In dieser Anleitung wird erläutert, wie Sie Ihr Google Cloud-Projekt vorbereiten, einen vorhandenen GKE-Cluster einrichten und die Anthos Service Mesh-Version 1.6.14 installieren. Sie können diese Anleitung für folgende Anwendungsfälle verwenden:
Neue Installationen von Anthos Service Mesh Lesen Sie Upgrade von Anthos Service Mesh auf GKE ausführen, wenn Sie eine frühere Version von Anthos Service Mesh installiert haben.
Migration von Open-Source-Istio 1.6 zu Anthos Service Mesh
Migration von der Version 1.6 des Add-ons "Istio on GKE" zu Anthos Service Mesh Bevor Sie zu Anthos Service Mesh migrieren können, müssen Sie zuerst ein Upgrade auf Istio 1.6 mit Operator durchführen.
Wenn sich alle Cluster, die Sie konfigurieren, bei neuen Installationen und Migrationen im selben Google Cloud-Projekt befinden, empfehlen wir die Verwendung von Installation und Migration in GKE. Dies vereinfacht die Installation und Migration mithilfe eines Skripts.
Hinweise
In diesem Leitfaden wird Folgendes vorausgesetzt:
- Ein Google Cloud-Projekt
- Ein Cloud-Rechnungskonto
- Ein GKE-Cluster, der den Anforderungen entspricht.
Unterschiede zwischen Anthos und Anthos Service Mesh
GKE Enterprise-Abonnenten müssen die GKE Enterprise API aktivieren.
Auch wenn Sie kein GKE Enterprise-Abonnent sind, können Sie Anthos Service Mesh installieren. Bestimmte UI-Elemente und Features in der Google Cloud Console sind jedoch nur für GKE Enterprise-Abonnenten verfügbar. Informationen dazu, was für Abonnenten und Nicht-Abonnenten verfügbar ist, finden Sie unter Unterschiede zwischen GKE Enterprise und Anthos Service Mesh. Informationen zu den Anthos Service Mesh-Preisen für Nicht-Abonnenten finden Sie unter Preise.
Voraussetzungen
Ihr GKE-Cluster muss die folgenden Anforderungen erfüllen:
Ein Maschinentyp mit mindestens vier vCPUs, z. B.
e2-standard-4. Wenn der Maschinentyp für Ihren Cluster nicht mindestens vier vCPUs hat, ändern Sie den Maschinentyp, wie unter Arbeitslasten zu anderen Maschinentypen migrieren beschrieben.Die Mindestanzahl an Knoten hängt vom Maschinentyp ab. Anthos Service Mesh erfordert mindestens acht vCPUs. Wenn der Maschinentyp vier vCPUs hat, muss der Cluster mindestens zwei Knoten haben. Wenn der Maschinentyp acht vCPUs umfasst, benötigt der Cluster nur einen Knoten. Informationen zum Hinzufügen von Knoten finden Sie unter Größe eines Clusters anpassen.
Wenn Sie Cluster aus verschiedenen Google Cloud-Projekten zu Anthos Service Mesh hinzufügen möchten, müssen sich die Cluster in einer freigegebenen Virtual Private Cloud (VPC) befinden. Informationen zum Konfigurieren Ihrer Cluster finden Sie unter Cluster mit freigegebener VPC einrichten.
Zur Vorbereitung Ihres Clusters vor der Installation von Anthos Service Mesh aktivieren Sie Workload Identity. Workload Identity ist die empfohlene Methode zum Aufrufen von Google APIs. Wenn Sie Workload Identity aktivieren, ändert sich die Art und Weise, wie Aufrufe Ihrer Arbeitslasten an Google APIs gesichert werden. Weitere Informationen hierzu finden Sie unter Einschränkungen bei Workload Identity.
Es wird empfohlen, den Cluster in einer Release-Version zu registrieren. Es wird empfohlen, sich für die Release-Version "Regular" zu registrieren, da andere Versionen möglicherweise auf einer GKE-Version basieren, die mit Anthos Service Mesh nicht unterstützt wird. 1.6.14. Weitere Informationen finden Sie unter Unterstützte Umgebungen. Folgen Sie der Anleitung unter Vorhandenen Cluster in einer Release-Version registrieren, wenn Sie eine statische GKE-Version haben.
Für die Aufnahme in das Service Mesh müssen Dienstports benannt werden und der Name muss das Protokoll des Ports in der folgenden Syntax enthalten:
name: protocol[-suffix], wobei die eckigen Klammern ein optionales Suffix angeben, das mit einem Bindestrich beginnen muss. Weitere Informationen finden Sie unter Dienstports benennen.Wenn Sie Anthos Service Mesh in einem privaten Cluster installieren, müssen Sie Port 15017 in der Firewall öffnen, damit der Webhook mit automatischer Sidecar-Einfügung ordnungsgemäß funktioniert. Weitere Informationen finden Sie unter Port auf einem privaten Cluster öffnen.
