Mengaktifkan fitur opsional

Saat menginstal Anthos Service Mesh, Anda menentukan profil konfigurasi. Profil konfigurasi adalah file YAML yang menentukan dan mengonfigurasi fitur yang diinstal dengan Anthos Service Mesh. Profil berikut disediakan dengan Anthos Service Mesh:

  • asm-gcp: Gunakan profil ini jika semua cluster GKE Anda berada dalam project yang sama. Saat Anda menginstal Anthos Service Mesh dengan profil ini, fitur berikut akan diaktifkan:

  • asm-gcp-multiproject: Gunakan profil ini jika cluster GKE Anda berada di Virtual Private Cloud Bersama, dan Anda ingin menambahkan cluster dari project berbeda ke Anthos Service Mesh. Saat Anda menginstal Anthos Service Mesh menggunakan profil asm-gcp-multiproject:

    • Dasbor Anthos Service Mesh di Konsol Google Cloud saat ini tidak tersedia. Namun, Anda masih dapat melihat log di Cloud Logging dan metrik di Cloud Monitoring untuk setiap project.

    • Fitur Default yang didukung yang tercantum di halaman Fitur yang didukung untuk profil konfigurasi asm-gcp-multiproject diaktifkan.

  • asm-multicloud: Gunakan profil ini untuk cluster di lingkungan yang didukung lainnya: GKE di VMware, GKE di AWS, Amazon Elastic Kubernetes Service (Amazon EKS), dan Microsoft Azure Kubernetes Service (Microsoft AKS). Saat Anda menginstal Anthos Service Mesh menggunakan profil asm-multicloud.yaml, tindakan ini akan mengaktifkan fitur Default yang didukung yang tercantum di halaman Fitur yang didukung untuk profil konfigurasi asm-multicloud.

Profil ini berada di subdirektori manifests/profiles dalam direktori utama penginstalan Anthos Service Mesh.

Anda dapat mengganti profil konfigurasi dan mengaktifkan fitur Opsional yang didukung menggunakan IstioOperator API. Anda menentukan konfigurasi IstioOperator dalam file YAML, misalnya, feature.yaml. (Nama file YAML tidak berpengaruh.)

Meskipun Anda dapat memodifikasi konfigurasi dengan membuat perubahan pada profil atau dengan menentukan parameter konfigurasi pada command line menggunakan opsi --set, sebaiknya gunakan file YAML konfigurasi IstioOperator agar Anda dapat menyimpan file dalam sistem kontrol versi beserta file konfigurasi resource lainnya. Anda dapat menentukan beberapa file pada command line saat mengaktifkan fitur opsional.

Contoh

Untuk mengaktifkan fitur saat menginstal atau mengupgrade Anthos Service Mesh, Anda harus menyertakan profil dan file YAML untuk fitur yang ingin diaktifkan. Contoh ini mengasumsikan bahwa Anda telah menyelesaikan semua langkah dalam panduan penginstalan atau upgrade yang sedang Anda tindak lanjuti hingga tahap penginstalan Anthos Service Mesh.

Mengaktifkan gateway keluar

Contoh ini menunjukkan cara mengaktifkan gateway keluar di GKE di VMware.

  1. Salin YAML berikut ke feature.yaml dan simpan file:

    apiVersion: install.istio.io/v1alpha1
    kind: IstioOperator
    spec:
      components:
        egressGateways:
          - name: istio-egressgateway
            enabled: true
  2. Untuk menginstal Anthos Service Mesh di GKE pada VMware, pada command line berikut, ganti REVISION dengan versi Anthos Service Mesh yang tepat yang Anda instal, seperti: asm-1614-2

    istioctl install \
      --set profile=asm-multicloud \
      --set revision=REVISION \
      -f feature.yaml

Aktifkan perekaman aktivitas

Contoh ini menunjukkan cara mengaktifkan Cloud Trace di GKE.

Untuk penginstalan dan upgrade di GKE, Anda harus menyiapkan istio-operator.yaml, yang berisi informasi tentang project dan cluster Anda. Saat mengonfigurasi istio-operator.yaml, Anda dapat menetapkan profil yang ingin digunakan, asm-gcp atau asm-gcp-multiproject. Karena profil dikonfigurasi dalam istio-operator.yaml, dalam hal ini Anda tidak perlu menentukan profil di command line, meskipun Anda mungkin ingin menetapkannya agar lebih jelas.

