Anthos Service Mesh verwendet Sidecar-Proxys, um die Sicherheit, Zuverlässigkeit und Beobachtbarkeit von Netzwerken zu verbessern. Mit Anthos Service Mesh werden diese Funktionen vom primären Container der Anwendung abstrahiert und in einem gemeinsamen Out-of-Process-Proxy implementiert, der als separater Container im selben Pod bereitgestellt wird. Wenn Sie die Features von Anthos Service Mesh nutzen möchten, um Arbeitslasten bereitzustellen oder noch einmal bereitzustellen, fügen Sie einen Sidecar-Proxy in den Pod der Arbeitslast ein. Der Proxy fängt den gesamten eingehenden und ausgehenden Traffic an die Arbeitslasten ab und kommuniziert mit Anthos Service Mesh.
Automatische Sidecar-Einfügung aktivieren
Sie können einen Sidecar-Proxy manuell einfügen, indem Sie die Kubernetes-Konfiguration der Pods aktualisieren oder die Webhook-basierte automatische Sidecar-Einfügung verwenden. Standardmäßig ist die automatische Sidecar-Einfügung für alle Namespaces deaktiviert. So aktivieren Sie die automatische Einfügung:
kubectl label namespace NAMESPACE istio-injection=enabled --overwrite
Dabei ist NAMESPACE
der Name des Namespace für die Dienste der Anwendung oder default
, wenn Sie nicht explizit einen Namespace erstellt haben.
Da Sidecar-Proxys beim Erstellen von Pods eingefügt werden, müssen Sie alle ausgeführten Pods neu starten, damit die Änderung wirksam wird.
Manuelle Sidecar-Einfügung
Informationen zum manuellen Einfügen von Sidecars finden Sie unter Installing the Sidecar.
Sidecar-Proxys für vorhandene Pods aktualisieren
Mit der automatischen Sidecar-Einfügung können Sie die Sidecar-Proxys für vorhandene Pods mit einem Pod-Neustart aktualisieren.
Wie Sie Pods neu starten, hängt davon ab, ob sie als Teil eines Deployments erstellt wurden.
Starten Sie die Bereitstellung neu, wenn Sie eine Bereitstellung verwendet haben. Dadurch werden alle Pods mit Sidecar-Dateien neu gestartet:
kubectl rollout restart deployment
Wenn Sie keine Bereitstellung verwendet haben, löschen Sie die Pods, und sie werden automatisch mit Sidecar-Dateien neu erstellt:
kubectl delete pod -n YOUR_NAMESPACE --all
Prüfen Sie, ob alle Pods im Namespace Sidecar-Dateien eingefügt haben:
kubectl get pod -n YOUR_NAMESPACE --all
In der folgenden Beispielausgabe des vorherigen Befehls sehen Sie, dass die Spalte
READY
zwei Container für jede Ihrer Arbeitslasten enthält: den primären Container und den Container für den Sidecar-Proxy.NAME READY STATUS RESTARTS AGE YOUR_WORKLOAD 2/2 Running 0 20s ...
Nächste Schritte
Mehr zu folgenden Themen: