Migrar do Istio para o Anthos Service Mesh exige planejamento. Nesta página, você encontra informações para se preparar para a migração.
Como revisar os recursos compatíveis
Os recursos do Anthos Service Mesh são compatíveis com as diferentes plataformas. Consulte os
Recursos compatíveis para ver quais recursos estão
disponíveis para sua plataforma. Alguns recursos são ativados por padrão, e outros
podem ser ativados opcionalmente
criando um
arquivo de configuração IstioOperator
.
Como preparar arquivos de configuração
Se você personalizar a instalação do Istio, precisará das mesmas personalizações ao
migrar para o Anthos Service Mesh. Se você tiver personalizado a instalação adicionando a
sinalização --set values
, adicione essas configurações a um arquivo YAML IstioOperator
. Especifique
o arquivo usando a sinalização -f
ao executar o
comando istioctl install
. Se você estiver usando o
script install_asm
fornecido pelo Google para migrar
para o Anthos Service Mesh, especifique o
--custom-overlay
no arquivo.
Como escolher uma autoridade de certificação
É possível continuar usando o
Citadel
(agora incorporado em istiod
) como a autoridade de certificação (CA, na sigla em inglês) para emitir
TLS mútuo (mTLS) certificados, ou
é possível migrar para a autoridade de certificação do Anthos Service Mesh (Mesh CA).
Recomendamos que você use a Mesh CA pelos seguintes motivos:
- A Mesh CA é um serviço altamente confiável e escalonável, otimizado para cargas de trabalho escalonadas dinamicamente no Google Cloud.
- Com ela, o Google gerencia a segurança e a disponibilidade do back-end da CA.
- Esta autoridade de certificação possibilita confiar em uma única raiz de confiança entre os clusters.
No entanto, há casos em que é recomendável usar o Citadel, como os seguintes:
- Se você tiver uma CA personalizada.
- Não é possível programar um tempo de inatividade para a migração para Mesh CA. Caso você escolha o Citadel, não haverá tempo de inatividade porque o tráfego mTLS não será interrompido durante a migração. Se você escolher Mesh CA, será necessário agendar o tempo de inatividade para a migração, porque a raiz da confiança é alterada de Citadel para Mesh CA. Para concluir a migração para a raiz de confiança da Mesh CA, é necessário reiniciar todos os pods em todos os namespaces. Durante esse processo, os pods antigos não podem estabelecer conexões mTLS com os novos pods.