Anthos Service Mesh 1.6 已达到服务终止期限，不再受支持。请参阅从早期版本升级。

查看最新文档或选择其他可用版本：

可用版本

在本地降级 Anthos Service Mesh

本指南介绍了如何在 GKE on VMware 上将 Anthos Service Mesh 从 1.6.14 降级为 1.5.10。

重新部署 Anthos Service Mesh 控制层面组件大约需要 5 到 10 分钟才能完成。此外，您需要在所有工作负载中注入新的 Sidecar 代理，以便这些 Sidecar 代理通过当前 Anthos Service Mesh 版本进行更新。更新 Sidecar 代理所需的时间取决于多种因素，例如 Pod 数量、节点数量、部署扩缩设置、Pod 中断预算和其他配置设置。更新 Sidecar 代理所需的时间估计约为每分钟 100 个 Pod。

降级概览

本部分概述了降级 Anthos Service Mesh 所需执行的步骤。

准备

查看支持的功能和本指南，熟悉这些功能和降级流程。
如果您在安装以前版本的 Anthos Service Mesh 时启用了可选功能，则需要在降级时启用相同的功能。如需启用可选功能，您可以添加 --set values 标志，或在运行 istioctl install 命令时通过 YAML 文件指定 -f 标志。

注意：省略 --set values 标志或 YAML 文件中的 -f 标志时，安装仍然会成功。但是，它的配置不同于您的预期，因为重新部署 Anthos Service Mesh 时，省略的值会重置回默认值。运行 istioctl install 以降级到 1.6.14 时，您需要使用相同的标志。

降级

按照本指南中的步骤准备 Anthos Service Mesh 降级。
降级 Anthos Service Mesh。
更新边车代理
测试您的应用，验证工作负载是否正常工作。

设置您的环境

在要安装 Anthos Service Mesh 的机器上，您需要以下工具。请注意，您只能在用户集群上安装 Anthos Service Mesh，不能在管理员集群上安装。

curl 命令行工具。
Google Cloud CLI。

安装 Google Cloud CLI 后：

使用 Google Cloud CLI 进行身份验证：
```
gcloud auth login
```
更新组件：
```
gcloud components update
```
安装 kubectl：
```
gcloud components install kubectl
```

安装所需的 kpt 版本：

   curl -L https://github.com/GoogleContainerTools/kpt/releases/download/v0.39.2/kpt_linux_amd64 > kpt_0_39_2
   chmod +x kpt_0_39_2
   alias kpt="$(readlink -f kpt_0_39_2)"

将上下文切换到用户集群：
```
kubectl config use-context CLUSTER_NAME
```
向您的用户账号（您的 Google Cloud 登录电子邮件地址）授予集群管理员权限。您需要这些权限，以便为 Anthos Service Mesh 创建必要的基于角色的访问权限控制 (RBAC) 规则：
```
kubectl create clusterrolebinding cluster-admin-binding \
  --clusterrole=cluster-admin \
  --user=USER_ACCOUNT
```

下载安装文件

Linux

将 Anthos Service Mesh 安装文件下载到当前工作目录中：

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.5.10-asm.2-linux.tar.gz

下载签名文件并使用 openssl 验证签名：

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.5.10-asm.2-linux.tar.gz.1.sig
openssl dgst -verify /dev/stdin -signature istio-1.5.10-asm.2-linux.tar.gz.1.sig istio-1.5.10-asm.2-linux.tar.gz <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

预期输出为 Verified OK

将文件内容提取到文件系统上的任意位置。例如，如需将内容提取到当前工作目录，请运行以下命令：

tar xzf istio-1.5.10-asm.2-linux.tar.gz

该命令会在当前工作目录中创建一个名为 istio-1.5.10-asm.2 的安装目录，其中包含：

samples 目录中的示例应用。
用于安装 Anthos Service Mesh 的 istioctl 命令行工具位于 bin 目录中。
Anthos Service Mesh 配置文件位于 manifests/profiles 目录中。

