La migración de Istio a Anthos Service Mesh requiere un poco de planificación. En esta página, se proporciona información que te ayudará a prepararte para la migración.
Revisa las funciones compatibles
Las funciones que son compatibles con Anthos Service Mesh varían entre plataformas. Revisa las funciones compatibles para que conozcas cuáles están disponibles para tu plataforma. Algunas funciones están habilitadas de forma predeterminada, y otras pueden habilitarlas de forma opcional mediante la creación de un archivo de configuración IstioOperator.
Prepara archivos de configuración
Si personalizaste la instalación de Istio, necesitas usar las mismas personalizaciones cuando migras a Anthos Service Mesh. Si personalizaste la instalación mediante la marca --set values, agrega esa configuración a un archivo YAML IstioOperator. Especifica el archivo con la marca -f cuando ejecutes el comando istioctl install. Si usas la secuencia de comandos install_asm proporcionada por Google para migrar a Anthos Service Mesh, puedes especificar la opción --custom-overlay con el archivo.
Elige una autoridad certificada
Puedes continuar con el uso de Citadel (ahora incorporado en istiod) como la autoridad certificada (CA) para emitir certificados de TLS mutua (mTLS), o puedes optar por migrar a la autoridad certificada de Anthos Service Mesh (CA de Mesh).
Por lo general, recomendamos que uses CA de Mesh por los siguientes motivos:
- La CA de Mesh es un servicio altamente confiable y escalable que está optimizado para cargas de trabajo escaladas de forma dinámica en Google Cloud.
- Con la CA de Mesh, Google administra la seguridad y la disponibilidad del backend de CA.
- La CA de Mesh te permite tener una sola raíz de confianza entre clústeres.
Sin embargo, hay casos en los que podrías considerar usar Citadel, como los que se mencionan a continuación:
- Si tienes una CA personalizada.
- No puedes programar el tiempo de inactividad de la migración para la CA de Mesh. Si eliges Citadel, hay poco tiempo de inactividad porque el tráfico de mTLS no se interrumpe durante la migración. Si eliges CA de Mesh, debes programar el tiempo de inactividad para la migración, ya que la raíz de confianza cambia de Citadel a la CA de Mesh. Para completar la migración a la raíz de confianza de la CA de Mesh, debes reiniciar todos los Pods en todos los espacios de nombres. Durante este proceso, los Pods antiguos no pueden establecer conexiones mTLS con los Pods nuevos.