Die Migration von Istio zu Anthos Service Mesh erfordert eine gewisse Planung. Auf dieser Seite finden Sie Informationen, die Ihnen bei der Vorbereitung auf die Migration helfen.
Unterstützte Funktionen überprüfen
Die von Anthos Service Mesh unterstützten Funktionen unterscheiden sich von Plattform zu Plattform. Unter Unterstützte Funktionen finden Sie die für Ihre Plattform verfügbaren Funktionen. Einige Funktionen sind standardmäßig aktiviert, andere können optional aktiviert werden. Erstellen Sie dazu eine IstioOperator
-Konfigurationsdatei.
Konfigurationsdateien vorbereiten
Wenn Sie die Istio-Installation angepasst haben, müssen Sie für die Migration zu Anthos Service Mesh die gleichen Anpassungen vornehmen. Wenn Sie die Installation durch Hinzufügen des Flags --set values
angepasst haben, fügen Sie diese Einstellungen in eine YAML-Datei vom Typ IstioOperator
ein. Sie geben die Datei mit dem Flag -f
an, wenn Sie den Befehl istioctl install
ausführen. Wenn Sie das von Google bereitgestellte install_asm
-Skript für die Migration zu Anthos Service Mesh verwenden, können Sie die Option --custom-overlay
mit der Datei festlegen.
Zertifizierungsstelle auswählen
Sie können für das Ausstellen gegenseitiger TLS-Zertifikate (mTLS) weiterhin Citadel (jetzt in istiod
eingebunden) als Zertifizierungsstelle (Certificate Authority, CA) verwenden oder Sie können zur Anthos Service Mesh-Zertifizierungsstelle (Mesh-CA) migrieren.
Im Allgemeinen empfehlen wir, Mesh-CA zu verwenden, denn:
- Mesh CA ist ein zuverlässiger und skalierbarer Dienst, der für dynamisch skalierte Arbeitslasten in Google Cloud optimiert ist.
- Mit Mesh CA verwaltet Google die Sicherheit und Verfügbarkeit des CA-Back-Ends.
- Mesh CA ermöglicht es Ihnen, sich für alle Cluster auf eine einzige Root of Trust zu verlassen.
In einigen Fällen ist es jedoch ratsam, Citadel zu verwenden. Hier einige Beispiele:
- Mit einer benutzerdefinierten Zertifizierungsstelle.
- Sie können keine Ausfallzeiten für die Migration zu Mesh-CA planen. Wenn Sie Citadel auswählen, gibt es keine Ausfallzeiten, da der mTLS-Traffic während der Migration nicht unterbrochen wird. Wenn Sie Mesh-CA auswählen, müssen Sie die Ausfallzeit für die Migration planen, da sich der Root of Trust von Citadel zu Mesh CA ändert. Sie müssen alle Pods in allen Namespaces neu starten, um die Migration zum Mesh-CA Root of Trust abzuschließen. Während dieses Vorgangs können die alten Pods keine mTLS-Verbindungen zu den neuen Pods herstellen.