O Anthos Service Mesh 1.5 chegou ao fim da vida útil e não é mais compatível. Consulte Como fazer upgrade de versões anteriores.

Veja uma mais recente ou selecione outra versão disponível:

Versões disponíveis

Como instalar o Anthos Service Mesh em um novo cluster

O Anthos Service Mesh é um framework compatível com Istio para conectar, monitorar e proteger serviços em execução no Google Kubernetes Engine (GKE) e no GKE no VMware. Ele permite que você crie uma rede de serviços implantados com balanceamento de carga, autenticação entre serviços, monitoramento e muito mais, sem exigir nenhuma alteração no código. O Anthos Service Mesh injeta automaticamente um proxy sidecar para cada pod do aplicativo. O proxy sidecar intercepta todo o tráfego de rede dos pods e para eles. O Anthos Service Mesh também configura um gateway de entrada para gerenciar o tráfego de entrada para a malha. É possível usar APIs de código aberto do Istio para configurar políticas aplicadas a arquivos secundários e gateways.

Neste guia, explicamos como instalar a versão 1.5.10 do Anthos Service Mesh em um novo cluster do Google Cloud GKE. A instalação ativa os seguintes recursos:

Telemetria do Mesh.
Segurança do Mesh, incluindo a autoridade de certificação do Anthos Service Mesh (Mesh CA).
Os recursos Padrão compatíveis listados na página Recursos compatíveis.

Neste guia, também explicamos como registrar o cluster na frota que está no mesmo projeto do Google Cloud que o cluster. Uma frota permite organizar clusters para facilitar o gerenciamento de vários deles. Ao registrar os clusters em uma frota, é possível agrupar serviços e outras infraestruturas conforme necessário para aplicar políticas consistentes.

Antes de começar

Veja o que é necessário para seguir este guia:

Antes de iniciar a instalação, faça o seguinte:

Configure o ambiente. A partir de 1.5.10-asm.2, a instalação requer kpt.
Revise os seguintes requisitos e restrições.

Requisitos

Você precisa ter uma licença ou assinatura de teste do GKE Enterprise. Consulte o guia de preços do GKE Enterprise para ver mais detalhes.
Seu cluster do GKE precisa atender aos seguintes requisitos:
- No mínimo, quatro nós.
- O tipo de máquina mínimo é e2-standard-4, que tem quatro vCPUs.
- Use um canal de lançamento em vez de uma versão estática do GKE
Para serem incluídos na malha de serviço, as portas precisam ser nomeadas, e o nome precisa incluir o protocolo da porta na seguinte sintaxe: name: protocol[-suffix], em que os colchetes indicam um sufixo opcional que precisa começar com um traço. Para mais informações, Como nomear portas de serviço.
Se você estiver instalando o Anthos Service Mesh em um cluster particular, será necessário adicionar uma regra de firewall para abrir a porta 15017 caso queira usar a injeção automática de sidecar. Se não adicionar a regra de firewall e a injeção automática de sidecar estiver ativada, você receberá um erro ao implantar as cargas de trabalho. Saiba mais sobre como adicionar uma regra de firewall em Como adicionar regras de firewall para casos de uso específicos.
Se você tiver criado um perímetro de serviço na sua organização, talvez seja necessário adicionar o serviço Mesh CA ao perímetro. Saiba mais em Como adicionar o Mesh CA a um perímetro de serviço .

