l'opération prend environ cinq à dix minutes. Les anciens composants du plan de contrôle sont arrêtés, puis supprimés à mesure que les nouveaux sont installés. Vous pouvez vérifier la progression en consultant la valeur de la colonne AGE des charges de travail.

kubectl get pod -n istio-system

Exemple de résultat :

NAME                                      READY   STATUS       RESTARTS   AGE
istio-citadel-64f6d7c7c7-jtmw7            1/1     Running      0          38s
istio-galley-6b4878d445-c4rtt             1/2     Running      0          37s
istio-ingressgateway-7866c5c88f-llp28     0/1     Running      0          37s
istio-ingressgateway-7866c5c88f-m9sck     1/1     Terminating  0          25m
istio-pilot-7f4fdcb89c-r98jl              1/2     Running      0          37s
istio-sidecar-injector-65cbd565b9-q4wm9   1/1     Running      0          37s
promsd-78dfdf7c7d-2bhr6                   2/2     Running      1          37s

Dans cet exemple, il existe deux instances de istio-ingressgateway. L'instance contenant comme valeur 25m dans la colonne AGE est en cours d'arrêt. Tous les autres composants sont installés.

Mettre à jour des proxys side-car

Anthos Service Mesh utilise des proxys side-car pour améliorer la sécurité, la fiabilité et l'observabilité du réseau. Avec Anthos Service Mesh, ces fonctions sont extraites du conteneur principal de l'application et mises en œuvre dans un proxy commun hors processus fourni par un conteneur séparé dans le même pod.

Vous devez injecter ou mettre à jour le proxy side-car à toutes les charges de travail qui s'exécutaient sur votre cluster avant l'installation d'Anthos Service Mesh afin qu'elles disposent de la version actuelle de cet outil. Avant de déployer des charges de travail, assurez-vous de configurer l'injection du proxy side-car afin qu'Anthos Service Mesh puisse surveiller et sécuriser le trafic.

Vous pouvez activer l'injection side-car automatique avec une seule commande, par exemple :

kubectl label namespace NAMESPACE istio-injection=enabled --overwrite

où NAMESPACE est le nom de l'espace de noms pour les services de votre application ou default si vous n'avez pas créé explicitement d'espace de noms.

Pour en savoir plus, consultez la section Injecter des proxys side-car.

Mettre à niveau Anthos Service Mesh sur site

Préparer la mise à niveau

Configurer votre environnement

gcloud

Console

Définir des identifiants et des autorisations

Télécharger le fichier d'installation

Linux

macOS

Windows

Mettre à niveau Anthos Service Mesh

mTLS en mode PERMISSIVE

mTLS en mode STRICT

Vérifier les composants du plan de contrôle

Mettre à jour des proxys side-car