Questa guida spiega come preparare il progetto Google Cloud, configurare un cluster GKE esistente e installare la versione 1.6.14 di Anthos Service Mesh. Puoi utilizzare questa guida per i seguenti casi d'uso:
Nuove installazioni di Anthos Service Mesh. Se hai installato una versione precedente di Anthos Service Mesh, consulta l'articolo Upgrade di Anthos Service Mesh su GKE.
Migrazione da Istio 1.6 open source ad Anthos Service Mesh.
Migrazione dalla versione 1.6 del componente aggiuntivo Istio su GKE ad Anthos Service Mesh. Prima di poter eseguire la migrazione ad Anthos Service Mesh, devi aver eseguito l'upgrade a Istio 1.6 con Operator.
Per le nuove installazioni e migrazioni, se tutti i cluster che stai configurando sono nello stesso progetto Google Cloud, ti consigliamo di utilizzare Installazione e migrazione su GKE, che semplifica l'installazione e la migrazione utilizzando uno script.
Prima di iniziare
Questa guida presuppone che tu abbia già:
- Un progetto Google Cloud.
- Un account di fatturazione Cloud.
- Un cluster GKE che soddisfi i requisiti.
Differenze tra Anthos e Anthos Service Mesh
Gli abbonati a GKE Enterprise devono abilitare l'API GKE Enterprise.
Se non sei un abbonato a GKE Enterprise, puoi comunque installare Anthos Service Mesh, ma alcuni elementi e funzionalità dell'interfaccia utente nella console Google Cloud sono disponibili solo per gli abbonati a GKE Enterprise. Per informazioni su ciò che è disponibile per gli abbonati e i non abbonati, consulta Differenze nell'interfaccia utente di GKE Enterprise e Anthos Service Mesh. Per informazioni sui prezzi di Anthos Service Mesh per i non abbonati, consulta i prezzi.
Requisiti
Il cluster GKE deve soddisfare i seguenti requisiti:
Un tipo di macchina con almeno quattro vCPU, ad esempio
e2-standard-4. Se il tipo di macchina per il cluster non ha almeno quattro vCPU, cambia il tipo di macchina come descritto in Migrazione di carichi di lavoro in tipi di macchine diversi.Il numero minimo di nodi dipende dal tipo di macchina. Anthos Service Mesh richiede almeno 8 vCPU. Se il tipo di macchina ha 4 vCPU, il cluster deve avere almeno due nodi. Se il tipo di macchina ha otto vCPU, il cluster ha bisogno di un solo nodo. Se devi aggiungere nodi, consulta Ridimensionamento di un cluster.
Se vuoi aggiungere cluster da diversi progetti Google Cloud ad Anthos Service Mesh, i cluster devono trovarsi in un Virtual Private Cloud condiviso (VPC). Per informazioni sulla configurazione dei cluster, consulta Configurazione dei cluster con un VPC condiviso.
Per preparare il cluster prima di installare Anthos Service Mesh, devi abilitare Workload Identity. Workload Identity è il metodo consigliato per chiamare le API di Google. L'abilitazione di Workload Identity cambia il modo in cui vengono protette le chiamate dai carichi di lavoro alle API di Google, come descritto in Limitazioni di Workload Identity.
Facoltativamente, ma consigliato, registra il cluster in un canale di rilascio. Ti consigliamo di registrarti al canale di rilascio regolare perché altri canali potrebbero essere basati su una versione di GKE non supportata con Anthos Service Mesh 1.6.14. Per ulteriori informazioni, consulta la sezione Ambienti supportati. Segui le istruzioni riportate in Registrare un cluster esistente in un canale di rilascio se hai una versione GKE statica.
Per essere incluse nel mesh di servizi, è necessario assegnare un nome alle porte di servizio, che deve includere il protocollo della porta nella seguente sintassi:
name: protocol[-suffix]dove le parentesi quadre indicano un suffisso facoltativo che deve iniziare con un trattino. Per maggiori informazioni, consulta Denominazione delle porte dei servizi.Se stai installando Anthos Service Mesh su un cluster privato, devi aprire la porta 15017 nel firewall per far funzionare correttamente il webhook utilizzato con l'inserimento automatico di sidecar. Per maggiori informazioni, consulta Apertura di una porta su un cluster privato.