Restrições

Só é possível ter uma instalação do Anthos Service Mesh por projeto do Google Cloud. Não é possível ter várias implantações de malha em um único projeto

Dados do certificado

Os certificados do Mesh CA incluem os seguintes dados sobre os serviços do aplicativo:

O ID do projeto do Google Cloud
O namespace do GKE
O nome da conta de serviço do GKE

Configurar o projeto

Consiga o ID do projeto em que o cluster será criado:
gcloud
```
gcloud projects list
```
Console
1. No console do Google Cloud, acesse a página Painel:
  Ir para a página "Painel"
2. Clique na lista suspensa Selecionar de na parte superior da página. Na janela Selecionar de exibida, selecione seu projeto.
  O ID do projeto é exibido no card Informações do projeto do Painel.
Crie uma variável de ambiente para o ID do projeto:
```
export PROJECT_ID=YOUR_PROJECT_ID
```
Defina o ID do projeto padrão para a ferramenta de linha de comando gcloud:
```
gcloud config set project ${PROJECT_ID}
```
Crie uma variável de ambiente para o número do projeto:
```
export PROJECT_NUMBER=$(gcloud projects describe ${PROJECT_ID} --format="value(projectNumber)")
```
Importante: muitos dos comandos deste guia dependem dessas variáveis de ambiente. Se você se desconectar do ambiente shell e se reconectar posteriormente, será necessário configurar as variáveis novamente. Além disso, os comandos presumem que você definiu o projeto padrão para a ferramenta de linha de comando gcloud.
Defina os papéis necessários de gerenciamento de identidade e acesso (IAM, na sigla em inglês). Se você for um proprietário do projeto, terá todas as permissões necessárias para concluir a instalação e registrar o cluster com o ambiente. Se você não for proprietário do projeto, será necessário alguém que conceda os seguintes papéis específicos do IAM. No comando a seguir, altere GCP_EMAIL_ADDRESS para a conta que você usa para fazer login no Google Cloud.
```
gcloud projects add-iam-policy-binding ${PROJECT_ID} \
     --member user:GCP_EMAIL_ADDRESS \
     --role=roles/editor \
     --role=roles/compute.admin \
     --role=roles/container.admin \
     --role=roles/resourcemanager.projectIamAdmin \
     --role=roles/iam.serviceAccountAdmin \
     --role=roles/iam.serviceAccountKeyAdmin \
     --role=roles/gkehub.admin
```
Para saber mais sobre como conceder papéis do IAM, consulte Como conceder, alterar e revogar o acesso a recursos. Para uma descrição desses papéis, consulte Permissões necessárias para instalar o Anthos Service Mesh

Ative as APIs a seguir:

gcloud services enable \
    container.googleapis.com \
    compute.googleapis.com \
    monitoring.googleapis.com \
    logging.googleapis.com \
    cloudtrace.googleapis.com \
    meshca.googleapis.com \
    meshtelemetry.googleapis.com \
    meshconfig.googleapis.com \
    iamcredentials.googleapis.com \
    anthos.googleapis.com \
    gkeconnect.googleapis.com \
    gkehub.googleapis.com \
    cloudresourcemanager.googleapis.com

A ativação das APIs pode levar um minuto ou mais para ser concluída. Quando as APIs estão ativadas, você vê uma saída semelhante a esta:

Operation "operations/acf.601db672-88e6-4f98-8ceb-aa3b5725533c" finished
successfully.

Como configurar um novo cluster do GKE

Nesta seção, explicaremos os conceitos básicos da criação de um cluster do GKE com as opções necessárias para o Anthos Service Mesh. Saiba mais em Como criar um cluster.

Para configurar um novo cluster, siga estas etapas:

