Neste guia, explicamos como fazer upgrade do Anthos Service Mesh da versão 1.4.5+ or 1.5.4+ para a versão 1.5.10 no GKE no VMware.
A reimplantação dos componentes do plano de controle do Anthos Service Mesh leva cerca de 5 a 10 minutos para ser concluída. Além disso, é necessário injetar novos proxies sidecar em todas as cargas de trabalho para que eles sejam atualizados com a versão atual do Anthos Service Mesh. O tempo necessário para atualizar os proxies sidecar depende de muitos fatores, como o número de pods, o número de nós, as configurações de escalonamento da implantação, os orçamentos de interrupção dos pods e outras definições de configuração. Uma estimativa aproximada do tempo necessário para atualizar os proxies sidecar é de 100 pods por minuto.
Como se preparar para o upgrade
Nesta seção, descrevemos as etapas necessárias para fazer upgrade do Anthos Service Mesh.
Analise os Recursos compatíveis e este guia para conhecer os recursos e o processo de upgrade.
Se você ativou recursos opcionais quando instalou a versão anterior do Anthos Service Mesh, precisa ativar os mesmos recursos ao fazer upgrade. Para ativar recursos opcionais, adicione sinalizações
--set values
ou especifique a sinalização-f
com um arquivo YAML ao executar o comandoistioctl apply
.Se você estiver fazendo upgrade do Anthos Service Mesh 1.4.5+ e tiver ativado os recursos opcionais em um arquivo YAML, será necessário converter o YAML da API IstioControlPlane para a API IstioOperator.
Programar um tempo de inatividade. O upgrade pode levar até uma hora, dependendo da escala do cluster. Isso não inclui o tempo necessário para reimplantar cargas de trabalho a fim de atualizar proxies secundários.
Como configurar o ambiente
Na máquina local, instale e inicialize a Google Cloud CLI.
Se a gcloud CLI já estiver instalada:
Faça a autenticação com a gcloud CLI:
gcloud auth login
Atualize os componentes:
gcloud components update
Instale
kubectl
:gcloud components install kubectl
Consiga o ID do projeto em que o cluster foi criado:
gcloud
gcloud projects list
Console
No console do Google Cloud, abra a página Painel.
Clique na lista suspensa Selecionar de na parte superior da página. Na janela Selecionar de exibida, selecione seu projeto. O ID do projeto é exibido no card Informações do projeto do Painel.
Defina o ID do projeto padrão para a Google Cloud CLI:
gcloud config set project PROJECT_ID
Como configurar credenciais e permissões
-
Verifique se você tem o
kubectl
para os clusters de usuário do GKE no VMware em que você quer instalar o Anthos Service Mesh. Observe que só é possível instalar o Anthos Service Mesh em um cluster de usuários, não em um cluster de administrador. -
Conceda permissões de administrador de cluster ao usuário atual. Você precisa dessas
permissões para criar as regras necessárias de
controle de acesso baseado
em papéis (RBAC, na sigla em inglês) para o Anthos Service Mesh:
kubectl create clusterrolebinding cluster-admin-binding \ --clusterrole=cluster-admin \ --user="$(gcloud config get-value core/account)"
Se você vir o erro
"cluster-admin-binding" already exists
, poderá ignorá-lo com segurança e continuar com o cluster-admin-binding atual.
Como fazer o download do arquivo de instalação
-
Faça o download do arquivo de instalação do Anthos Service Mesh no diretório de trabalho
atual:
curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.5.10-asm.2-linux.tar.gz
-
Faça o download do arquivo de assinatura e use
openssl
para verificar a assinatura:curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.5.10-asm.2-linux.tar.gz.1.sig openssl dgst -verify - -signature istio-1.5.10-asm.2-linux.tar.gz.1.sig istio-1.5.10-asm.2-linux.tar.gz <<'EOF' -----BEGIN PUBLIC KEY----- MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw== -----END PUBLIC KEY----- EOF
A saída esperada é
Verified OK
. -
Extraia o conteúdo do arquivo em qualquer local no sistema. Por
exemplo, para extrair o conteúdo para o diretório de trabalho atual:
tar xzf istio-1.5.10-asm.2-linux.tar.gz
O comando cria um diretório de instalação no seu diretório de trabalho atual chamado
istio-1.5.10-asm.2
, que contém:- aplicativos de amostra em
samples
; - As seguintes ferramentas no diretório
bin
:istioctl
: useistioctl
para instalar o Anthos Service Mesh.asmctl
: useasmctl
para ajudar a validar sua configuração de segurança depois de instalar o Anthos Service Mesh. No momento,asmctl
não é compatível com o GKE no VMware.
