En esta guía, se explica cómo realizar una instalación limpia de la versión de Anthos Service Mesh en un clúster existente de GKE en VMware. Si tienes instalada una versión anterior de Anthos Service Mesh, consulta Actualiza Anthos Service Mesh en GKE en VMware.
La instalación habilita las características compatibles en tu clúster para el perfil de configuración asm-multicloud
.
Acerca de los componentes del plano de control
GKE on VMware incluye los siguientes componentes de Istio preinstalados:
- Citadel está instalado en el espacio de nombres
kube-system
. - Pilot y la puerta de enlace de entrada de Istio están instalados en el espacio de nombres
gke-system
.
GKE on VMware usa estos componentes para habilitar la entrada y asegurar la comunicación entre los componentes controlados por Google. Si solo necesitas la funcionalidad de entrada, no necesitas instalar OSS Istio ni Anthos Service Mesh. Para obtener más información sobre cómo configurar la entrada, consulta Habilita la entrada.
Cuando instalas Anthos Service Mesh, sus componentes se instalan en el espacio de nombres istio-system
. Debido a que los componentes de Anthos Service Mesh están en un espacio de nombres diferente, no entran en conflicto con los componentes de Istio preinstalados de GKE en VMware.
Antes de comenzar
Revisa los siguientes requisitos antes de comenzar la configuración.
Requisitos
Debes tener una suscripción a Anthos. Como alternativa, la opción de facturación prepaga está disponible solo para GKE Enterprise en Google Cloud. Para obtener más información, consulta la guía de precios de GKE Enterprise.
Asegúrate de que el clúster de usuario en el que instales Anthos Service Mesh tenga al menos 4 CPU virtuales, 15 GB de memoria y 4 réplicas.
Debes asignar un nombre a los puertos de servicio con la siguiente sintaxis:
name: protocol[-suffix]
, en la que los corchetes indican un sufijo opcional que debe comenzar con un guion. Para obtener más información, consulta Asigna nombres a puertos de servicio.Verifica que la versión del clúster se enumere en los entornos compatibles. Para verificar la versión del clúster, puedes usar la herramienta de línea de comandos de
gkectl
.gkectl version
Un resultado correcto se verá de la siguiente manera:
Si no tienes
gkectl
instalado, consulta Descargas de GKE On-Prem.
Configura tu entorno
Necesitas tener las siguientes herramientas en la máquina en la que deseas instalar Anthos Service Mesh. Ten en cuenta que solo puedes instalar Anthos Service Mesh en un clúster de usuario, no en uno de administrador.
- La herramienta de línea de comandos de
curl
- Google Cloud CLI.
Después de instalar la CLI de gcloud:
Autentica con la CLI de gcloud:
gcloud auth login
Actualiza los componentes:
gcloud components update
Instala
kubectl
:gcloud components install kubectl
Si deseas implementar y probar tu instalación con la aplicación de muestra de Boutique en línea, instala
kpt
:gcloud components install kpt
Cambia el contexto al clúster de usuario (si es necesario):
kubectl config use-context CLUSTER_NAME
Otorga permisos de administrador de clúster a tu cuenta de usuario (tu dirección de correo electrónico de acceso de Google Cloud). Estos permisos son obligatorios a fin de crear las reglas de control de acceso basado en funciones (RBAC) necesarias para Anthos Service Mesh:
kubectl create clusterrolebinding cluster-admin-binding \ --clusterrole=cluster-admin \ --user=USER_ACCOUNT
Descarga el archivo de instalación
-
Descarga el archivo de instalación de Anthos Service Mesh en el directorio de trabajo actual:
curl -LO -linux-amd64.tar.gz
-
Descarga el archivo de firma y usa
openssl
para verificar la firma:curl -LO -linux-amd64.tar.gz.1.sig openssl dgst -verify /dev/stdin -signature -linux-amd64.tar.gz.1.sig -linux-amd64.tar.gz <<'EOF' -----BEGIN PUBLIC KEY----- MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw== -----END PUBLIC KEY----- EOF
El resultado esperado es:
Verified OK
. -
Extrae el contenido del archivo a cualquier ubicación en tu sistema de archivos. Por ejemplo, para extraer el contenido en el directorio de trabajo actual, ingresa este comando:
tar xzf -linux-amd64.tar.gz
El comando crea un directorio de instalación en tu directorio de trabajo actual llamado
que contiene lo siguiente:
- Hay aplicaciones de muestra en el directorio
samples
. - La herramienta de línea de comandos de
istioctl
que usas para instalar Anthos Service Mesh se encuentra en el directoriobin
. - Los perfiles de configuración de Anthos Service Mesh se encuentran en el directorio
install/kubernetes/operator/profiles
.