Selecione uma zona ou região, um tipo de máquina e um canal de lançamento do GKE para o novo cluster. O tipo mínimo de máquina exigido pelo Anthos Service Mesh é e2-standard-4. Use qualquer opção de canal de lançamento.
- Se você criar um cluster de zona única, execute o seguinte comando para ver uma lista das zonas do GCP disponíveis:
```
gcloud compute zones list
```
- Se você estiver criando um cluster regional, execute o seguinte comando para ver uma lista das regiões disponíveis:
```
gcloud compute regions list
```
- Para ver uma lista de tipos de máquina:
```
gcloud compute machine-types list | more
```
Crie as variáveis de ambiente a seguir:
- Defina o nome do cluster:
```
export CLUSTER_NAME=YOUR_CLUSTER_NAME
```
  O nome do cluster precisa conter apenas caracteres alfanuméricos em letras minúsculas e "-", precisa começar com uma letra e terminar com um alfanumérico e não pode ter mais de 40 caracteres.
- Defina a CLUSTER_LOCATION como a zona ou a região do cluster:
```
export CLUSTER_LOCATION=YOUR_ZONE_OR_REGION
```
- Defina o pool de carga de trabalho:
```
export WORKLOAD_POOL=${PROJECT_ID}.svc.id.goog
```
- Defina o ID da malha:
```
export MESH_ID="proj-${PROJECT_NUMBER}"
```
- Defina o canal de lançamento. Substitua YOUR_CHANNEL por um dos seguintes: regular, stable ou rapid.
```
export CHANNEL=YOUR_CHANNEL
```
  Veja uma descrição de cada canal em Quais canais estão disponíveis.
Defina a zona ou a região padrão da Google Cloud CLI.
- Para um cluster de zona única, defina a zona padrão:
```
gcloud config set compute/zone ${CLUSTER_LOCATION}
```
- Para um cluster regional, defina a região padrão:
```
gcloud config set compute/region ${CLUSTER_LOCATION}
```
Dica: para facilitar a configuração do ambiente shell no futuro, copie e cole as instruções export de cada variável de ambiente em um script de shell simples que você source ao iniciar um novo shell. Também é possível adicionar os comandos gcloud que definem valores padrão ao script. Outra opção é usar gcloud init para criar e ativar uma configuração gcloud nomeada.
Crie o cluster com as opções exigidas pelo Anthos Service Mesh. O comando a seguir cria um cluster contendo quatro nós do tipo de máquina e2-standard-4, que tem quatro vCPUs. Esse é o tipo mínimo de máquina e o número de nós necessários para o Anthos Service Mesh. É possível especificar outro tipo de máquina, desde que ele tenha pelo menos quatro vCPUs, e também aumentar o número de nós conforme necessário para os requisitos do sistema.
```
gcloud beta container clusters create ${CLUSTER_NAME} \
    --machine-type=e2-standard-4 \
    --num-nodes=4 \
    --workload-pool=${WORKLOAD_POOL} \
    --enable-stackdriver-kubernetes \
    --subnetwork=default \
    --labels=mesh_id=${MESH_ID} \
    --release-channel=${CHANNEL}
```
O comando clusters create inclui:
- workload-pool=${WORKLOAD_POOL}: ativa a Identidade da carga de trabalho, que é a maneira recomendada de acessar com segurança os serviços do Google Cloud a partir de aplicativos do GKE.
- enable-stackdriver-kubernetes: ativa o Cloud Monitoring e o Cloud Logging no GKE.
- subnetwork=default: cria uma sub-rede padrão.
- labels mesh_id=${MESH_ID}: define o rótulo mesh_id no cluster, que é necessário para que as métricas sejam exibidas nas páginas do Anthos Service Mesh no Console do Google Cloud.
- release-channel ${CHANNEL}: registra o cluster no canal de lançamento especificado.

Como configurar credenciais e permissões

Antes de continuar, ative todas as APIs necessárias. Se tiver alguma dúvida, poderá executar o comando gcloud services enable novamente.

Inicialize seu projeto para prepará-lo para instalação. Entre outras coisas, esse comando cria uma conta de serviço para permitir que os componentes do Istio, como o proxy sidecar, acessem com segurança os dados e os recursos do seu projeto:
```
curl --request POST \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --data '' \
  https://meshconfig.googleapis.com/v1alpha1/projects/${PROJECT_ID}:initialize
```
A resposta do comando mostra chaves vazias: {}

Se você instalar uma nova versão do Anthos Service Mesh neste cluster no futuro, não precisará executar o comando novamente, mas executá-lo novamente não afetará a instalação.
Receba credenciais de autenticação para interagir com o cluster:
```
gcloud container clusters get-credentials ${CLUSTER_NAME}
```
Conceda permissões de administrador de cluster ao usuário atual. Você precisa dessas permissões para criar as regras necessárias de controle de acesso baseado em papéis (RBAC, na sigla em inglês) para o Anthos Service Mesh:
```
kubectl create clusterrolebinding cluster-admin-binding \
  --clusterrole=cluster-admin \
  --user="$(gcloud config get-value core/account)"
```
Se você vir o erro "cluster-admin-binding" already exists, poderá ignorá-lo com segurança e continuar com o cluster-admin-binding atual.