- aplicativos de amostra em
-
Faça o download do arquivo de instalação do Anthos Service Mesh no diretório de trabalho
atual:
curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.5.10-asm.2-osx.tar.gz
-
Faça o download do arquivo de assinatura e use
openssl
para verificar a assinatura:curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.5.10-asm.2-osx.tar.gz.1.sig openssl dgst -sha256 -verify /dev/stdin -signature istio-1.5.10-asm.2-osx.tar.gz.1.sig istio-1.5.10-asm.2-osx.tar.gz <<'EOF' -----BEGIN PUBLIC KEY----- MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw== -----END PUBLIC KEY----- EOF
A saída esperada é
Verified OK
. -
Extraia o conteúdo do arquivo em qualquer local no sistema. Por
exemplo, para extrair o conteúdo para o diretório de trabalho atual:
tar xzf istio-1.5.10-asm.2-osx.tar.gz
O comando cria um diretório de instalação no seu diretório de trabalho atual chamado
istio-1.5.10-asm.2
, que contém:- aplicativos de amostra em
samples
; - As seguintes ferramentas no diretório
bin
:istioctl
: useistioctl
para instalar o Anthos Service Mesh.asmctl
: useasmctl
para ajudar a validar sua configuração de segurança depois de instalar o Anthos Service Mesh. No momento,asmctl
não é compatível com o GKE no VMware.
- aplicativos de amostra em
-
Faça o download do arquivo de instalação do Anthos Service Mesh no diretório de trabalho
atual:
curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.5.10-asm.2-win.zip
-
Faça o download do arquivo de assinatura e use
openssl
para verificar a assinatura:curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.5.10-asm.2-win.zip.1.sig openssl dgst -verify - -signature istio-1.5.10-asm.2-win.zip.1.sig istio-1.5.10-asm.2-win.zip <<'EOF' -----BEGIN PUBLIC KEY----- MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw== -----END PUBLIC KEY----- EOF
A saída esperada é
Verified OK
. -
Extraia o conteúdo do arquivo em qualquer local no sistema. Por
exemplo, para extrair o conteúdo para o diretório de trabalho atual:
tar xzf istio-1.5.10-asm.2-win.zip
O comando cria um diretório de instalação no seu diretório de trabalho atual chamado
istio-1.5.10-asm.2
, que contém:- aplicativos de amostra em
samples
; - As seguintes ferramentas no diretório
bin
:istioctl
: useistioctl
para instalar o Anthos Service Mesh.asmctl
: useasmctl
para ajudar a validar sua configuração de segurança depois de instalar o Anthos Service Mesh. No momento,asmctl
não é compatível com o GKE no VMware.
- aplicativos de amostra em
-
Verifique se você está no diretório raiz da instalação do Anthos Service Mesh.
cd istio-1.5.10-asm.2
-
Para facilitar, adicione as ferramentas ao diretório
/bin
/bin do seu PATH.export PATH=$PWD/bin:$PATH
Linux
Mac OS
Windows
Como fazer upgrade do Anthos Service Mesh
Nesta seção, explicamos como fazer upgrade do Anthos Service Mesh e ativar os recursos padrão compatíveis listados na página Recursos compatíveis. Para informações sobre como ativar os recursos opcionais compatíveis, consulte Como ativar recursos opcionais.
Para instalar o Anthos Service Mesh:
Escolha um dos comandos a seguir para configurar o Anthos Service Mesh no
modo de autenticação TLS mútua (mTLS)
PERMISSIVE
ou no modo mTLS STRICT
.
PERMISSIVE mTLS
istioctl manifest apply --set profile=asm-onprem
STRICT mTLS
istioctl manifest apply --set profile=asm-onprem \ --set values.global.mtls.enabled=true
Verificar os componentes do plano de controle
O upgrade requer a reinstalação dos componentes do plano de controle, o que leva
cerca de 5 a 10 minutos para ser concluído. Os antigos componentes do plano de controle são
encerrados e, em seguida, excluídos, à medida que os novos componentes são instalados. É possível verificar
o progresso observando o valor na coluna AGE
das cargas de trabalho.
kubectl get pod -n istio-system
Exemplo de saída:
NAME READY STATUS RESTARTS AGE istio-ingressgateway-5bfdf7c586-v6wxx 2/2 Terminating 0 25m istio-ingressgateway-7b598c5557-b88md 2/2 Running 0 5m44s istiod-78cdbbbdb-d7tps 1/1 Running 0 5m16s promsd-576b8db4d6-lqf64 2/2 Running 1 5m26s
Neste exemplo, há duas instâncias de istio-ingressgateway
. A
instância com 25m
na coluna AGE
está sendo encerrada. Os demais
componentes foram instalados recentemente.
Como atualizar proxies sidecar
O Anthos Service Mesh usa proxies sidecar para aumentar a segurança, a confiabilidade e a observabilidade da rede. Com o Anthos Service Mesh, essas funções são abstraídas do contêiner principal do aplicativo e implementadas em um proxy comum fora do processo, entregue como um contêiner separado no mesmo pod.
Todas as cargas de trabalho em execução no cluster antes da instalação do Anthos Service Mesh precisam ter o proxy sidecar injetado ou atualizado para que tenham a versão atual do Anthos Service Mesh. Antes de implantar novas cargas de trabalho, configure a injeção de proxy sidecar para que o Anthos Service Mesh possa monitorar e proteger o tráfego.É possível ativar a injeção automática do sidecar com um comando, por exemplo:
kubectl label namespace NAMESPACE istio-injection=enabled --overwrite
em que NAMESPACE
é o nome do
namespace
para os serviços do seu aplicativo ou default
se você não tiver criado explicitamente
um namespace.
Saiba mais em Como injetar proxies sidecar.