Sidecar-Proxys einfügen

Anthos Service Mesh verwendet Sidecar-Proxys, um die Sicherheit, Zuverlässigkeit und Beobachtbarkeit von Netzwerken zu verbessern. Mit Anthos Service Mesh werden diese Funktionen vom primären Container der Anwendung abstrahiert und in einem gemeinsamen Out-of-Process-Proxy implementiert, der als separater Container im selben Pod bereitgestellt wird. Wenn Sie die Features von Anthos Service Mesh nutzen möchten, um Arbeitslasten bereitzustellen oder noch einmal bereitzustellen, fügen Sie einen Sidecar-Proxy in den Pod der Arbeitslast ein. Der Proxy fängt den gesamten eingehenden und ausgehenden Traffic an die Arbeitslasten ab und kommuniziert mit Anthos Service Mesh.

Für diese Aufgaben erforderliche Berechtigungen

Zum Ausführen der Aufgaben auf dieser Seite benötigen Sie die Rolle roles/container.clusterAdmin oder eine höhere Rolle. Weitere Informationen zu den in dieser Rolle enthaltenen Berechtigungen finden Sie unter Google Kubernetes Engine-Rollen.

Automatische Sidecar-Einfügung aktivieren

Sie können einen Sidecar-Proxy manuell einfügen, indem Sie die Kubernetes-Konfiguration der Pods aktualisieren oder die Webhook-basierte automatische Sidecar-Einfügung verwenden. Standardmäßig ist die automatische Sidecar-Einfügung für alle Namespaces deaktiviert. So aktivieren Sie die automatische Einfügung:

kubectl label namespace NAMESPACE istio-injection=enabled --overwrite

Dabei ist NAMESPACE der Name des Namespace für die Dienste der Anwendung oder default, wenn Sie nicht explizit einen Namespace erstellt haben.

Da Sidecar-Proxys beim Erstellen von Pods eingefügt werden, müssen Sie alle ausgeführten Pods neu starten, damit die Änderung wirksam wird.

Manuelle Sidecar-Einfügung

Informationen zum manuellen Einfügen von Sidecars finden Sie unter Installing the Sidecar.

Sidecar-Proxys für vorhandene Pods aktualisieren

Mit der automatischen Sidecar-Einfügung können Sie die Sidecar-Proxys für vorhandene Pods mit einem Pod-Neustart aktualisieren.

Wie Sie Pods neu starten, hängt davon ab, ob sie als Teil eines Deployments erstellt wurden.

Starten Sie die Bereitstellung neu, wenn Sie eine Bereitstellung verwendet haben. Dadurch werden alle Pods mit Sidecar-Dateien neu gestartet:
```
kubectl rollout restart deployment
```
Wenn Sie keine Bereitstellung verwendet haben, löschen Sie die Pods, und sie werden automatisch mit Sidecar-Dateien neu erstellt:
```
kubectl delete pod -n YOUR_NAMESPACE --all
```
Prüfen Sie, ob alle Pods im Namespace Sidecar-Dateien eingefügt haben:
```
kubectl get pod -n YOUR_NAMESPACE --all
```
In der folgenden Beispielausgabe des vorherigen Befehls sehen Sie, dass die Spalte READY zwei Container für jede Ihrer Arbeitslasten enthält: den primären Container und den Container für den Sidecar-Proxy.
```
NAME                    READY   STATUS    RESTARTS   AGE
YOUR_WORKLOAD           2/2     Running   0          20s
...
```

Nächste Schritte

Mehr zu folgenden Themen:

Arbeitslasten bereitstellen