Como registrar o cluster

É necessário registrar o cluster com a frota do projeto para ter acesso à interface do usuário unificada no Console do Google Cloud. Uma frota fornece uma forma unificada de visualizar e gerenciar os clusters e as cargas de trabalho deles, incluindo clusters fora do Google Cloud.

Criar uma conta de serviço e um arquivo de chave do Google Cloud

Um arquivo JSON contendo credenciais de conta de serviço é necessário para registrar um cluster. Para seguir o princípio de privilégio mínimo, recomendamos que você crie uma conta de serviço distinta para cada cluster registrado.

Para criar uma conta de serviço e um arquivo de chave:

Selecione um nome para a conta de serviço e crie uma variável de ambiente para ela:
```
export SERVICE_ACCOUNT_NAME=SERVICE_ACCOUNT_NAME
```

Crie a conta de serviço:

gcloud iam service-accounts create ${SERVICE_ACCOUNT_NAME}

Liste todas as contas de serviço de um projeto para confirmar se a conta de serviço foi criada:
```
gcloud iam service-accounts list
```

Vincule o papel do IAM gkehub.connect à conta de serviço:

gcloud projects add-iam-policy-binding ${PROJECT_ID} \
   --member="serviceAccount:${SERVICE_ACCOUNT_NAME}@${PROJECT_ID}.iam.gserviceaccount.com" \
   --role="roles/gkehub.connect"

Crie uma variável de ambiente para o caminho de arquivo local em que você quer salvar o arquivo JSON. Recomendamos que você nomeie o arquivo usando o nome da conta de serviço e o ID do projeto, como: /tmp/creds/${SERVICE_ACCOUNT_NAME}-${PROJECT_ID}.json
```
export SERVICE_ACCOUNT_KEY_PATH=LOCAL_KEY_PATH
```

Faça o download do arquivo JSON da chave privada da conta de serviço.

gcloud iam service-accounts keys create ${SERVICE_ACCOUNT_KEY_PATH} \
   --iam-account=${SERVICE_ACCOUNT_NAME}@${PROJECT_ID}.iam.gserviceaccount.com

Registre o cluster

No comando a seguir, substitua MEMBERSHIP_NAME por um nome que represente de maneira exclusiva o cluster que está sendo registrado no Hub.

gcloud container hub memberships register MEMBERSHIP_NAME \
    --gke-cluster=${CLUSTER_LOCATION}/${CLUSTER_NAME} \
    --service-account-key-file=${SERVICE_ACCOUNT_KEY_PATH}

O comando responde com uma saída semelhante a esta:

kubeconfig entry generated for CLUSTER_NAME.
Waiting for membership to be created...done.
Created a new membership [projects/PROJECT_ID/locations/global/memberships/MEMBERSHIP_NAME] for the cluster [MEMBERSHIP_NAME]
Generating the Connect Agent manifest...
Deploying the Connect Agent on cluster [MEMBERSHIP_NAME] in namespace [gke-connect]...
Deployed the Connect Agent on cluster [MEMBERSHIP_NAME] in namespace [gke-connect].
Finished registering the cluster [MEMBERSHIP_NAME] with the Hub.

Esta chave de conta de serviço é armazenada como um secret chamado creds-gcp no namespace gke-connect.

Para mais informações sobre o registro de clusters, consulte Como registrar um cluster na documentação do Connect.

Como fazer o download do arquivo de instalação

Antes de continuar, verifique se a conta de serviço do plano de dados do ASM Mesh é membro do projeto:

gcloud projects get-iam-policy ${PROJECT_ID} | grep -B 1 'roles/meshdataplane.serviceAgent'

Se o comando anterior não resultar em nada, volte para a seção Definir credenciais e permissões e execute o comando curl.

Linux

Faça o download do arquivo de instalação do Anthos Service Mesh no diretório de trabalho atual:

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.5.10-asm.2-linux.tar.gz

Faça o download do arquivo de assinatura e use openssl para verificar a assinatura:

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.5.10-asm.2-linux.tar.gz.1.sig
openssl dgst -verify - -signature istio-1.5.10-asm.2-linux.tar.gz.1.sig istio-1.5.10-asm.2-linux.tar.gz <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

A saída esperada é Verified OK.

Extraia o conteúdo do arquivo em qualquer local no sistema. Por exemplo, para extrair o conteúdo para o diretório de trabalho atual:

tar xzf istio-1.5.10-asm.2-linux.tar.gz

O comando cria um diretório de instalação no seu diretório de trabalho atual chamado istio-1.5.10-asm.2, que contém:

aplicativos de amostra em samples;
As seguintes ferramentas no diretório bin:
- istioctl: use istioctl para instalar o Anthos Service Mesh.
- asmctl: use asmctl para ajudar a validar sua configuração de segurança depois de instalar o Anthos Service Mesh. No momento, asmctl não é compatível com o GKE no VMware.

Mac OS

Faça o download do arquivo de instalação do Anthos Service Mesh no diretório de trabalho atual:

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.5.10-asm.2-osx.tar.gz

Faça o download do arquivo de assinatura e use openssl para verificar a assinatura:

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.5.10-asm.2-osx.tar.gz.1.sig
openssl dgst -sha256 -verify /dev/stdin -signature istio-1.5.10-asm.2-osx.tar.gz.1.sig istio-1.5.10-asm.2-osx.tar.gz <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

A saída esperada é Verified OK.

Extraia o conteúdo do arquivo em qualquer local no sistema. Por exemplo, para extrair o conteúdo para o diretório de trabalho atual:

tar xzf istio-1.5.10-asm.2-osx.tar.gz

O comando cria um diretório de instalação no seu diretório de trabalho atual chamado istio-1.5.10-asm.2, que contém:

aplicativos de amostra em samples;
As seguintes ferramentas no diretório bin:
- istioctl: use istioctl para instalar o Anthos Service Mesh.
- asmctl: use asmctl para ajudar a validar sua configuração de segurança depois de instalar o Anthos Service Mesh. No momento, asmctl não é compatível com o GKE no VMware.

Windows

Faça o download do arquivo de instalação do Anthos Service Mesh no diretório de trabalho atual:

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.5.10-asm.2-win.zip

Faça o download do arquivo de assinatura e use openssl para verificar a assinatura:

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.5.10-asm.2-win.zip.1.sig
openssl dgst -verify - -signature istio-1.5.10-asm.2-win.zip.1.sig istio-1.5.10-asm.2-win.zip <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

A saída esperada é Verified OK.

Extraia o conteúdo do arquivo em qualquer local no sistema. Por exemplo, para extrair o conteúdo para o diretório de trabalho atual:

tar xzf istio-1.5.10-asm.2-win.zip

O comando cria um diretório de instalação no seu diretório de trabalho atual chamado istio-1.5.10-asm.2, que contém:

aplicativos de amostra em samples;
As seguintes ferramentas no diretório bin:
- istioctl: use istioctl para instalar o Anthos Service Mesh.
- asmctl: use asmctl para ajudar a validar sua configuração de segurança depois de instalar o Anthos Service Mesh. No momento, asmctl não é compatível com o GKE no VMware.