- Hay aplicaciones de muestra en el directorio
-
Descarga el archivo de instalación de Anthos Service Mesh en el directorio de trabajo actual:
curl -LO -osx.tar.gz
-
Descarga el archivo de firma y usa
openssl
para verificar la firma:curl -LO -osx.tar.gz.1.sig openssl dgst -sha256 -verify /dev/stdin -signature -osx.tar.gz.1.sig -osx.tar.gz <<'EOF' -----BEGIN PUBLIC KEY----- MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw== -----END PUBLIC KEY----- EOF
El resultado esperado es:
Verified OK
. -
Extrae el contenido del archivo a cualquier ubicación en tu sistema de archivos. Por ejemplo, para extraer el contenido en el directorio de trabajo actual, ingresa este comando:
tar xzf -osx.tar.gz
El comando crea un directorio de instalación en tu directorio de trabajo actual llamado
que contiene lo siguiente:
- Hay aplicaciones de muestra en el directorio
samples
. - La herramienta de línea de comandos de
istioctl
que usas para instalar Anthos Service Mesh se encuentra en el directoriobin
. - Los perfiles de configuración de Anthos Service Mesh se encuentran en el directorio
install/kubernetes/operator/profiles
.
- Hay aplicaciones de muestra en el directorio
-
Descarga el archivo de instalación de Anthos Service Mesh en el directorio de trabajo actual:
curl -LO -win.zip
-
Descarga el archivo de firma y usa
openssl
para verificar la firma:curl -LO -win.zip.1.sig openssl dgst -verify - -signature -win.zip.1.sig -win.zip <<'EOF' -----BEGIN PUBLIC KEY----- MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw== -----END PUBLIC KEY----- EOF
El resultado esperado es:
Verified OK
. -
Extrae el contenido del archivo a cualquier ubicación en tu sistema de archivos. Por ejemplo, para extraer el contenido en el directorio de trabajo actual, ingresa este comando:
tar xzf -win.zip
El comando crea un directorio de instalación en tu directorio de trabajo actual llamado
que contiene lo siguiente:
- Hay aplicaciones de muestra en el directorio
samples
. - La herramienta de línea de comandos de
istioctl
que usas para instalar Anthos Service Mesh se encuentra en el directoriobin
. - Los perfiles de configuración de Anthos Service Mesh se encuentran en el directorio
install/kubernetes/operator/profiles
.
- Hay aplicaciones de muestra en el directorio
-
Asegúrate de estar en el directorio raíz de la instalación de Anthos Service Mesh.
cd
-
Para mayor comodidad, agrega las herramientas que contiene el directorio
/bin
a tu ruta de acceso (PATH).export PATH=$PWD/bin:$PATH
Linux
macOS
Windows
Crea el espacio de nombres istio-system
Crea un espacio de nombres llamado istio-system para los componentes del plano de control:
kubectl create namespace istio-system
Configura el webhook de validación
Cuando instales Anthos Service Mesh, configura una etiqueta de revisión en istiod
. Debes configurar la misma revisión en el webhook de validación.
Guarda el siguiente YAML en un archivo llamado istiod-service.yaml
:
apiVersion: v1
kind: Service
metadata:
name: istiod
namespace: istio-system
labels:
istio.io/rev:
app: istiod
istio: pilot
release: istio
spec:
ports:
- port: 15010
name: grpc-xds # plaintext
protocol: TCP
- port: 15012
name: https-dns # mTLS with k8s-signed cert
protocol: TCP
- port: 443
name: https-webhook # validation and injection
targetPort: 15017
protocol: TCP
- port: 15014
name: http-monitoring # prometheus stats
protocol: TCP
selector:
app: istiod
istio.io/rev:
Instala Anthos Service Mesh
Ejecuta el siguiente comando para instalar Anthos Service Mesh mediante el perfil
asm-multicloud
. Si deseas habilitar una función compatible opcional, incluye-f
y el nombre del archivo YAML en la siguiente línea de comandos. Consulta Habilita funciones opcionales para obtener más información.istioctl install \ --set profile=asm-multicloud \ --set revision=
El argumento
--set revision
agrega una etiqueta de revisión con el formatoistio.io/rev=
aistiod
. El webhook automático de inyector de sidecar usa la etiqueta de revisión para asociar los sidecars insertados con una revisiónistiod
particular. Para habilitar la inserción automática del sidecar para un espacio de nombres, debes etiquetarlo con una revisión que coincida con la etiqueta enistiod
.Configura el webhook de validación para que pueda encontrar el servicio
istiod
con la etiqueta de revisión:kubectl apply -f istiod-service.yaml
Este comando crea una entrada de servicio que permite que el webhook de validación verifique de manera automática las configuraciones antes de que se apliquen.
La TLS mutua automática (mTLS automática) está habilitada de forma predeterminada. Con la mTLS automática, un proxy de sidecar de cliente detecta si el servidor tiene un sidecar de forma automática. El sidecar del cliente envía mTLS a las cargas de trabajo con sidecars y envía tráfico de texto sin formato a las cargas de trabajo sin sidecars.
