Mettre à niveau Anthos Service Mesh sur site

Ce guide explique comment mettre à niveau Anthos Service Mesh de la version 1.7.3+ or a 1.8 patch release vers la version 1.8.6 sur GKE sur VMware. Les mises à niveau à partir de versions antérieures ne sont pas acceptées. Si vous disposez d'une version antérieure et que vous devez la mettre à niveau, consultez la page Mise à niveau à partir de versions précédentes.

Le redéploiement des composants du plan de contrôle d'Anthos Service Mesh prend environ 5 à 10 minutes. En outre, vous devez injecter de nouveaux proxys side-car dans toutes vos charges de travail afin qu'elles soient mises à jour avec la version actuelle d'Anthos Service Mesh. Le temps nécessaire à la mise à jour des proxys side-car dépend de nombreux facteurs, tels que le nombre de pods, le nombre de nœuds, les paramètres de scaling du déploiement, les budgets d'interruption de pod et d'autres paramètres de configuration. Une estimation approximative du temps nécessaire à la mise à jour des proxys side-car est de 100 pods par minute.

Préparer la mise à niveau

Si vous avez personnalisé l'installation précédente, vous avez besoin des mêmes personnalisations lors de la mise à niveau vers Anthos Service Mesh. Si vous avez personnalisé l'installation en ajoutant l'option --set values à istioctl install, nous vous recommandons d'ajouter ces paramètres à un fichier YAML IstioOperator (bien que vous puissiez continuer à utiliser l'option --set_values). Pour personnaliser l'installation, spécifiez l'option -f avec un fichier YAML lorsque vous exécutez la commande istioctl install.

Configurer votre environnement

Vous devez disposer des outils suivants sur la machine à partir de laquelle vous souhaitez installer Anthos Service Mesh. Notez que vous ne pouvez installer Anthos Service Mesh que sur un cluster d'utilisateur, et non sur un cluster d'administrateur.

• Outil de ligne de commande curl
• Google Cloud CLI.

Après avoir installé Google Cloud CLI :

1. Authentifiez-vous avec Google Cloud CLI :

   gcloud auth login
   

2. Mettez à jour les composants :

   gcloud components update
   

3. Installez kubectl :

   gcloud components install kubectl
   

4. Installez la version requise de kpt :

      curl -L https://github.com/GoogleContainerTools/kpt/releases/download/v0.39.2/kpt_linux_amd64 > kpt_0_39_2
      chmod +x kpt_0_39_2
      alias kpt="$(readlink -f kpt_0_39_2)"
   

5. Basculez le contexte vers votre cluster d'utilisateur :

   kubectl config use-context CLUSTER_NAME

6. Accordez des autorisations d'administrateur de cluster à votre compte utilisateur (votre adresse e-mail de connexion Google Cloud). Vous avez besoin de ces autorisations pour créer les règles de contrôle d'accès basé sur les rôles (RBAC) nécessaires pour Anthos Service Mesh :

   kubectl create clusterrolebinding cluster-admin-binding \
     --clusterrole=cluster-admin \
     --user=USER_ACCOUNT

Télécharger le fichier d'installation

Linux

Téléchargez le fichier d'installation d'Anthos Service Mesh dans votre répertoire de travail actuel :

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.8.6-asm.8-linux-amd64.tar.gz

Téléchargez le fichier de signature et utilisez openssl pour valider la signature :

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.8.6-asm.8-linux-amd64.tar.gz.1.sig
openssl dgst -verify /dev/stdin -signature istio-1.8.6-asm.8-linux-amd64.tar.gz.1.sig istio-1.8.6-asm.8-linux-amd64.tar.gz <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

La sortie attendue est Verified OK.

