Anthos Service Mesh をインストールするときに、Anthos Service Mesh の構成プロファイルを指定します。これにより、サポートされている機能に記載されているサポートされているデフォルト機能が有効になります。Anthos Service Mesh の構成プロファイル asm.yaml
と asm-onprem.yaml
は、Anthos Service Mesh のインストールのルート ディレクトリ内の install/kubernetes/operator/profiles
サブディレクトリにあります。構成プロファイルは、Anthos Service Mesh でインストールされる機能を定義して構成します。
ASM 構成プロファイルをオーバーライドして、サポートされているオプション機能を有効にするには、IstioOperator
API を使用します。YAML ファイルで IstioOperator
構成を指定し、-f
コマンドライン オプションを使用してファイルを istioctl manifest apply
コマンドに渡します。
--set
オプションを使用してコマンドラインで構成パラメータを指定できますが、バージョン管理システム内のファイルをクラスタ リソース構成ファイルとともに保存できるように、構成には YAML ファイルを使用することをおすすめします。
YAML 構成の spec
セクションは、--set
コマンドライン オプションに対応しています。たとえば、STRICT
mTLS モードを有効にする YAML は次のようになります。
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
global:
mtls:
enabled: true
対応するコマンドライン オプションは --set global.mtls.enabled=true
です。
詳細については、構成のカスタマイズをご覧ください。
オプション機能を有効にする場合:
有効にする機能がサポートされていることを確認してください。
プラットフォームに適切な構成プロファイルを指定します。
- Google Kubernetes Engine の場合は、
--set profile=asm
を使用します。 - GKE on VMware の場合は、
--set profile=asm-onprem
を使用します。
- Google Kubernetes Engine の場合は、
GKE の場合、リソース構成ファイルの準備の説明に沿って
istio-operator.yaml
ファイルを準備し、istioctl manifest apply
を実行するときにコマンドラインでオプション機能を使用して、istio-operator.yaml
ファイルと YAML ファイル両方を指定します。
次の表は、オプション機能とサポートされる機能を有効にする YAML を示しています。
機能 | YAML |
---|---|
mTLS STRICT モード |
apiVersion: install.istio.io/v1alpha1 kind: IstioOperator spec: global: mtls: enabled: true |
Envoy を stdout に出力する |
apiVersion: install.istio.io/v1alpha1 kind: IstioOperator spec: global: proxy: accessLogFile="/dev/stdout" 詳細については、Envoy のアクセス ロギングを有効にするをご覧ください。 |
Cloud Trace |
apiVersion: install.istio.io/v1alpha1 kind: IstioOperator spec: addonComponents: tracing: enabled: true values: global: proxy: tracer: "stackdriver" |
Egress ゲートウェイ経由の下り(外向き) |
apiVersion: install.istio.io/v1alpha1 kind: IstioOperator spec: components: egressGateways: - name: istio-egressgateway enabled: true 詳細については、ゲートウェイをご覧ください。 |
GKE: Istio Container Network Interface(CNI) |
GKE の場合:
apiVersion: install.istio.io/v1alpha1 kind: IstioOperator spec: components: cni: enabled: true namespace: kube-system values: cni: cniBinDir: /home/kubernetes/bin excludeNamespaces: - istio-system - kube-system GKE on VMware の場合は、 apiVersion: install.istio.io/v1alpha1 kind: IstioOperator spec: components: cni: enabled: true namespace: kube-system values: cni: cniBinDir: /opt/cni/bin excludeNamespaces: - istio-system - kube-system - gke-system また、ネットワーク ポリシーを有効にする必要があります。 . |
内部ロードバランサを有効にする GKE でインストールする場合は、Istio Ingress Gateway の内部ロードバランサを有効にできます。GKE on VMware では、内部ロードバランサはサポートされていません。GKE on VMware の構成については、GKE on VMware のロードバランサの設定をご覧ください。 |
apiVersion: install.istio.io/v1alpha1 kind: IstioOperator spec: profile: empty components: ingressGateways: - name: istio-ingressgateway enabled: true k8s: serviceAnnotations: cloud.google.com/load-balancer-type: "internal" service: your_service_name ports: - name: status-port port: 15020 - name: http2 port: 80 - name: https port: 443 |