Wenn Sie in Ihrer Organisation einen Dienstperimeter erstellt haben, müssen Sie möglicherweise den Mesh CA-Dienst dem Perimeter hinzufügen. Weitere Informationen finden Sie unter Mesh CA einem Dienstperimeter hinzufügen.
Beschränkungen
Mit einem Google Cloud-Projekt kann nur ein Mesh verknüpft sein.
Konfigurationsprofil auswählen
Bei der Installation von Anthos Service Mesh müssen Sie eines der folgenden Konfigurationsprofile auswählen:
asm-gcp: Verwenden Sie dieses Profil, wenn sich alle GKE-Cluster in einem Projekt befinden. Wenn Sie Anthos Service Mesh mit diesem Profil installieren, werden die folgenden Features aktiviert:Mesh-Telemetrie, womit Daten für die Anthos Service Mesh-Dashboards in der Google Cloud Console bereitgestellt werden
Die übrigen unterstützten Standardfeatures, die auf der Seite Unterstützte Features für das Konfigurationsprofil
asm-gcpaufgeführt sind
asm-gcp-multiproject(Beta): Verwenden Sie dieses Profil, wenn sich Ihr Cluster in einer Freigegebenen Virtual Private Cloud und Sie Cluster aus verschiedenen Projekten zu Anthos Service Mesh hinzufügen möchten. Wenn Sie Anthos Service Mesh mit dem Profilasm-gcp-multiprojectinstallieren, gilt Folgendes:Die Anthos Service Mesh-Dashboards in der Google Cloud Console sind derzeit nicht verfügbar. Sie können sich aber für jedes Projekt Logs in Cloud Logging und Messwerte in Cloud Monitoring ansehen.
Die anderen unterstützten Standardfeatures, die auf der Seite Unterstützte Features für das Konfigurationsprofil
asm-gcp-multiprojectaufgeführt sind, sind aktiviert.
Zertifizierungsstelle auswählen
Bei Neuinstallationen und Migrationen haben Sie die Option, die Anthos Service Mesh-Zertifizierungsstelle (Mesh CA) oder Citadel (jetzt in istiod eingebunden) als Zertifizierungsstelle für die Ausstellung gegenseitiger TLS-Zertifikate (mTLS-Zertifikate) zu verwenden.
Im Allgemeinen empfehlen wir, Mesh-CA zu verwenden, denn:
- Mesh CA ist ein zuverlässiger und skalierbarer Dienst, der für dynamisch skalierte Arbeitslasten in Google Cloud optimiert ist.
- Mit Mesh CA verwaltet Google die Sicherheit und Verfügbarkeit des CA-Back-Ends.
- Mesh CA ermöglicht es Ihnen, sich für alle Cluster auf eine einzige Root of Trust zu verlassen.
In einigen Fällen ist es jedoch ratsam, Citadel zu verwenden. Hier einige Beispiele:
- Mit einer benutzerdefinierten Zertifizierungsstelle.
Wenn Sie von Istio oder dem Add-on „Istio on GKE” migrieren.
Wenn Sie Citadel auswählen, gibt es keine Ausfallzeiten, da der mTLS-Traffic während der Migration nicht unterbrochen wird. Wenn Sie Mesh-CA auswählen, müssen Sie die Ausfallzeit für die Migration planen, da der mTLS-Traffic fehlschlägt, bis Sie alle Pods in allen Namespaces neu starten.
Zertifikate der Mesh CA enthalten die folgenden Daten zu den Diensten Ihrer Anwendung:
- Die Google Cloud-Projekt-ID
- Der GKE-Namespace
- Der Name des GKE-Dienstkontos
Support für mehrere Cluster
Obwohl es derzeit nicht erforderlich ist, empfehlen wir die Registrierung Ihres Clusters in der Flotte Ihres Projekts (bisher als Environ bezeichnet). Mit einer Flotte können Sie Cluster organisieren, um die Verwaltung mehrerer Cluster zu vereinfachen. Wenn Sie Ihre Cluster in einer Flotte registrieren, können Sie Dienste und andere Infrastruktur nach Bedarf gruppieren, um einheitliche Richtlinien anzuwenden. Wenn Sie Cluster in verschiedenen Projekten haben, müssen Sie die Cluster beim Flotten-Hostprojekt statt bei dem Projekt registrieren, in dem der Cluster erstellt wurde. Weitere Informationen finden Sie unter Cluster in der Flotte registrieren.
Das Konzept eines Flotten-Hostprojekts ist wichtig, wenn Sie Ihren Cluster einrichten, um die von Anthos Service Mesh benötigten Optionen zu aktivieren. Das Service Mesh für Ihren Cluster wird mit einem Wert identifiziert, der auf einer Projektnummer basiert. Wenn Sie Cluster aus verschiedenen Projekten einrichten, müssen Sie die Projektnummer für das Flotten-Hostprojekt verwenden.