Extrayez le contenu du fichier vers n’importe quel emplacement de votre système de fichiers. Par exemple, pour extraire le contenu vers le répertoire de travail actuel :

tar xzf istio-1.8.6-asm.8-linux-amd64.tar.gz

La commande crée un répertoire d'installation dans votre répertoire de travail actuel, nommé istio-1.8.6-asm.8, et qui contient les éléments suivants:

• Des exemples d'applications dans le répertoire samples
• L'outil de ligne de commande istioctl que vous utilisez pour installer Anthos Service Mesh se trouve dans le répertoire bin.
• Les profils de configuration d'Anthos Service Mesh qui se trouvent dans le répertoire manifests/profiles

Assurez-vous d'être dans le répertoire racine de l'installation Anthos Service Mesh.

cd istio-1.8.6-asm.8

macOS

Téléchargez le fichier d'installation d'Anthos Service Mesh dans votre répertoire de travail actuel :

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.8.6-asm.8-osx.tar.gz

Téléchargez le fichier de signature et utilisez openssl pour valider la signature :

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.8.6-asm.8-osx.tar.gz.1.sig
openssl dgst -sha256 -verify /dev/stdin -signature istio-1.8.6-asm.8-osx.tar.gz.1.sig istio-1.8.6-asm.8-osx.tar.gz <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

La sortie attendue est Verified OK.

Extrayez le contenu du fichier vers n’importe quel emplacement de votre système de fichiers. Par exemple, pour extraire le contenu vers le répertoire de travail actuel :

tar xzf istio-1.8.6-asm.8-osx.tar.gz

La commande crée un répertoire d'installation dans votre répertoire de travail actuel, nommé istio-1.8.6-asm.8, et qui contient les éléments suivants:

• Des exemples d'applications dans le répertoire samples
• L'outil de ligne de commande istioctl que vous utilisez pour installer Anthos Service Mesh se trouve dans le répertoire bin.
• Les profils de configuration d'Anthos Service Mesh qui se trouvent dans le répertoire manifests/profiles

Assurez-vous d'être dans le répertoire racine de l'installation Anthos Service Mesh.

cd istio-1.8.6-asm.8

Windows

Téléchargez le fichier d'installation d'Anthos Service Mesh dans votre répertoire de travail actuel :

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.8.6-asm.8-win.zip

Téléchargez le fichier de signature et utilisez openssl pour valider la signature :

curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.8.6-asm.8-win.zip.1.sig
openssl dgst -verify - -signature istio-1.8.6-asm.8-win.zip.1.sig istio-1.8.6-asm.8-win.zip <<'EOF'
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ
wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw==
-----END PUBLIC KEY-----
EOF

La sortie attendue est Verified OK.

Extrayez le contenu du fichier vers n’importe quel emplacement de votre système de fichiers. Par exemple, pour extraire le contenu vers le répertoire de travail actuel :

tar xzf istio-1.8.6-asm.8-win.zip

La commande crée un répertoire d'installation dans votre répertoire de travail actuel, nommé istio-1.8.6-asm.8, et qui contient les éléments suivants:

• Des exemples d'applications dans le répertoire samples
• L'outil de ligne de commande istioctl que vous utilisez pour installer Anthos Service Mesh se trouve dans le répertoire bin.
• Les profils de configuration d'Anthos Service Mesh qui se trouvent dans le répertoire manifests/profiles

Assurez-vous d'être dans le répertoire racine de l'installation Anthos Service Mesh.

cd istio-1.8.6-asm.8

Préparer les fichiers de configuration des ressources

Lorsque vous exécutez la commande istioctl install, vous incluez le fichier revisioned-custom-ingressgateway.yaml sur la ligne de commande. Ce fichier vous permet de contrôler le moment où vous passez à la nouvelle version de istio-ingressgateway après la mise à niveau. Pour télécharger et configurer ce fichier, procédez comme suit :

1. Accédez au répertoire dans lequel vous souhaitez télécharger le package anthos-service-mesh.

2. Téléchargez le package :

   kpt pkg get \
   https://github.com/GoogleCloudPlatform/anthos-service-mesh-packages.git/asm@release-1.8-asm asm
   

3. Définissez le tag sur la version d'Anthos Service Mesh que vous installez :

   kpt cfg set asm anthos.servicemesh.tag 1.8.6-asm.8
   

4. Définissez le webhook de validation pour utiliser un libellé de révision :

   kpt cfg set asm anthos.servicemesh.rev asm-186-8
   

   Lorsque vous installez Anthos Service Mesh, vous définissez un libellé de révision sur istiod. Vous devez définir la même révision sur le webhook de validation.