Se hai creato un perimetro di servizio nell'organizzazione, potrebbe essere necessario aggiungere il servizio Mesh CA al perimetro. Per ulteriori informazioni, consulta Aggiunta di Mesh CA a un perimetro di servizio.
Limitazioni
A un progetto Google Cloud è possibile associare un solo mesh.
Scegliere un profilo di configurazione
Quando installi Anthos Service Mesh, devi scegliere uno dei seguenti profili di configurazione:
asm-gcp: utilizza questo profilo se tutti i cluster GKE si trovano nello stesso progetto. Quando installi Anthos Service Mesh con questo profilo, vengono abilitate le seguenti funzionalità:Telemetria mesh, che fornisce dati alle dashboard Anthos Service Mesh nella console Google Cloud.
Le altre funzionalità predefinite supportate elencate nella pagina Funzionalità supportate per il profilo di configurazione
asm-gcp.
asm-gcp-multiproject(beta): utilizza questo profilo se il tuo cluster si trova in un Virtual Private Cloud condiviso e vuoi aggiungere cluster di progetti diversi ad Anthos Service Mesh. Quando installi Anthos Service Mesh utilizzando il profiloasm-gcp-multiproject:Le dashboard di Anthos Service Mesh nella console Google Cloud al momento non sono disponibili. Tuttavia, puoi comunque visualizzare i log in Cloud Logging e le metriche in Cloud Monitoring per ciascun progetto.
Le altre funzionalità predefinite supportate elencate nella pagina Funzionalità supportate per il profilo di configurazione
asm-gcp-multiprojectsono abilitate.
Scelta di un'autorità di certificazione
Sia per le nuove installazioni che per le migrazioni, puoi utilizzare
l'autorità di certificazione Anthos Service Mesh (Mesh CA) o
Citadel
(ora incorporata in istiod) come autorità di certificazione (CA) per emettere certificati
TLS reciproca (mTLS).
In genere consigliamo di utilizzare Mesh CA per i seguenti motivi:
- Mesh CA è un servizio altamente affidabile e scalabile, ottimizzato per carichi di lavoro con scalabilità dinamica su Google Cloud.
- Con Mesh CA, Google gestisce la sicurezza e la disponibilità del backend della CA.
- Mesh CA consente di fare affidamento su un'unica radice di attendibilità tra i cluster.
Tuttavia, in alcuni casi potresti prendere in considerazione l'utilizzo di Citadel, ad esempio:
- Se hai una CA personalizzata,
Se esegui la migrazione da Istio o dal componente aggiuntivo Istio on GKE.
Se scegli Citadel, non ci sono tempi di inattività perché il traffico mTLS non viene interrotto durante la migrazione. Se scegli Mesh CA, devi pianificare il tempo di inattività per la migrazione perché il traffico mTLS non riesce finché non riavvii tutti i pod in tutti gli spazi dei nomi.
I certificati di Mesh CA includono i seguenti dati sui servizi dell'applicazione:
- ID progetto Google Cloud
- Lo spazio dei nomi GKE
- Il nome dell'account di servizio GKE
Supporto multi-cluster
Sebbene non sia attualmente obbligatorio, ti consigliamo di registrare il cluster nel parco risorse del progetto (precedentemente noto come environ). che consente di organizzare i cluster per semplificare la gestione multi-cluster. Registrando i cluster in un parco risorse, puoi raggruppare servizi e altre infrastrutture in base alle esigenze per applicare criteri coerenti. Se hai cluster in progetti diversi, devi registrarli nel progetto host del parco risorse anziché con il progetto in cui è stato creato il cluster. Per ulteriori informazioni, consulta Registrazione dei cluster nel parco risorse.
Il concetto di progetto host del parco risorse è importante quando configuri il cluster per abilitare le opzioni richieste da Anthos Service Mesh. Il mesh di servizi per il tuo cluster è identificato con un valore basato su un numero di progetto. Quando configuri cluster da progetti diversi, devi utilizzare il numero di progetto per il progetto host del parco risorse.