  1. Salin YAML berikut ke feature.yaml dan simpan file:

    apiVersion: install.istio.io/v1alpha1
    kind: IstioOperator
    spec:
      meshConfig:
        enableTracing: true
      values:
        global:
           proxy:
             tracer: stackdriver
  2. Untuk menginstal Anthos Service Mesh di GKE, pada command line berikut:

    • Ganti PROFILE dengan profil yang Anda gunakan, baik: asm-gcp maupun asm-gcp-multiproject
    • Ganti REVISION dengan versi Anthos Service Mesh yang tepat yang sedang Anda instal, seperti: asm-1614-2
    istioctl install \
     -f asm/cluster/istio-operator.yaml \
     --set profile=PROFILE \
     --set revision=REVISION \
     -f feature.yaml

YAML untuk fitur opsional

Bagian berikut ini menyediakan YAML untuk mengaktifkan fitur opsional dan yang didukung. Saat mengaktifkan fitur opsional, Anda harus menyertakan profil dan file YAML untuk fitur yang ingin diaktifkan pada command line. Untuk GKE, profil dikonfigurasi di istio-operator.yaml.

Mode STRICT mTLS

Konfigurasi global.mtls.enabled telah dihapus untuk menghindari masalah dengan upgrade dan untuk memberikan penginstalan yang lebih fleksibel. Untuk mengaktifkan mTLS STRICT, konfigurasikan kebijakan autentikasi peer.

Mengarahkan Envoy ke stdout

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  meshConfig:
    accessLogFile: "/dev/stdout"

Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan logging akses Envoy.

Cloud Trace

Untuk penginstalan di GKE, Anda dapat mengaktifkan Cloud Trace. Untuk mengetahui informasi harga selengkapnya, lihat halaman harga Cloud Trace.

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  meshConfig:
    enableTracing: true
  values:
    global:
       proxy:
         tracer: stackdriver

Frekuensi sampling default adalah 1%, tetapi Anda dapat mengganti frekuensi pengambilan sampel default dengan menentukan nilai traceSampling. Nilai ini harus dalam rentang 0,0 hingga 100,0 dengan presisi 0,01. Misalnya, untuk melacak 5 permintaan dari setiap 10.000 permintaan,gunakan 0, 05.

Contoh berikut menunjukkan frekuensi sampling 100% (yang hanya akan Anda lakukan untuk tujuan demo atau pemecahan masalah).

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  meshConfig:
    enableTracing: true
  values:
    pilot:
      traceSampling: 100
    global:
       proxy:
         tracer: stackdriver

Melacak propagasi konteks

Meskipun proxy file bantuan dapat secara otomatis mengirim span rekaman aktivitas, proxy tersebut memerlukan beberapa petunjuk untuk mengaitkan seluruh rekaman aktivitas. Aplikasi perlu menyebarkan header HTTP yang sesuai sehingga saat proxy mengirim informasi span, span dapat dikorelasikan dengan benar ke dalam satu pelacakan.

Untuk melakukannya, aplikasi harus mengumpulkan dan menyebarkan header berikut dari permintaan masuk ke permintaan keluar:

  • x-request-id
  • x-b3-traceid
  • x-b3-spanid
  • x-b3-parentspanid
  • x-b3-sampled
  • x-b3-flags
  • x-ot-span-context
  • x-cloud-trace-context
  • traceparent
  • grpc-trace-bin

Untuk contoh yang menyebarkan header, lihat Penyebaran konteks rekaman aktivitas.

Traffic keluar melalui gateway keluar

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  components:
    egressGateways:
      - name: istio-egressgateway
        enabled: true

Untuk mengetahui informasi selengkapnya, lihat Gateway Traffic Keluar.

Antarmuka Jaringan Container Istio

Cara mengaktifkan Antarmuka Jaringan Container (CNI) Istio bergantung pada lingkungan tempat Anthos Service Mesh diinstal. Anda juga perlu mengaktifkan kebijakan jaringan.

Mengaktifkan CNI di GKE

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  components:
    cni:
      enabled: true
      namespace: kube-system
  values:
    cni:
      cniBinDir: /home/kubernetes/bin
      excludeNamespaces:
        - istio-system
        - kube-system

Mengaktifkan CNI di GKE di VMware

Untuk GKE di VMware, tambahkan gke-system ke excludeNamespaces dan values.cni.cniBinDir. adalah /opt/cni/bin:

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  components:
    cni:
      enabled: true
      namespace: kube-system
  values:
    cni:
      cniBinDir: /opt/cni/bin
      excludeNamespaces:
        - istio-system
        - kube-system
        - gke-system

Mengaktifkan load balancer internal

Untuk penginstalan di GKE, Anda dapat mengaktifkan load balancer internal untuk gateway masuk Istio. Di YAML berikut, ganti PROFILE dengan profil yang Anda gunakan, baik asm-gcp atau asm-gcp-multiproject.

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  profile: PROFILE
  components:
    ingressGateways:
      - name: istio-ingressgateway
        enabled: true
        k8s:
          serviceAnnotations:
            cloud.google.com/load-balancer-type: "internal"
          service:
            ports:
              - name: status-port
                port: 15020
              - name: http2
                port: 80
              - name: https
                port: 443

Pengelolaan sertifikat eksternal di gateway masuk

Untuk mengetahui informasi tentang cara mengaktifkan pengelolaan sertifikat eksternal di gateway masuk menggunakan Envoy SDS, lihat Gateway Aman.