Istio から Anthos Service Mesh に移行するには、いくつかの計画が必要です。このページでは、移行の準備に役立つ情報を提供します。
サポートされる機能の確認
Anthos Service Mesh がサポートする機能はプラットフォームによって異なります。サポートされる機能を確認して、お使いのプラットフォームで使用できる機能をご覧ください。一部の機能はデフォルトで有効になっており、それ以外は IstioOperator 構成ファイルを作成することで、必要に応じて有効にすることもできます。
構成ファイルの準備
Istio のインストールをカスタマイズした場合は、Anthos Service Mesh に移行する際に、同じカスタマイズを行う必要があります。--set values フラグを追加してインストールをカスタマイズした場合は、これらの設定を IstioOperator YAML ファイルに追加します。このファイルを指定するには、istioctl install コマンドを実行するときに -f フラグを使用します。Google 提供の install_asm スクリプトを使用して Anthos Service Mesh に移行する場合は、ファイルに --custom-overlay オプションを指定できます。
認証局の選択
相互 TLS(mTLS)証明書を発行する認証局(CA)として Citadel(現在は istiod に組み込まれています)を引き続き使用することも、Anthos Service Mesh 認証局(Mesh CA)への移行を選択することもできます。
次の理由から、Mesh CA を使用することをおすすめします。
- Mesh CA は、信頼性の高いスケーラブルなサービスで、Google Cloud 上で動的にスケーリングされるワークロード用に最適化されています。
- Mesh CA を使用する場合、Google は CA バックエンドのセキュリティと可用性を管理します。
- Mesh CA を使用すると、クラスタ間で単一のルート オブ トラストを使用できます。
ただし、次のような場合、Citadel の使用を検討できます。
- カスタム CA を使用する場合。
- Mesh CA への移行のダウンタイムをスケジュールすることはできません。Citadel を選択すると、移行中に mTLS トラフィックは中断されないため、ダウンタイムはほとんどありません。メッシュ CA を選択する場合は、信頼のルートが Citadel から Mesh CA に変更されるため、移行時のダウンタイムをスケジューリングする必要があります。Mesh CA ルートオブ トラストへの移行を完了するには、すべての名前空間内の Pod をすべて再起動する必要があります。このプロセスにおいて、古い Pod は新しい Pod で mTLS 接続を確立できません。