La migration d'Istio vers Anthos Service Mesh nécessite une certaine planification. Cette page fournit des informations pour vous aider à préparer votre migration.
Vérifier les fonctionnalités compatibles
Les fonctionnalités compatibles avec Anthos Service Mesh diffèrent selon les plates-formes. Consultez la liste des fonctionnalités compatibles pour connaître les fonctionnalités disponibles pour votre plate-forme. Certaines fonctionnalités sont activées par défaut. Vous pouvez activer les autres fonctionnalités en créant un fichier de configuration IstioOperator
.
Préparer les fichiers de configuration
Si vous avez personnalisé l'installation d'Istio, vous avez besoin des mêmes personnalisations lors de la migration vers Anthos Service Mesh. Si vous avez personnalisé l'installation en ajoutant l'option --set values
, ajoutez ces paramètres à un fichier YAML IstioOperator
. Vous spécifiez le fichier à l'aide de l'option -f
lorsque vous exécutez la commande istioctl install
. Si vous utilisez le script install_asm
fourni par Google pour migrer vers Anthos Service Mesh, vous pouvez spécifier l'option --custom-overlay
accompagnée du nom de fichier.
Choisir une autorité de certification
Vous pouvez continuer à utiliser Citadel (désormais intégré dans istiod
) en tant qu'autorité de certification (CA) pour émettre des certificats TLS mutuel (mTLS), ou vous pouvez choisir de migrer vers l'autorité de certification Anthos Service Mesh (CA).
Nous vous recommandons généralement d'utiliser Mesh CA pour les raisons suivantes :
- Mesh CA est un service hautement fiable et évolutif, optimisé pour les charges de travail à scaling dynamique sur Google Cloud.
- Avec Mesh CA, Google gère la sécurité et la disponibilité du backend CA.
- Mesh CA vous permet de dépendre d'une seule racine de confiance dans les clusters.
Vous pouvez cependant envisager d'utiliser Citadel dans certains cas :
- Si vous disposez d'une autorité de certification personnalisée.
- Vous ne pouvez pas planifier un temps d'arrêt pour la migration vers l'autorité de certification Mesh. Si vous choisissez Citadel, il n'y a presque pas d'interruption car le trafic mTLS n'est pas interrompu pendant la migration. Si vous choisissez Mesh CA, vous devez planifier un temps d'arrêt pour la migration, car la racine de confiance passe de Citadel à Mesh CA. Pour migrer vers la racine de confiance de Mesh CA, vous devez redémarrer l'ensemble des pods dans tous les espaces de noms. Pendant ce processus, les anciens pods ne peuvent pas établir de connexions mTLS avec les nouveaux pods.