Mettre à niveau Anthos Service Mesh

Pour installer une nouvelle version d'Anthos Service Mesh, nous vous recommandons de suivre le processus de mise à niveau basé sur la révision (également appelé mise à niveau Canary). Avec une mise à niveau basée sur la révision, vous installez une nouvelle version du plan de contrôle en même temps que le plan de contrôle existant. Lors de l'installation de la nouvelle version, vous incluez le libellé revision qui identifie la version du nouveau plan de contrôle. Chaque révision est une mise en œuvre complète du plan de contrôle d'Anthos Service Mesh avec ses propres déploiement et service.

Vous effectuez ensuite une migration vers la nouvelle version en définissant le même libellé revision sur vos charges de travail de sorte qu'il pointe vers le nouveau plan de contrôle et en effectuant un redémarrage progressif pour réinjecter les proxys avec la nouvelle version d'Anthos Service Mesh. Avec cette approche, vous pouvez surveiller l'effet de la mise à niveau sur un petit pourcentage de vos charges de travail. Après avoir testé votre application, vous pouvez migrer tout le trafic vers la nouvelle version. Cette approche est beaucoup plus sûre qu'une mise à niveau sur place, où un nouveau plan de contrôle remplace la version précédente.

Mettre à jour le plan de contrôle

1. Si nécessaire, basculez vers le répertoire istio-1.8.6-asm.8. Le client istioctl dépend de la version. Veillez à utiliser la version dans le répertoire istio-1.8.6-asm.8/bin.

2. Exécutez la commande suivante pour déployer le nouveau plan de contrôle. Si vous souhaitez activer une fonctionnalité facultative compatible, incluez -f et le nom de fichier YAML dans la ligne de commande suivante. Pour en savoir plus, consultez la page Activer les fonctionnalités facultatives.

   bin/istioctl install \
     --set profile=asm-multicloud \
     -f asm/istio/options/revisioned-istio-ingressgateway.yaml \
     --set revision=asm-186-8

L'argument --set revision ajoute un libellé istio.io/rev à istiod. Après avoir exécuté la commande, deux déploiements de plan de contrôle et des services s'exécutent côte à côte :

kubectl get pods -n istio-system

Déployer et redéployer des charges de travail

1. Obtenez le libellé de révision associé à istiod et istio-ingressgateway.

   kubectl get pod -n istio-system -L istio.io/rev
   

   La sortie de la commande ressemble à ceci :

   NAME                                             READY   STATUS    RESTARTS   AGE   REV
   istio-ingressgateway-65d884685d-6hrdk            1/1     Running   0          67m
   istio-ingressgateway-65d884685d-94wgz            1/1     Running   0          67m
   istio-ingressgateway-asm-182-2-8b5fc8767-gk6hb   1/1     Running   0          5s    asm-186-8
   istio-ingressgateway-asm-182-2-8b5fc8767-hn4w2   1/1     Running   0          20s   asm-186-8
   istiod-asm-176-1-67998f4b55-lrzpz                1/1     Running   0          68m   asm-178-10
   istiod-asm-176-1-67998f4b55-r76kr                1/1     Running   0          68m   asm-178-10
   istiod-asm-182-2-5cd96f88f6-n7tj9                1/1     Running   0          27s   asm-186-8
   istiod-asm-182-2-5cd96f88f6-wm68b                1/1     Running   0          27s   asm-186-8

   1. Vérifiez si vous disposez à la fois de l'ancienne et de la nouvelle version de istio-ingressgateway.

      • Si vous avez inclus l'option revisioned-istio-ingressgateway lors de la mise à niveau, une mise à niveau Canary de istio-ingressgateway a été effectuée. Dans ce cas, la sortie affiche à la fois l'ancienne et la nouvelle version de istio-ingressgateway.

      • Si vous n'avez pas inclus revisioned-istio-ingressgateway lors de la mise à niveau, une mise à niveau sur place de istio-ingressgateway a été effectuée. Dans ce cas, la sortie n'affiche que la nouvelle version.

   2. Dans le résultat, sous la colonne REV, notez la valeur du libellé de révision pour la nouvelle version. Dans cet exemple, la valeur est asm-186-8.

