从 Istio 迁移到 Anthos Service Mesh 需要一些规划。本页面提供的信息可帮助您为迁移做好准备。
查看支持的功能
Anthos Service Mesh 支持的功能因平台而异。如需了解哪些功能适用于您的平台,请查看支持的功能。某些功能默认处于启用状态,其他功能可以通过创建 IstioOperator 配置文件视需要启用。
准备配置文件
如果您自定义了 Istio 安装,则在迁移到 Anthos Service Mesh 时也需要使用相同的自定义设置。如果您通过添加 --set values 标志自定义了安装,请将这些设置添加到 IstioOperator YAML 文件中。您可以在运行 istioctl install 命令时使用 -f 标志指定该文件。如果您要使用 Google 提供的 install_asm 脚本迁移到 Anthos Service Mesh,则可以在该文件中指定 --custom-overlay 选项。
选择证书授权机构
您可以继续使用 Citadel(现在包含在 istiod 中)作为颁发双向 TLS (mTLS) 证书的证书授权机构 (CA),也可以选择迁移到 Anthos Service Mesh 证书授权机构 (Mesh CA)。
基于以下原因,我们通常建议您使用 Mesh CA:
- Mesh CA 是一项高度可靠的可扩缩服务,针对 Google Cloud 上动态扩缩的工作负载进行了优化。
- 通过 Mesh CA,Google 负责管理 CA 后端的安全性和可用性。
- Mesh CA 让您可在集群中依赖单个信任根。
不过,在某些情况下,您可能会考虑使用 Citadel,例如:
- 如果您拥有自定义 CA。
- 您无法为迁移到 Mesh CA 安排停机时间。如果您选择 Citadel,则几乎不存在停机时间,因为 mTLS 流量在迁移期间不会中断。如果您选择 Mesh CA,则需要为迁移安排停机时间,因为信任根从 Citadel 更改为 Mesh CA。如需完成迁移到 Mesh CA 信任根,您需要重启所有命名空间中的所有 Pod。在此过程中,旧 Pod 无法与新 Pod 建立 mTLS 连接。