Riferimento

Questa pagina descrive gli argomenti disponibili dello script e fornisce dettagli sulle modifiche apportate dallo script al progetto e al cluster GKE.

Opzioni

-p|--project_id CLUSTER_PROJECT_ID
L'ID progetto in cui è stato creato il cluster.
-n|--cluster_name CLUSTER_NAME
Il nome del cluster.
-l|--cluster_location CLUSTER_LOCATION
La zona (per i cluster a zona singola) o la regione (per i cluster a livello di regione) in cui è stato creato il cluster.
-m|--mode {install|migrate|upgrade}
Inserisci install se stai eseguendo una nuova installazione di Anthos Service Mesh. Inserisci migrate se stai eseguendo la migrazione da Istio. Inserisci upgrade per eseguire l'upgrade di un'installazione Anthos Service Mesh esistente a una nuova versione.
-c|--ca {mesh_ca|citadel}
Per le nuove installazioni, se vuoi utilizzare Mesh CA, non devi includere questa opzione perché per impostazione predefinita lo script è Mesh CA. Per gli upgrade, non è necessario includere questa opzione perché lo script non consente di modificare la CA. Per le migrazioni, devi specificare citadel o mesh_ca. Se puoi pianificare il tempo di riposo per la migrazione, ti consigliamo di utilizzare mesh_ca. Per scoprire di più su quale CA utilizzare, consulta Scegliere un'autorità di certificazione. Per ulteriori opzioni che devi specificare quando utilizzi Citadel, vedi Opzioni per un certificato personalizzato per Citadel.
--co|--custom_overlay YAML_FILE
Il nome del file YAML della risorsa personalizzata (CR) IstioOperator per abilitare una funzionalità non abilitata per impostazione predefinita. Lo script deve essere in grado di individuare il file YAML, quindi il file deve trovarsi nella stessa directory dello script oppure puoi specificare un percorso relativo. Per aggiungere più file, specifica --co|--custom_overlay e il nome del file, ad esempio: --co overlay_file1.yaml --co overlay_file2.yaml --co overlay_file3.yaml
-o|--option OPTION_FILE
Il nome di un file YAML del pacchetto anthos-service-mesh che contiene la RP IstioOperator per abilitare una funzionalità facoltativa. Quando includi uno di questi file, non è necessario scaricare prima il pacchetto anthos-service-mesh e non specifichi l'estensione .yaml. Se devi modificare uno qualsiasi dei file, scarica il pacchetto anthos-service-mesh, apporta le modifiche e utilizza l'opzione --custom_overlay. Per aggiungere più file, specifica -o|--option e il nome del file, ad esempio: -o option_file1 -o option_file2 -o option_file3
-s|--service_account ACCOUNT
Il nome di un account di servizio utilizzato per installare Anthos Service Mesh. Se non specificato, viene utilizzato l'account utente attivo nell'attuale configurazione di gcloud. Se devi modificare l'account utente attivo, esegui gcloud auth login.
-k|--key_file FILE_PATH
Il file della chiave per un account di servizio. Ometti questa opzione se non utilizzi un account di servizio.
-D|--output_dir DIR_PATH
Se non specificata, lo script crea una directory temporanea in cui scarica i file e le configurazioni necessari per l'installazione di Anthos Service Mesh. Specifica il flag --output-dir per designare una directory esistente da utilizzare al suo posto. Al termine, la directory specificata contiene le sottodirectory asm e istio-1.8.6-asm.8. La directory asm contiene la configurazione per l'installazione. La directory istio-1.8.6-asm.8 contiene i contenuti estratti del file di installazione, che includono istioctl, esempi e manifest.

Opzioni per il certificato personalizzato Citadel

Se hai specificato citadel e utilizzi una CA personalizzata, includi le seguenti opzioni:

  • --ca_cert FILE_PATH: il certificato intermedio
  • --ca_key FILE_PATH: la chiave per il certificato intermedio
  • --root_cert FILE_PATH: il certificato radice
  • --cert_chain FILE_PATH: la catena di certificati

Per maggiori informazioni, consulta la sezione Collegamento di certificati CA esistenti.

Flag di abilitazione

I flag che iniziano con --enable consentono allo script di attivare le API di Google richieste, impostare le autorizzazioni Identity and Access Management (IAM) richieste e aggiornare il cluster. Se preferisci, puoi aggiornare il progetto e il cluster prima di eseguire lo script come descritto nelle sezioni Configurazione del progetto e Configurazione del cluster della guida all'installazione per più progetti. Tutti questi flag non sono compatibili con --only_validate e in questo caso lo script termina con un errore.

