Saat menginstal Anthos Service Mesh, Anda menentukan profil konfigurasi. Profil konfigurasi adalah file YAML yang menentukan dan mengonfigurasi fitur yang diinstal dengan Anthos Service Mesh. Profil berikut disediakan dengan Anthos Service Mesh:
asm-gcp
: Gunakan profil ini jika semua cluster GKE Anda berada dalam project yang sama. Saat Anda menginstal Anthos Service Mesh dengan profil ini, fitur berikut akan diaktifkan:Telemetri mesh, yang menyediakan data ke dasbor Anthos Service Mesh di Konsol Google Cloud.
Fitur Default yang didukung lainnya tercantum di halaman Fitur yang didukung untuk profil konfigurasi
asm-gcp
.
asm-gcp-multiproject
: Gunakan profil ini jika cluster GKE Anda berada di Virtual Private Cloud Bersama, dan Anda ingin menambahkan cluster dari project berbeda ke Anthos Service Mesh. Saat Anda menginstal Anthos Service Mesh menggunakan profilasm-gcp-multiproject
:Dasbor Anthos Service Mesh di Konsol Google Cloud saat ini tidak tersedia. Namun, Anda masih dapat melihat log di Cloud Logging dan metrik di Cloud Monitoring untuk setiap project.
Fitur Default yang didukung yang tercantum di halaman Fitur yang didukung untuk profil konfigurasi
asm-gcp-multiproject
diaktifkan.
asm-multicloud
: Gunakan profil ini untuk cluster di lingkungan yang didukung lainnya: GKE di VMware, GKE di AWS, Amazon Elastic Kubernetes Service (Amazon EKS), dan Microsoft Azure Kubernetes Service (Microsoft AKS). Saat Anda menginstal Anthos Service Mesh menggunakan profilasm-multicloud.yaml
, tindakan ini akan mengaktifkan fitur Default yang didukung yang tercantum di halaman Fitur yang didukung untuk profil konfigurasiasm-multicloud
.
Profil ini berada di subdirektori manifests/profiles
dalam direktori utama penginstalan Anthos Service Mesh.
Anda dapat mengganti profil konfigurasi dan mengaktifkan fitur Opsional yang didukung
menggunakan
IstioOperator
API. Anda menentukan konfigurasi IstioOperator
dalam file YAML, misalnya, feature.yaml
. (Nama file YAML tidak berpengaruh.)
Meskipun Anda dapat memodifikasi konfigurasi dengan membuat perubahan pada profil atau dengan menentukan parameter konfigurasi pada command line menggunakan opsi --set
, sebaiknya gunakan file YAML konfigurasi IstioOperator
agar Anda dapat menyimpan file dalam sistem kontrol versi beserta file konfigurasi resource lainnya. Anda dapat menentukan beberapa file pada
command line saat mengaktifkan fitur opsional.
Contoh
Untuk mengaktifkan fitur saat menginstal atau mengupgrade Anthos Service Mesh, Anda harus menyertakan profil dan file YAML untuk fitur yang ingin diaktifkan. Contoh ini mengasumsikan bahwa Anda telah menyelesaikan semua langkah dalam panduan penginstalan atau upgrade yang sedang Anda tindak lanjuti hingga tahap penginstalan Anthos Service Mesh.
Mengaktifkan gateway keluar
Contoh ini menunjukkan cara mengaktifkan gateway keluar di GKE di VMware.
Salin YAML berikut ke
feature.yaml
dan simpan file:apiVersion: install.istio.io/v1alpha1 kind: IstioOperator spec: components: egressGateways: - name: istio-egressgateway enabled: true
Untuk menginstal Anthos Service Mesh di GKE pada VMware, pada command line berikut, ganti
REVISION
dengan versi Anthos Service Mesh yang tepat yang Anda instal, seperti:asm-1614-2
istioctl install \ --set profile=asm-multicloud \ --set revision=REVISION \ -f feature.yaml
Aktifkan perekaman aktivitas
Contoh ini menunjukkan cara mengaktifkan Cloud Trace di GKE.
Untuk penginstalan dan upgrade di GKE, Anda harus
menyiapkan istio-operator.yaml
,
yang berisi informasi tentang project dan cluster Anda. Saat
mengonfigurasi istio-operator.yaml
, Anda dapat menetapkan profil yang ingin digunakan,
asm-gcp
atau asm-gcp-multiproject
. Karena profil
dikonfigurasi dalam istio-operator.yaml
, dalam hal ini Anda tidak perlu menentukan profil di
command line, meskipun Anda mungkin ingin menetapkannya agar
lebih jelas.
Salin YAML berikut ke
feature.yaml
dan simpan file:apiVersion: install.istio.io/v1alpha1 kind: IstioOperator spec: meshConfig: enableTracing: true values: global: proxy: tracer: stackdriver
Untuk menginstal Anthos Service Mesh di GKE, pada command line berikut:
- Ganti
PROFILE
dengan profil yang Anda gunakan, baik:asm-gcp
maupunasm-gcp-multiproject
- Ganti
REVISION
dengan versi Anthos Service Mesh yang tepat yang sedang Anda instal, seperti:asm-1614-2
istioctl install \ -f asm/cluster/istio-operator.yaml \ --set profile=PROFILE \ --set revision=REVISION \ -f feature.yaml
- Ganti
YAML untuk fitur opsional
Bagian berikut ini menyediakan YAML untuk mengaktifkan fitur opsional dan yang didukung. Saat mengaktifkan fitur opsional, Anda harus menyertakan profil dan file YAML untuk fitur yang ingin diaktifkan pada command line. Untuk
GKE, profil dikonfigurasi di istio-operator.yaml
.
