Instalação e migração de vários projetos para GKE

Neste guia, explicamos como instalar ou migrar para o Anthos Service Mesh usando o Istio de código aberto para uma malha que contém vários clusters do GKE no que estão em diferentes projetos do Google Cloud.

Use o guia para estes casos de uso:

  • Novas instalações do Anthos Service Mesh 1.8.6.

  • Como migrar do Istio 1.7 or 1.8 de código aberto para o Anthos Service Mesh 1.8.6. Se você tiver uma versão anterior do Istio, será preciso fazer o upgrade antes de migrar para o Anthos Service Mesh.

Nem todos os recursos estão disponíveis para uma malha de serviço com clusters em projetos diferentes. Especificamente, os painéis do Anthos Service Mesh no Console do Google Cloud não estão disponíveis no momento. No entanto, ainda é possível ver registros no Cloud Logging e métricas no Cloud Monitoring de cada projeto.

Antes de começar

Veja o que é necessário para seguir este guia:

Se você estiver migrando do Istio, leia o artigo Como se preparar para migrar do Istio.

Diferenças entre o Anthos e o Anthos Service Mesh

  • Os assinantes do GKE Enterprise precisam ativar a API GKE Enterprise.

    Ativar a API

  • Mesmo que você não seja um assinante do GKE Enterprise, ainda é possível instalar o Anthos Service Mesh, mas alguns elementos e recursos da IU no console do Google Cloud estão disponíveis apenas para assinantes do GKE Enterprise. Para informações sobre o que está disponível para assinantes e não assinantes, consulte Diferenças na interface do GKE Enterprise e Anthos Service Mesh. Para informações sobre os preços do Anthos Service Mesh para não assinantes, consulte Preços.

Requisitos

Como escolher uma autoridade de certificação

Para novas instalações e migrações, é possível usar a autoridade de certificação do Anthos Service Mesh (Mesh CA) ou o Citadel (agora incorporado em istiod) como a autoridade de certificação (CA) para emitir certificados TLS mútuos (mTLS) (em inglês).

Recomendamos que você use a Mesh CA pelos seguintes motivos:

  • A Mesh CA é um serviço altamente confiável e escalonável, otimizado para cargas de trabalho escalonadas dinamicamente no Google Cloud.
  • Com ela, o Google gerencia a segurança e a disponibilidade do back-end da CA.
  • Esta autoridade de certificação possibilita confiar em uma única raiz de confiança entre os clusters.

No entanto, há casos em que é recomendável usar o Citadel, como os seguintes:

  • Se você tiver uma CA personalizada.
  • Se você estiver migrando do Istio.

    Caso você escolha o Citadel, o tempo de inatividade será breve porque o tráfego mTLS não será interrompido durante a migração. Se você escolher Mesh CA, será necessário agendar o tempo de inatividade para a migração, porque a raiz da confiança é alterada de Citadel para Mesh CA. Para concluir a migração para a raiz de confiança da Mesh CA, é necessário reiniciar todos os pods em todos os namespaces. Durante esse processo, os pods antigos não podem estabelecer conexões mTLS com os novos pods.

Os certificados do Mesh CA incluem os seguintes dados sobre os serviços do aplicativo:

  • O ID do projeto do Google Cloud
  • O namespace do GKE
  • O nome da conta de serviço do GKE

Como registrar o cluster

Embora não seja obrigatório no momento, recomendamos que você registre o cluster na frota (anteriormente conhecida como ambiente) do projeto. Uma frota permite organizar clusters para facilitar o gerenciamento de vários deles. Ao registrar os clusters em uma frota, é possível agrupar serviços e outras infraestruturas conforme necessário para aplicar políticas consistentes. Se você tiver clusters em projetos diferentes, será necessário registrar os clusters com o projeto host da frota e não com o projeto em que o cluster foi criado. Para saber detalhes sobre como registrar o cluster, consulte Como registrar clusters na frota.

O conceito de um projeto host de frota é importante ao configurar o cluster para ativar as opções exigidas pelo Anthos Service Mesh. A malha de serviço do cluster é identificada com um valor baseado em um número de projeto. Ao configurar clusters em diferentes projetos, você precisa usar o número do projeto host da frota.