参考文档

本页面介绍脚本可用的参数,并提供有关脚本对项目和 GKE 集群所做的更改的详细信息。

选项

-p|--project_id CLUSTER_PROJECT_ID
在其中创建集群的项目的 ID。
-n|--cluster_name CLUSTER_NAME
集群的名称。
-l|--cluster_location CLUSTER_LOCATION
在其中创建集群的区域(对于单区域集群)或地区(对于地区级集群)。
-m|--mode {install|migrate|upgrade}
如果要新安装 Anthos Service Mesh,请输入 install。如果您是从 Istio 迁移,请输入 migrate。输入 upgrade 可将现有的 Anthos Service Mesh 安装升级到新版本。
-c|--ca {mesh_ca|citadel}
对于新安装,如果您想使用 Mesh CA,则无需添加此选项,因为脚本默认为 Mesh CA。对于升级,您无需添加此选项,因为脚本不允许您更改 CA。对于迁移,请指定 citadelmesh_ca。如果您可以为迁移安排停机时间,我们建议您使用 mesh_ca。如需详细了解应使用哪个 CA,请参阅选择证书授权机构。如需了解使用 Citadel 时必须指定的其他选项,请参阅 Citadel 的自定义证书选项
--co|--custom_overlay YAML_FILE
IstioOperator 自定义资源 (CR) YAML 文件的名称,用于启用默认情况下未启用的功能。该脚本必须能够找到该 YAML 文件,因此该文件必须与该脚本位于同一目录中,您也可以指定相对路径。如需添加多个文件,请指定 --co|--custom_overlay 和文件名,例如:--co overlay_file1.yaml --co overlay_file2.yaml --co overlay_file3.yaml
-o|--option OPTION_FILE
YAML 文件名来自 anthos-service-mesh 软件包,其包含 IstioOperator CR,可启用可选功能。添加其中某个文件时,您无需先下载 anthos-service-mesh 软件包,也无需指定 .yaml 扩展名。如需修改任何文件,请下载 anthos-service-mesh 软件包、进行更改,然后使用 --custom_overlay 选项。如需添加多个文件,请指定 -o|--option 和文件名,例如:-o option_file1 -o option_file2 -o option_file3
-s|--service_account ACCOUNT
用于安装 Anthos Service Mesh 的服务账号的名称。如果未指定,则使用当前 gcloud 配置中的活动用户账号。如果您需要更改活跃用户账号,请运行 gcloud auth login
-k|--key_file FILE_PATH
服务账号的密钥文件。如果您未使用服务账号,请忽略此选项。
-D|--output_dir DIR_PATH
如果未指定,脚本将创建一个临时目录,用于下载安装 Anthos Service Mesh 所需的文件和配置。指定 --output-dir 标志以改为指定使用现有目录。完成后,指定的目录包含 asmistio-1.8.6-asm.8 子目录。asm 目录包含安装的配置。istio-1.8.6-asm.8 目录包含安装文件的解压缩内容,其中包含 istioctl、示例和清单。

Citadel 自定义证书选项

如果指定了 citadel 并且您使用的是自定义 CA,请添加以下选项:

  • --ca_cert FILE_PATH:中间证书
  • --ca_key FILE_PATH:中间证书的密钥
  • --root_cert FILE_PATH:根证书
  • --cert_chain FILE_PATH:证书链

如需了解详情,请参阅在现有 CA 证书中插入

启用标志

--enable 开头的标志让脚本可启用所需的 Google API,设置所需的 Identity and Access Management (IAM) 权限,以及更新您的集群。如《多项目安装指南》中的设置项目设置集群部分所述,如果您愿意,您可以在运行脚本之前自行更新项目和集群。所有这些标志都与 --only_validate 不兼容,在这种情况下,脚本将终止并返回错误。

-e|--enable_all
允许脚本执行下文介绍的所有各项启用操作。
--enable_cluster_roles
允许脚本尝试将运行脚本的 GCP 用户或服务账号绑定到集群上的 cluster-admin 角色。脚本根据 gcloud config get-value core/account 命令确定用户账号。如果您使用用户账号在本地运行脚本,请确保在运行脚本之前调用 gcloud auth login 命令。如果您需要更改用户账号,请运行 gcloud config set core/account GCP_EMAIL_ADDRESS 命令,其中 GCP_EMAIL_ADDRESS 是您用于登录 Google Cloud 的账号。
--enable_cluster_labels
允许脚本设置所需的集群标签
--enable_gcp_components

允许脚本启用以下所需的 Google Cloud 代管式服务和组件:

--enable_gcp_apis

允许脚本启用所有所需的 Google API

--enable_gcp_iam_roles

允许脚本设置所需的 IAM 权限

--enable-registration

允许脚本将集群注册到集群所属的项目。如果您未包含此标志,请按照注册集群中的步骤手动注册集群。请注意,与其他启用标志不同,--enable-registration 不包含在 --enable_all 中。您需要单独指定此标志。