   3. Notez également la valeur du libellé de révision pour l'ancienne version de istiod. Vous devrez supprimer l'ancienne version de istiod lorsque vous aurez fini de déplacer les charges de travail vers la nouvelle version. Dans l'exemple de résultat, la valeur du libellé de révision pour l'ancienne version est asm-178-10.

2. Si vous disposez de l'ancienne et de la nouvelle version de istio-ingressgateway, remplacez istio-ingressgateway par la nouvelle révision. Dans la commande suivante, remplacez REVISION par la valeur correspondant au libellé de révision de la nouvelle version.

   kubectl patch service -n istio-system istio-ingressgateway --type='json' -p='[{"op": "replace", "path": "/spec/selector/service.istio.io~1canonical-revision", "value": "REVISION"}]'

   Résultat attendu : service/istio-ingressgateway patched

3. Ajoutez le libellé de révision à un espace de noms et supprimez le libellé istio-injection (s'il existe). Dans la commande suivante, remplacez REVISION par la valeur correspondant à la nouvelle révision de istiod.

   kubectl label namespace NAMESPACE istio.io/rev=REVISION istio-injection- --overwrite

   Si "istio-injection not found" apparaît dans le résultat, vous pouvez l'ignorer. Cela signifie que l'espace de noms n'avait pas auparavant le libellé istio-injection. Étant donné que l'injection automatique échoue si un espace de noms possède à la fois le istio-injection et le libellé de révision, toutes les commandes kubectl label de la documentation Anthos Service Mesh incluent la suppression du libellé istio-injection.

4. Redémarrez les pods pour déclencher la réinjection :

   kubectl rollout restart deployment -n NAMESPACE

5. Vérifiez que vos pods sont configurés pour pointer vers la nouvelle version de istiod.

   kubectl get pods -n NAMESPACE -l istio.io/rev=REVISION

6. Testez votre application pour vérifier que les charges de travail fonctionnent correctement.

7. Si vous avez des charges de travail dans d'autres espaces de noms, répétez les étapes pour leur ajouter des libellés et redémarrer les pods.

8. Si vous êtes sûr que votre application fonctionne comme prévu, continuez de suivre les étapes pour valider la transition vers la nouvelle version de istiod. Si vous rencontrez un problème avec votre application, suivez la procédure de rollback.

9. Exécutez à nouveau la commande suivante pour vérifier si vous disposez à la fois de l'ancienne et de la nouvelle version de istio-ingressgateway, ou seulement de la nouvelle. Cela détermine la manière dont vous gérez la transition vers la nouvelle version de istio-ingressgateway ou le rollback vers l'ancienne version.

   kubectl get pod -n istio-system -L istio.io/rev
   

   Terminer la transition

   Si vous êtes sûr que votre application fonctionne comme prévu, supprimez l'ancien plan de contrôle pour terminer la transition vers la nouvelle version.

   1. Accédez au répertoire dans lequel se trouvent les fichiers du dépôt GitHub anthos-service-mesh.

   2. Configurez le webhook de validation pour utiliser le nouveau plan de contrôle.

      kubectl apply -f asm/istio/istiod-service.yaml
      

   3. Si vous disposez à la fois de l'ancienne et de la nouvelle version de istio-ingressgateway, supprimez l'ancien déploiement istio-ingressgateway. La commande que vous exécutez varie selon que vous effectuez la migration depuis Istio ou une mise à niveau depuis une version précédente d'Anthos Service Mesh :

      Migrer

      Si vous avez effectué une migration depuis Istio, l'ancienne istio-ingressgateway ne comporte pas de libellé de révision.

      kubectl delete deploy/istio-ingressgateway -n istio-system
      

      Mettre à niveau

      Si vous avez mis à niveau à partir d'une version précédente d'Anthos Service Mesh, dans la commande suivante, remplacez OLD_REVISION par le libellé de révision de la version précédente de istio-ingressgateway.

      kubectl delete deploy -l app=istio-ingressgateway,istio.io/rev=OLD_REVISION -n istio-system --ignore-not-found=true
      

   4. Supprimez l'ancienne version de istiod. La commande que vous utilisez varie selon que vous effectuez la migration depuis Istio ou une mise à niveau depuis une version précédente d'Anthos Service Mesh.