Verifique se você está no diretório raiz da instalação do Anthos Service Mesh.
```
cd istio-1.5.10-asm.2
```
Para facilitar, adicione as ferramentas ao diretório /bin/bin do seu PATH.
```
export PATH=$PWD/bin:$PATH
```

Como preparar arquivos de configuração de recursos

Ao executar istioctl apply command para instalar o Anthos Service Mesh, especifique -f istio-operator.yaml na linha de comando. Este arquivo contém informações sobre seu projeto e cluster que são necessários para ativar os recursos de segurança e telemetria do Mesh. Faça o download do istio-operator.yaml e de outros arquivos de configuração de recursos e defina as informações do cluster e do projeto.

Para preparar os arquivos de configuração de recursos, siga estas etapas:

Instale kpt, caso ainda não tenha feito isso:
```
gcloud components install kpt
```
Opcionalmente, crie um novo diretório para os arquivos de configuração de recursos do pacote do Anthos Service Mesh. Se você planeja configurar mais de um cluster, convém usar o nome do cluster como o nome do diretório.
Altere para o diretório em que você quer fazer o download do pacote do Anthos Service Mesh.

Faça o download do pacote do Anthos Service Mesh no diretório de trabalho atual:

kpt pkg get \
https://github.com/GoogleCloudPlatform/anthos-service-mesh-packages.git/asm@release-1.5-asm .

Defina o nome do cluster:

  kpt cfg set asm gcloud.container.cluster ${CLUSTER_NAME}

Como opção, personalize os arquivos de configuração do recurso usando os setters kpt. Por padrão, esses setters usam os padrões para gcloud config. Se você definir os padrões gcloud config ou se quiser alterar os valores, execute os seguintes setters:
- Defina o ID do projeto:
```
kpt cfg set asm gcloud.core.project ${PROJECT_ID}
```
- Defina a zona ou a região padrão:
```
kpt cfg set asm gcloud.compute.location ${CLUSTER_LOCATION}
```
Se preferir, insira os arquivos de configuração de recursos no seu próprio sistema de controle de origem, como o Cloud Source Repositories, para rastrear as alterações nos arquivos.

Como instalar o Anthos Service Mesh

Nesta seção, explicamos como instalar o Anthos Service Mesh e ativar os itens abaixo:

Os recursos Padrão compatíveis listados na página Recursos compatíveis.
Autoridade de certificação do Anthos Service Mesh (Mesh CA, na sigla em inglês).
O pipeline de dados de telemetria que alimenta os painéis do Anthos Service Mesh no Console do Google Cloud.

Para informações sobre como ativar os recursos Opcionais compatíveis, consulte Como ativar recursos opcionais.

Para instalar o Anthos Service Mesh:

Escolha um dos comandos a seguir para configurar o Anthos Service Mesh no modo de autenticação TLS mútua (mTLS) PERMISSIVE ou no modo mTLS STRICT.

PERMISSIVE mTLS

istioctl manifest apply --set profile=asm \
  -f asm/cluster/istio-operator.yaml

Cuidado: no modo PERMISSIVE, seus serviços podem aceitar o tráfego de texto simples e o tráfego TLS mútua ao mesmo tempo e enviar tráfego intra-mesh de texto simples por padrão. Para proteger sua malha de serviço após a instalação, migre seus serviços para o modo STRICT TLS mútua, conforme descrito em Migração de TLS mútua.

STRICT mTLS (em inglês)

istioctl manifest apply --set profile=asm \
  -f asm/cluster/istio-operator.yaml \
  --set values.global.mtls.enabled=true

Como validar a instalação

Recomendamos que você use a ferramenta de análise asmctl para validar a configuração básica do projeto, do cluster e das cargas de trabalho. Se um teste asmctl falhar, asmctl recomenda soluções, se possível. O comando asmctl validate executa testes básicos que verificam:

que as APIs exigidas pelo Anthos Service Mesh estão ativadas no projeto;
que o Istio-Ingressgateway está configurado corretamente para chamar a CA do Mesh;
a integridade geral do Istiod e do Istio-Ingressgateway.