其他标志

-v|--verbose
在执行前后输出命令。
--dry_run
输出命令,但不执行这些命令。
--only_validate
运行验证,但不更新项目或集群,并且不安装 Anthos Service Mesh。此标志与启用标志不兼容。如果您使用任何启用标志指定 --only_validate,脚本会终止并显示错误。
--print_config
请将所有已编译的 YAML 输出到标准输出 (stdout),而不是安装 Anthos Service Mesh。所有其他输出都会写入标准错误 (stderr),即使它通常会转到 stdout 也是如此。当您指定此标志时,该脚本会跳过所有验证和设置操作。
--disable_canonical_service
默认情况下,该脚本会将规范化服务控制器部署到您的集群。如果您不希望脚本部署该控制器,请指定 --disable_canonical_service。如需了解详情,请参阅启用和停用规范化服务控制器
-h|--help
显示描述选项和标志的帮助消息并退出。
--version
打印 install_asm 版本并退出。 如果命令未输出版本,请下载最新版本的 install_asm_1.8

了解脚本

虽然您可以从安全的 Cloud Source Repositories 位置下载该脚本,但 GitHub 上也提供了该脚本,因此您可以在下载前查看它所执行的操作。脚本会验证您的项目和集群是否满足 Anthos Service Mesh 要求,并且会自动执行您配置项目和集群时将手动执行的所有步骤,然后使用 istioctl install 命令安装 Anthos Service Mesh。

通过 Anthos Service Mesh 1.8.6,您可以在 release-1.8-asm 分支上使用 install_asm 脚本的版本。如需查看版本控制和发布流程的说明,请参阅版本控制/发布

验证

validate_args() {
  if [[ "${MODE}" == "install" && -z "${CA}" ]]; then
    CA="mesh_ca"
  fi

  if is_managed; then
    if [[ "${MODE}" != "install" ]]; then
      fatal "Migrate and upgrade are incompatible with managed control plane."
    fi

    if [[ "${CA}" == "citadel" ]]; then
      fatal "Citadel is not supported with managed control plane."
    fi

    if [[ "${CA}" == "gcp_cas" ]]; then
      fatal "Google Certificate Authority Service integration is not supported with managed control plane."
    fi

    if [[ "${CUSTOM_CA}" -eq 1 ]]; then
      fatal "Specifying a custom CA with managed control plane is not supported."
    fi
  fi

  local MISSING_ARGS=0
  while read -r REQUIRED_ARG; do
    if [[ -z "${!REQUIRED_ARG}" ]]; then
      MISSING_ARGS=1
      warn "Missing value for ${REQUIRED_ARG}"
    fi
    readonly "${REQUIRED_ARG}"
  done <<EOF
 
validate_dependencies() {
  validate_node_pool
  validate_k8s
  validate_expected_control_plane

  if [[ "${MODE}" = "migrate" ]]; then
    validate_istio_version
  elif [[ "${MODE}" = "upgrade" ]]; then
    validate_asm_version
    validate_ca_consistency
  fi
}

validate_argsvalidate_dependencies 函数:

  • 检查是否安装了所有必需的工具
  • 验证您作为参数值输入的项目 ID、集群名称和集群位置是否有效。
  • 确保集群满足机器类型和节点数的最低要求

设置项目

如果您已添加 --enable_all--enable_apis 标志,脚本会启用所需的 APIS:

required_apis() {
    cat << EOF
container.googleapis.com
compute.googleapis.com
monitoring.googleapis.com
logging.googleapis.com
cloudtrace.googleapis.com
meshtelemetry.googleapis.com
meshconfig.googleapis.com
iamcredentials.googleapis.com
gkeconnect.googleapis.com
gkehub.googleapis.com
cloudresourcemanager.googleapis.com
stackdriver.googleapis.com
EOF
  case "${CA}" in
   mesh_ca)
     echo meshca.googleapis.com
     ;;
   gcp_cas)
     echo privateca.googleapis.com
     ;;
    *);;
  esac
}

如果您已添加 --enable_all--enable_gcp_iam_roles 标志,脚本会设置所需的 IAM 权限

设置集群

如果您已添加 --enable_all 标志,或下列更精细的启用标志之一,则脚本会对集群进行以下更新:

集群更新 标志
启用 Workload Identity,使 GKE 应用能够安全地访问 Google Cloud 服务。 --enable_gcp_components
启用 GKE 上的 Cloud Monitoring 和 Cloud Logging --enable_gcp_components
在集群上设置 mesh_id 标签,该标签对于要在 Google Cloud 控制台中的 Anthos Service Mesh 页面上显示的指标必不可少。 --enable_cluster_labels
设置像 asmv=asm-186-8 这样的标签,以分辨脚本是否已修改集群。 --enable_cluster_labels
将运行脚本的 GCP 用户或服务账号绑定到集群上的“集群管理员”角色。 --enable_cluster_roles

后续步骤