Mode STRICT
mTLS
Konfigurasi global.mtls.enabled
telah dihapus untuk menghindari masalah dengan
upgrade dan untuk memberikan penginstalan yang lebih fleksibel. Untuk mengaktifkan mTLS STRICT
, konfigurasikan kebijakan autentikasi peer.
Mengarahkan Envoy ke stdout
apiVersion: install.istio.io/v1alpha1 kind: IstioOperator spec: meshConfig: accessLogFile: "/dev/stdout"
Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan logging akses Envoy.
Cloud Trace
Untuk penginstalan di GKE, Anda dapat mengaktifkan Cloud Trace. Untuk mengetahui informasi harga selengkapnya, lihat halaman harga Cloud Trace.
apiVersion: install.istio.io/v1alpha1 kind: IstioOperator spec: meshConfig: enableTracing: true values: global: proxy: tracer: stackdriver
Frekuensi sampling default adalah 1%, tetapi Anda dapat mengganti frekuensi pengambilan sampel default dengan menentukan
nilai traceSampling
. Nilai ini harus dalam rentang 0,0 hingga 100,0 dengan
presisi 0,01. Misalnya, untuk melacak 5 permintaan dari setiap 10.000 permintaan,gunakan 0, 05.
Contoh berikut menunjukkan frekuensi sampling 100% (yang hanya akan Anda lakukan untuk tujuan demo atau pemecahan masalah).
apiVersion: install.istio.io/v1alpha1 kind: IstioOperator spec: meshConfig: enableTracing: true values: pilot: traceSampling: 100 global: proxy: tracer: stackdriver
Melacak propagasi konteks
Meskipun proxy file bantuan dapat secara otomatis mengirim span rekaman aktivitas, proxy tersebut memerlukan beberapa petunjuk untuk mengaitkan seluruh rekaman aktivitas. Aplikasi perlu menyebarkan header HTTP yang sesuai sehingga saat proxy mengirim informasi span, span dapat dikorelasikan dengan benar ke dalam satu pelacakan.
Untuk melakukannya, aplikasi harus mengumpulkan dan menyebarkan header berikut dari permintaan masuk ke permintaan keluar:
- x-request-id
- x-b3-traceid
- x-b3-spanid
- x-b3-parentspanid
- x-b3-sampled
- x-b3-flags
- x-ot-span-context
- x-cloud-trace-context
- traceparent
- grpc-trace-bin
Untuk contoh yang menyebarkan header, lihat Penyebaran konteks rekaman aktivitas.
Traffic keluar melalui gateway keluar
apiVersion: install.istio.io/v1alpha1 kind: IstioOperator spec: components: egressGateways: - name: istio-egressgateway enabled: true
Untuk mengetahui informasi selengkapnya, lihat Gateway Traffic Keluar.
Antarmuka Jaringan Container Istio
Cara mengaktifkan Antarmuka Jaringan Container (CNI) Istio bergantung pada lingkungan tempat Anthos Service Mesh diinstal. Anda juga perlu mengaktifkan kebijakan jaringan.
Mengaktifkan CNI di GKE
apiVersion: install.istio.io/v1alpha1 kind: IstioOperator spec: components: cni: enabled: true namespace: kube-system values: cni: cniBinDir: /home/kubernetes/bin excludeNamespaces: - istio-system - kube-system
Mengaktifkan CNI di GKE di VMware
Untuk GKE di VMware, tambahkan gke-system
ke
excludeNamespaces
dan values.cni.cniBinDir
.
adalah /opt/cni/bin
:
apiVersion: install.istio.io/v1alpha1 kind: IstioOperator spec: components: cni: enabled: true namespace: kube-system values: cni: cniBinDir: /opt/cni/bin excludeNamespaces: - istio-system - kube-system - gke-system
Mengaktifkan load balancer internal
Untuk penginstalan di GKE, Anda dapat mengaktifkan load balancer internal untuk gateway masuk Istio. Di YAML
berikut, ganti PROFILE
dengan profil yang
Anda gunakan, baik asm-gcp
atau asm-gcp-multiproject
.
apiVersion: install.istio.io/v1alpha1 kind: IstioOperator spec: profile: PROFILE components: ingressGateways: - name: istio-ingressgateway enabled: true k8s: serviceAnnotations: cloud.google.com/load-balancer-type: "internal" service: ports: - name: status-port port: 15020 - name: http2 port: 80 - name: https port: 443
Pengelolaan sertifikat eksternal di gateway masuk
Untuk mengetahui informasi tentang cara mengaktifkan pengelolaan sertifikat eksternal di gateway masuk menggunakan Envoy SDS, lihat Gateway Aman.