Anthos Service Mesh 1.5 has reached end of life and is no longer supported. See Upgrading from earlier versions.

View the latest documentation or select another version:

Optionale Features aktivieren

Wenn Sie Anthos Service Mesh installieren, geben Sie das Anthos Service Mesh-Konfigurationsprofil an, das die unterstützten Standardfunktionen aktiviert, die auf der Seite Unterstützte Funktionen aufgeführt sind. Die Anthos Service Mesh-Konfigurationsprofile asm.yaml und asm-onprem.yaml befinden sich im Unterverzeichnis install/kubernetes/operator/profiles innerhalb des Stammverzeichnisses in der Anthos Service Mesh-Installation. Über die Konfigurationsprofile werden die Features definiert und konfiguriert, die mit Anthos Service Mesh installiert werden.

Sie können das ASM-Konfigurationsprofil überschreiben und die unterstützten optionalen Features mithilfe der IstioOperator API aktivieren. Sie geben die IstioOperator-Konfiguration in einer YAML-Datei an und übergeben sie mit der Befehlszeilenoption -f an den Befehl istioctl manifest apply.

Sie können die Konfigurationsparameter auch mit der Option --set in der Befehlszeile angeben. Wir empfehlen Ihnen jedoch, für die Konfiguration eine YAML-Datei zu verwenden, damit Sie die Datei zusammen mit Ihren Ressourcenkonfigurationsdateien für Cluster in Ihrem Versionsverwaltungssystem speichern können.

Der Abschnitt spec in der YAML-Konfiguration entspricht den --set-Befehlszeilenoptionen. Das YAML, mit dem der mTLS-Modus STRICT aktiviert wird, lautet beispielsweise:

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  global:
    mtls:
      enabled: true

Die entsprechende Befehlszeilenoption lautet: --set global.mtls.enabled=true

Weitere Informationen finden Sie unter Konfiguration anpassen.

Wenn Sie optionale Features aktivieren, beachten Sie Folgendes:

  • Achten Sie darauf, dass das aktivierte Feature unterstützt wird.

  • Geben Sie das entsprechende Konfigurationsprofil für Ihre Plattform an:

    • Verwenden Sie für Google Kubernetes Engine --set profile=asm.
    • Verwenden Sie für Anthos-Cluster auf VMware --set profile=asm-onprem.
  • Bereiten Sie für GKE die Datei istio-operator.yaml wie unter Ressourcenkonfigurationsdateien vorbereiten beschrieben vor und geben Sie beim Ausführen von istioctl manifest apply in der Befehlszeile sowohl die istio-operator.yaml-Datei als auch Ihre YAML-Datei mit den optionalen Features an.

Die folgende Tabelle enthält die YAML-Datei zum Aktivieren optionaler und unterstützter Features.

Feature YAML
mTLS-STRICT-Modus

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  global:
    mtls:
      enabled: true
Envoy an stdout weiterleiten

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  global:
    proxy:
      accessLogFile="/dev/stdout"

Weitere Informationen finden Sie unter Zugriffs-Logging von Envoy aktivieren.

Cloud Trace

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  addonComponents:
    tracing:
      enabled: true
  values:
    global:
      proxy:
        tracer: "stackdriver"
Ausgehender Traffic über Egress-Gateways

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  components:
    egressGateways:
      - name: istio-egressgateway
        enabled: true

Weitere Informationen finden Sie unter Gateway.

GKE: Istio Container Network Interface (CNI) Für GKE:

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  components:
    cni:
      enabled: true
      namespace: kube-system
  values:
    cni:
      cniBinDir: /home/kubernetes/bin
      excludeNamespaces:
        - istio-system
        - kube-system

Für Anthos-Cluster auf VMware fügen Sie gke-system für excludeNamespaces hinzu und values.cni.cniBinDir ist /opt/cni/bin:


apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  components:
    cni:
      enabled: true
      namespace: kube-system
  values:
    cni:
      cniBinDir: /opt/cni/bin
      excludeNamespaces:
        - istio-system
        - kube-system
        - gke-system

Außerdem müssen Sie eine Netzwerkrichtlinie aktivieren.

.
Internen Load-Balancer aktivieren

Bei Installationen auf GKE können Sie einen internen Load-Balancer für das Istio-Ingress-Gateway aktivieren. Interne Load-Balancer werden für Anthos-Cluster auf VMware nicht unterstützt. Informationen zum Konfigurieren von Anthos-Clustern auf VMware finden Sie unter Load-Balancer für Anthos-Cluster einrichten.


apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  profile: empty
  components:
    ingressGateways:
      - name: istio-ingressgateway
        enabled: true
        k8s:
          serviceAnnotations:
            cloud.google.com/load-balancer-type: "internal"
          service: your_service_name
            ports:
              - name: status-port
                port: 15020
              - name: http2
                port: 80
              - name: https
                port: 443