Verifica los componentes del plano de control
Comprueba que los pods del plano de control en istio-system
se encuentren en ejecución:
kubectl get pod -n istio-system
El resultado esperado es similar al siguiente:
NAME READY STATUS RESTARTS AGE istio-ingressgateway-74cc894bfd-786rg 1/1 Running 0 7m19s istiod-78cdbbbdb-d7tps 1/1 Running 0 7m36s promsd-576b8db4d6-lqf64 2/2 Running 1 7m19s
Inserta proxies de sidecar
Anthos Service Mesh usa proxies de sidecar para mejorar la seguridad, confiabilidad y observabilidad de la red. Con Anthos Service Mesh, estas funciones se abstraen del contenedor principal de la aplicación y se implementan en un proxy común fuera del proceso, que se entrega como un contenedor separado en el mismo pod.
Antes de implementar las cargas de trabajo, configura la inserción del proxy de sidecar para que Anthos Service Mesh pueda supervisar y asegurar el tráfico.
Todas las cargas de trabajo que se ejecutan en tu clúster antes de instalar Anthos Service Mesh deben tener el proxy de sidecar incorporado o actualizado para que tengan la versión actual de Anthos Service Mesh. Antes de implementar las cargas de trabajo nuevas, configura la inserción del proxy de sidecar para que Anthos Service Mesh pueda supervisar y asegurar el tráfico.
Para habilitar la inserción automática del sidecar, debes etiquetar los espacios de nombres con la misma revisión que estableciste en istiod
. Ejecuta el siguiente comando para mostrar las etiquetas en istiod
:
kubectl -n istio-system get pods -l app=istiod --show-labels
Confirma que la etiqueta de revisión, istio.io/rev=
, esté en el resultado. Esta es la etiqueta que usarás para habilitar la inserción automática. Puedes habilitar la inserción automática con un comando, por ejemplo:
kubectl label namespace NAMESPACE istio-injection- istio.io/rev= --overwrite
En el ejemplo anterior, NAMESPACE
es el nombre del espacio de nombres de los servicios de tu aplicación o es default
si no creaste un espacio de nombres de forma explícita.
Para obtener más información, consulta Incorpora proxies de sidecar.
Configura una dirección IP externa
La instalación predeterminada de Anthos Service Mesh supone que se asigna una dirección IP externa a los servicios LoadBalancer
de forma automática. Esto no es así en GKE en VMware. Debido a esto, debes asignar una dirección IP de forma manual para el recurso de entrada de puerta de enlace de entrada de Anthos.
Para configurar una dirección IP externa, sigue una de las secciones que se encuentran a continuación, según el modo de balanceo de cargas de tu clúster:
Configura el modo de balanceo de cargas integrado
Abre la configuración del servicio
istio-ingressgateway
:kubectl edit svc -n istio-system istio-ingressgateway
La configuración del servicio
istio-ingressgateway
se abre en el editor de texto predeterminado de tu shell.En el archivo, agrega la siguiente línea debajo del bloque de especificación (
spec
):loadBalancerIP: <your static external IP address>
Por ejemplo:
spec: loadBalancerIP: 203.0.113.1
Guarda el archivo.
Configura el modo de balanceo de cargas manual
Para exponer un servicio de tipo NodePort con una VIP en el balanceador de cargas seleccionado, primero debes averiguar los valores de nodePort
:
Visualiza la configuración del servicio
istio-ingressgateway
en tu shell:kubectl get svc -n istio-system istio-ingressgateway -o yaml
Se muestran cada uno de los puertos para las puertas de enlace de Anthos Service Mesh. El resultado del comando es similar al siguiente:
... ports: - name: status-port nodePort: 30391 port: 15020 protocol: TCP targetPort: 15020 - name: http2 nodePort: 31380 port: 80 protocol: TCP targetPort: 80 - name: https nodePort: 31390 port: 443 protocol: TCP targetPort: 443 - name: tcp nodePort: 31400 port: 31400 protocol: TCP targetPort: 31400 - name: https-kiali nodePort: 31073 port: 15029 protocol: TCP targetPort: 15029 - name: https-prometheus nodePort: 30253 port: 15030 protocol: TCP targetPort: 15030 - name: https-grafana nodePort: 30050 port: 15031 protocol: TCP targetPort: 15031 - name: https-tracing nodePort: 31204 port: 15032 protocol: TCP targetPort: 15032 - name: tls nodePort: 30158 port: 15443 protocol: TCP targetPort: 15443 ...
Expón estos puertos a través del balanceador de cargas.
Por ejemplo, el puerto de servicio llamado
http2
tieneport
80 ynodePort
31380. Supongamos que las direcciones de nodos de tu clúster de usuario son192.168.0.10
,192.168.0.11
y192.168.0.12
, y la VIP del balanceador de cargas es203.0.113.1
.Configura el balanceador de cargas para que el tráfico enviado a
203.0.113.1:80
se reenvíe a192.168.0.10:31380
,192.168.0.11:31380
o192.168.0.12:31380
. Puedes seleccionar los puertos de servicio que deseas exponer en esta VIP determinada.