Mac OS

将 Anthos Service Mesh 安装文件下载到当前工作目录中：

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.5.10-asm.2-osx.tar.gz

下载签名文件并使用 openssl 验证签名：

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.5.10-asm.2-osx.tar.gz.1.sig
openssl dgst -sha256 -verify /dev/stdin -signature istio-1.5.10-asm.2-osx.tar.gz.1.sig istio-1.5.10-asm.2-osx.tar.gz <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

预期输出为 Verified OK

将文件内容提取到文件系统上的任意位置。例如，如需将内容提取到当前工作目录，请运行以下命令：

tar xzf istio-1.5.10-asm.2-osx.tar.gz

该命令会在当前工作目录中创建一个名为 istio-1.5.10-asm.2 的安装目录，其中包含：

samples 目录中的示例应用。
用于安装 Anthos Service Mesh 的 istioctl 命令行工具位于 bin 目录中。
Anthos Service Mesh 配置文件位于 manifests/profiles 目录中。

Windows

将 Anthos Service Mesh 安装文件下载到当前工作目录中：

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.5.10-asm.2-win.zip

下载签名文件并使用 openssl 验证签名：

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.5.10-asm.2-win.zip.1.sig
openssl dgst -verify - -signature istio-1.5.10-asm.2-win.zip.1.sig istio-1.5.10-asm.2-win.zip <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

预期输出为 Verified OK

将文件内容提取到文件系统上的任意位置。例如，如需将内容提取到当前工作目录，请运行以下命令：

tar xzf istio-1.5.10-asm.2-win.zip

该命令会在当前工作目录中创建一个名为 istio-1.5.10-asm.2 的安装目录，其中包含：

samples 目录中的示例应用。
用于安装 Anthos Service Mesh 的 istioctl 命令行工具位于 bin 目录中。
Anthos Service Mesh 配置文件位于 manifests/profiles 目录中。

确保您位于 Anthos Service Mesh 安装的根目录。
```
cd istio-1.5.10-asm.2
```
为方便起见，请将 /bin 目录中的工具添加到 PATH：
```
export PATH=$PWD/bin:$PATH
```

降级 Anthos Service Mesh

如需降级 Anthos Service Mesh，请执行以下操作：

istioctl install --set profile=asm-multicloud

检查控制层面组件

降级需要重新安装控制层面组件，此过程大约需要 5 到 10 分钟才能完成。旧的控制层面组件会被终止，然后在安装新组件时被删除。您可以通过查看工作负载的 AGE 列中的值来检查进度。

kubectl get pod -n istio-system

输出示例：

NAME                                     READY   STATUS        RESTARTS   AGE
istio-ingressgateway-5bfdf7c586-v6wxx    2/2     Terminating   0          25m
istio-ingressgateway-7b598c5557-b88md    2/2     Running       0          5m44s
istiod-78cdbbbdb-d7tps                   1/1     Running       0          5m16s
promsd-576b8db4d6-lqf64                  2/2     Running       1          5m26s

在此示例中，有两个 istio-ingressgateway 实例。系统正在终止 AGE 列中具有 25m 的实例。所有其他组件均为新安装组件。

更新边车代理

降级之前在集群上运行的任何工作负载都需要重新注入边车代理，以使其具有当前 Anthos Service Mesh 版本。

借助自动 Sidecar 注入，您可以通过 pod 重启来更新现有 pod 的 Sidecar。如何重启 pod 取决于 pod 是否在 Deployment 中创建。

如果您使用了 Deployment，请重启 Deployment，这会重启所有安装了 Sidecar 的 Pod：
```
kubectl rollout restart deployment -n YOUR_NAMESPACE
```
如果您未使用 Deployment，请删除 Pod，系统会自动重新创建 Pod 及其 Sidecar：
```
kubectl delete pod -n YOUR_NAMESPACE --all
```
检查命名空间中的所有 Pod 是否都已注入 Sidecar：
```
kubectl get pod -n YOUR_NAMESPACE
```
在上一个命令的以下示例输出中，注意 READY 列表示每个工作负载均有两个容器：主容器和边车代理的容器。
```
NAME                    READY   STATUS    RESTARTS   AGE
YOUR_WORKLOAD           2/2     Running   0          20s
...
```