La migrazione da Istio ad Anthos Service Mesh richiede un po' di pianificazione. Questa pagina fornisce informazioni utili per prepararti alla migrazione.
Controllo delle funzionalità supportate
Le funzionalità supportate da Anthos Service Mesh variano a seconda della piattaforma. Consulta la sezione Funzionalità supportate per vedere quali funzionalità sono disponibili per la tua piattaforma. Alcune funzionalità sono attive per impostazione predefinita, mentre altre
puoi attivarle in via facoltativa
creando un
file di configurazione di IstioOperator
.
Preparazione dei file di configurazione
Se hai personalizzato l'installazione di Istio, avrai bisogno delle stesse personalizzazioni durante la migrazione ad Anthos Service Mesh. Se hai personalizzato l'installazione aggiungendo il flag --set values
, aggiungi queste impostazioni a un file YAML IstioOperator
. Puoi specificare il file utilizzando il flag -f
quando esegui il comando istioctl install
. Se utilizzi lo script install_asm
fornito da Google per eseguire la migrazione ad Anthos Service Mesh, puoi specificare l'opzione --custom-overlay
con il file.
Scelta di un'autorità di certificazione
Puoi continuare a utilizzare Citadel (ora incorporata in istiod
) come autorità di certificazione (CA) per emettere certificati mTLS (mutual TLS) oppure puoi scegliere di eseguire la migrazione all'autorità di certificazione Anthos Service Mesh (Mesh CA).
In genere consigliamo di utilizzare Mesh CA per i seguenti motivi:
- Mesh CA è un servizio altamente affidabile e scalabile, ottimizzato per carichi di lavoro con scalabilità dinamica su Google Cloud.
- Con Mesh CA, Google gestisce la sicurezza e la disponibilità del backend della CA.
- Mesh CA consente di fare affidamento su un'unica radice di attendibilità tra i cluster.
Tuttavia, in alcuni casi potresti prendere in considerazione l'utilizzo di Citadel, ad esempio:
- Se hai una CA personalizzata,
- Non puoi pianificare il tempo di inattività per la migrazione a Mesh CA. Se scegli Citadel, il tempo di inattività è ridotto perché il traffico mTLS non viene interrotto durante la migrazione. Se scegli Mesh CA, devi pianificare il tempo di inattività per la migrazione perché la radice di attendibilità cambia da Citadel a Mesh CA. Per completare la migrazione alla radice di attendibilità della CA mesh, è necessario riavviare tutti i pod in tutti gli spazi dei nomi. Durante questo processo, i pod precedenti non possono stabilire connessioni mTLS con i nuovi pod.