Migrasi dari Istio ke Anthos Service Mesh memerlukan beberapa perencanaan. Halaman ini memberikan informasi untuk membantu Anda mempersiapkan migrasi.
Meninjau fitur yang didukung
Fitur yang didukung Anthos Service Mesh berbeda antar platform. Tinjau
Fitur yang didukung untuk mengetahui fitur yang
tersedia untuk platform Anda. Beberapa fitur diaktifkan secara default, dan fitur lainnya
dapat Anda aktifkan secara opsional dengan
membuat file konfigurasi
IstioOperator.
Menyiapkan file konfigurasi
Jika Anda menyesuaikan penginstalan Istio, Anda memerlukan penyesuaian yang sama saat bermigrasi ke Anthos Service Mesh. Jika Anda menyesuaikan penginstalan dengan menambahkan flag --set values, tambahkan setelan tersebut ke file YAML IstioOperator. Anda
menentukan file menggunakan tanda -f saat menjalankan perintah
istioctl install. Jika menggunakan skrip install_asm yang disediakan Google untuk bermigrasi ke Anthos Service Mesh, Anda dapat menentukan opsi --custom-overlay dengan file.
Memilih certificate authority
Anda dapat terus menggunakan Citadel (kini tergabung di istiod) sebagai certificate authority (CA) untuk menerbitkan sertifikat mutual TLS (mTLS), atau Anda dapat memilih untuk bermigrasi ke certificate authority Anthos Service Mesh (Mesh CA).
Sebaiknya gunakan Mesh CA karena alasan berikut:
- Mesh CA adalah layanan yang sangat andal dan skalabel yang dioptimalkan untuk workload yang diskalakan secara dinamis di Google Cloud.
- Dengan Mesh CA, Google mengelola keamanan dan ketersediaan backend CA.
- Mesh CA memungkinkan Anda mengandalkan satu root kepercayaan di seluruh cluster.
Namun, ada beberapa kasus saat Anda mungkin ingin mempertimbangkan untuk menggunakan Citadel, seperti berikut:
- Jika Anda memiliki CA kustom.
- Anda tidak dapat menjadwalkan periode nonaktif untuk migrasi ke Mesh CA. Jika Anda memilih Citadel, periode nonaktif akan sedikit terjadi karena traffic mTLS tidak terganggu selama migrasi. Jika memilih Mesh CA, Anda harus menjadwalkan periode nonaktif untuk migrasi karena root kepercayaan berubah dari Citadel ke Mesh CA. Untuk menyelesaikan migrasi ke root kepercayaan CA Mesh, Anda harus memulai ulang semua Pod di semua namespace. Selama proses ini, Pod lama tidak dapat membuat koneksi mTLS dengan Pod baru.