Se você executar o comando asmctl validate com a sinalização opcional --with-testing-workloads, além dos testes básicos, o asmctl executará testes de segurança que verificam:

se a comunicação TLS mútua (mTLS) está configurada corretamente;
se a CA do Mesh pode emitir certificados.

Para executar os testes de segurança, o asmctl implanta cargas de trabalho no cluster em um namespace de teste, executa os testes de comunicação mTLS, gera os resultados e exclui o namespace de teste.

Para executar asmctl:

Verifique se o Application Default Credentials da gcloud está configurado:
```
 gcloud auth application-default login
```
Receba credenciais de autenticação para interagir com o cluster, caso ainda não tenha feito isso:
```
 gcloud container clusters get-credentials ${CLUSTER_NAME}
```

Para executar os testes básicos e de segurança, supondo que istio-1.5.10-asm.2/bin esteja no seu PATH:

asmctl validate --with-testing-workloads

Se for bem-sucedido, o comando responderá com uma saída semelhante à seguinte:

[asmctl version 0.3.0]
Using Kubernetes context: example-project_us-central1-example-cluster
To change the context, use the --context flag
Validating enabled APIs
OK
Validating ingressgateway configuration
OK
Validating istio system
OK
Validating sample traffic
Launching example services...
Sent traffic to example service http code: 200
verified mTLS configuration
OK
Validating issued certs
OK

Como injetar proxies sidecar

O Anthos Service Mesh usa proxies sidecar para aumentar a segurança, a confiabilidade e a observabilidade da rede. Com o Anthos Service Mesh, essas funções são abstraídas do contêiner principal do aplicativo e implementadas em um proxy comum fora do processo, entregue como um contêiner separado no mesmo pod.

Antes de você implantar cargas de trabalho, configure uma injeção do proxy sidecar para o Anthos Service Mesh monitorar e proteger o tráfego.

É possível ativar a injeção automática do sidecar com um comando, por exemplo:

kubectl label namespace NAMESPACE istio-injection=enabled --overwrite

em que NAMESPACE é o nome do namespace para os serviços do seu aplicativo ou default se você não tiver criado explicitamente um namespace.

Saiba mais em Como injetar proxies sidecar.

Como visualizar os painéis do Anthos Service Mesh

Depois de implantar as cargas de trabalho no seu cluster com os proxies sidecar injetados, acesse as páginas do Anthos Service Mesh no console do Google Cloud para ver todos os recursos de observabilidade que o Anthos Service Mesh oferece. Observe que leva cerca de um ou dois minutos para que os dados de telemetria sejam exibidos no console do Google Cloud após a implantação das cargas de trabalho.

O acesso ao Anthos Service Mesh no console do Google Cloud é controlado pelo Gerenciamento de identidade e acesso (IAM). Para acessar as páginas do Anthos Service Mesh, um proprietário do projeto precisa conceder aos usuários o papel de Editor ou Visualizador de projeto ou os papéis mais restritivos descritos em Como controlar o acesso ao Anthos Service Mesh no console do Google Cloud.

No console do Google Cloud, acesse Anthos Service Mesh.

Acesse o Anthos Service Mesh
Selecione o projeto do Google Cloud na lista suspensa na barra de menus.
Se você tiver mais de uma malha de serviço, selecione a malha na lista suspensa Service Mesh.

Para saber mais, consulte Como explorar o Anthos Service Mesh no console do Google Cloud.

Além das páginas do Anthos Service Mesh, as métricas relacionadas aos seus serviços, como o número de solicitações recebidas por um serviço específico, são enviadas para o Cloud Monitoring, onde elas aparecem o Metrics Explorer.

Para ver métricas:

No Console do Google Cloud, acesse a página Monitoring.

Acessar Monitoring
Selecione Recursos > Metrics Explorer.

Veja uma lista completa de métricas em Métricas do Istio na documentação do Cloud Monitoring.

A seguir

Implantar um aplicativo de amostra