Istio에서 Anthos Service Mesh로 마이그레이션하려면 몇 가지 계획이 필요합니다. 이 페이지에서는 마이그레이션을 준비하는 데 도움이 되는 정보를 제공합니다.
지원되는 기능 검토
Anthos Service Mesh에서 지원되는 기능은 플랫폼마다 다릅니다. 특정 플랫폼에서 사용 가능한 기능을 확인하려면 지원되는 기능을 참조하세요. 일부 기능은 기본적으로 사용 설정되며, 다른 기능은 IstioOperator
구성 파일을 만들어서 선택적으로 사용 설정할 수 있습니다.
구성 파일 준비
Istio 설치를 맞춤설정한 경우에는 Anthos Service Mesh로 마이그레이션할 때 동일한 맞춤설정이 필요합니다. --set values
플래그를 추가하여 설치를 맞춤설정한 경우 해당 설정을 IstioOperator
YAML 파일에 추가합니다. istioctl install
명령어를 실행할 때 -f
플래그를 사용하여 파일을 지정합니다. Google에서 제공하는 install_asm
스크립트를 사용하여 Anthos Service Mesh로 마이그레이션할 경우에는 파일에 --custom-overlay
옵션을 지정할 수 있습니다.
인증 기관 선택
상호 TLS(mTLS) 인증서 발급을 위해 인증 기관(CA)으로 Citadel(이제 istiod
에 통합됨)을 계속 사용하거나 Anthos Service Mesh 인증 기관(Mesh CA)으로 마이그레이션하는 것을 선택할 수 있습니다.
일반적으로 다음과 같은 이유로 Mesh CA를 사용하는 것이 좋습니다.
- Mesh CA는 Google Cloud에서 동적으로 확장되는 워크로드에 최적화된 안정성과 확장성이 뛰어난 서비스입니다.
- Google은 Mesh CA를 사용하여 CA 백엔드의 보안과 가용성을 관리합니다.
- Mesh CA를 사용하면 여러 클러스터에서 신뢰할 수 있는 단일 루트를 사용할 수 있습니다.
하지만 다음과 같은 경우에는 Citadel을 사용하는 것이 좋을 수도 있습니다.
- 커스텀 CA가 있는 경우
- Mesh CA로 마이그레이션할 때 다운타임 시간을 예약할 수 없습니다. Citadel을 선택하면 마이그레이션 중에 mTLS 트래픽이 중단되지 않으므로 다운타임이 거의 발생하지 않습니다. Mesh CA를 선택하는 경우 신뢰할 수 있는 루트가 Citadel에서 Mesh CA로 변경되므로 마이그레이션을 위한 다운타임을 예약해야 합니다. Mesh CA 신뢰할 수 있는 루트로 마이그레이션을 완료하려면 모든 네임스페이스의 모든 pod를 다시 시작해야 합니다. 이 프로세스 중에는 이전 pod가 새 pod와 mTLS 연결을 설정할 수 없습니다.