      Migrer

      Si vous avez effectué une migration depuis Istio, l'ancienne istiod ne comporte pas de libellé de révision.

      kubectl delete Service,Deployment,HorizontalPodAutoscaler,PodDisruptionBudget istiod -n istio-system --ignore-not-found=true
      

      Mettre à niveau

      Si vous avez effectué une mise à niveau à partir d'une version précédente d'Anthos Service Mesh, assurez-vous que OLD_REVISION correspond au libellé de révision de la version précédente de istiod dans la commande suivante.

      kubectl delete Service,Deployment,HorizontalPodAutoscaler,PodDisruptionBudget istiod-OLD_REVISION -n istio-system --ignore-not-found=true
      

   5. Supprimez l'ancienne version de la configuration IstioOperator.

      kubectl delete IstioOperator installed-state-OLD_REVISION -n istio-system
      

      Le résultat ressemble à ce qui suit :

      istiooperator.install.istio.io "installed-state-OLD_REVISION" deleted

   Rollback

   Si vous avez rencontré un problème lors du test de votre application avec la nouvelle version de istiod, procédez comme suit pour effectuer un rollback vers la version précédente :

   1. Revenez à l'ancienne version de istio-ingressgateway. La commande que vous utilisez varie selon que vous disposez à la fois de l'ancienne et de la nouvelle version de istio-ingressgateway, ou seulement de la nouvelle.

      • Si vous disposez à la fois de l'ancienne et de la nouvelle version de istio-ingressgateway, exécutez la commande kubectl patch service et remplacez OLD_REVISION par l'ancienne révision.

        kubectl patch service -n istio-system istio-ingressgateway --type='json' -p='[{"op": "replace", "path": "/spec/selector/service.istio.io~1canonical-revision", "value": "OLD_REVISION"}]'
        

      • Si vous ne disposez que de la nouvelle version de istio-ingressgateway, exécutez la commande kubectl rollout undo.

        kubectl -n istio-system rollout undo deploy istio-ingressgateway
        

   2. Modifiez les libellés de votre espace de noms pour activer l'injection automatique avec la version précédente de istiod. La commande que vous utilisez varie selon que vous avez utilisé un libellé de révision ou istio-injection=enabled avec la version précédente.

      • Si vous avez utilisé un libellé de révision pour l'injection automatique :

        kubectl label namespace NAMESPACE istio.io/rev=OLD_REVISION --overwrite
        

      • Si vous avez utilisé istio-injection=enabled :

        kubectl label namespace NAMESPACE istio.io/rev- istio-injection=enabled --overwrite
        

      Résultat attendu :

      namespace/NAMESPACE labeled

   3. Confirmez que le libellé de révision de l'espace de noms correspond au libellé de révision de la version précédente de istiod :

      kubectl get ns NAMESPACE --show-labels
      

   4. Redémarrez les pods pour déclencher une réinjection afin que les proxys disposent de la version précédente :

      kubectl rollout restart deployment -n NAMESPACE
      

   5. Si vous disposez à la fois de l'ancienne et de la nouvelle version de istio-ingressgateway, supprimez le nouveau déploiement istio-ingressgateway. Assurez-vous que la valeur de REVISION dans la commande suivante est correcte.

      kubectl delete deploy -l app=istio-ingressgateway,istio.io/rev=REVISION -n istio-system --ignore-not-found=true
      

   6. Supprimez la nouvelle version de istiod. Assurez-vous que la valeur de REVISION dans la commande suivante est correcte.

      kubectl delete Service,Deployment,HorizontalPodAutoscaler,PodDisruptionBudget istiod-REVISION -n istio-system --ignore-not-found=true
      

   7. Supprimez la nouvelle version de la configuration IstioOperator.

      kubectl delete IstioOperator installed-state-REVISION -n istio-system
      

      Le résultat attendu ressemble à ce qui suit :

      istiooperator.install.istio.io "installed-state-REVISION" deleted

   8. Si vous n'avez pas ajouté l'option --disable_canonical_service, le script a activé le contrôleur de service canonique. Nous vous recommandons de conserver cette option activée. Cependant, si vous devez la désactiver, consultez la section Activer et désactiver le contrôleur de service canonique.

Étapes suivantes

• Ajouter des clusters à Anthos Service Mesh sur site
• Intégration de modules complémentaires tiers