-e|--enable_all
Consenti allo script di eseguire tutte le singole azioni di abilitazione descritte di seguito.
--enable_cluster_roles
Consenti allo script di tentare di associare l'account utente o di servizio della piattaforma Google Cloud che esegue lo script al ruolo cluster-admin sul tuo cluster. Lo script determina l'account utente dal comando gcloud config get-value core/account. Se esegui lo script in locale con un account utente, assicurati di chiamare il comando gcloud auth login prima di eseguire lo script. Se devi cambiare l'account utente, esegui il comando gcloud config set core/account GCP_EMAIL_ADDRESS, dove GCP_EMAIL_ADDRESS è l'account che utilizzi per accedere a Google Cloud.
--enable_cluster_labels
Consenti allo script di impostare le etichette del cluster richieste.
--enable_gcp_components

Consenti allo script di abilitare i seguenti componenti e servizi gestiti di Google Cloud richiesti:

--enable_gcp_apis

Consenti allo script di attivare tutte le API di Google richieste.

--enable_gcp_iam_roles

Consenti allo script di impostare le autorizzazioni IAM necessarie.

--enable-registration

Consenti allo script di registrare il cluster nel progetto in cui si trova il cluster. Se non includi questo flag, segui i passaggi descritti in Registrazione di un cluster per registrare manualmente il cluster. Tieni presente che, a differenza degli altri flag di abilitazione, --enable-registration non è incluso in --enable_all. Specifica separatamente questo flag.

Altri flag

-v|--verbose
Stampa i comandi prima e dopo l'esecuzione.
--dry_run
Stampare i comandi, ma non eseguirli.
--only_validate
Esegui la convalida, ma non aggiornare il progetto o il cluster e non installare Anthos Service Mesh. Questo flag non è compatibile con i flag di abilitazione. Lo script termina con un errore se specifichi --only_validate con un flag di abilitazione.
--print_config
Anziché installare Anthos Service Mesh, stampa tutti i file YAML compilati nell'output standard (stdout). Tutti gli altri output vengono scritti nell'errore standard (stderr), anche se normalmente vanno su stdout. Quando specifichi questo flag, lo script ignora tutte le convalide e la configurazione.
--disable_canonical_service
Per impostazione predefinita, lo script esegue il deployment del controller del servizio canonico nel cluster. Se non vuoi che lo script esegua il deployment del controller, specifica --disable_canonical_service. Per maggiori informazioni, consulta Attivare e disattivare il controller di servizio canonico.
-h|--help
Mostra un messaggio della guida che descrive le opzioni e i flag, quindi esci.
--version
Stampa la versione di install_asm ed esci. Se il comando non restituisce una versione, scarica la versione più recente di install_asm_1.8.

Comprensione dello script

Anche se scarichi lo script da una posizione sicura di Cloud Source Repositories, lo script è disponibile anche su GitHub in modo che tu possa vedere cosa fa prima di scaricarlo. Lo script verifica che il progetto e il cluster soddisfino i requisiti di Anthos Service Mesh e automatizza tutti i passaggi che eseguiresti manualmente per configurare il progetto e il cluster e installare Anthos Service Mesh utilizzando il comando istioctl install.

Con Anthos Service Mesh 1.8.6, utilizzi la versione dello script install_asm sul ramo release-1.8-asm. Per una spiegazione del processo di controllo delle versioni e di rilascio, consulta Controllo delle versioni/rilascio.

Convalida

validate_args() {
  if [[ "${MODE}" == "install" && -z "${CA}" ]]; then
    CA="mesh_ca"
  fi

  if is_managed; then
    if [[ "${MODE}" != "install" ]]; then
      fatal "Migrate and upgrade are incompatible with managed control plane."
    fi

    if [[ "${CA}" == "citadel" ]]; then
      fatal "Citadel is not supported with managed control plane."
    fi

    if [[ "${CA}" == "gcp_cas" ]]; then
      fatal "Google Certificate Authority Service integration is not supported with managed control plane."
    fi

    if [[ "${CUSTOM_CA}" -eq 1 ]]; then
      fatal "Specifying a custom CA with managed control plane is not supported."
    fi
  fi

  local MISSING_ARGS=0
  while read -r REQUIRED_ARG; do
    if [[ -z "${!REQUIRED_ARG}" ]]; then
      MISSING_ARGS=1
      warn "Missing value for ${REQUIRED_ARG}"
    fi
    readonly "${REQUIRED_ARG}"
  done <<EOF
validate_dependencies() {
  validate_node_pool
  validate_k8s
  validate_expected_control_plane

  if [[ "${MODE}" = "migrate" ]]; then
    validate_istio_version
  elif [[ "${MODE}" = "upgrade" ]]; then
    validate_asm_version
    validate_ca_consistency
  fi
}

Le funzioni validate_args e validate_dependencies:

  • Verifica che siano installati tutti gli strumenti richiesti.
  • Verifica che l'ID progetto, il nome e la località del cluster che hai inserito come valori dei parametri siano validi.
  • Garantisce che il cluster soddisfi il tipo di macchina minimo richiesto e il numero di nodi.

Configurazione del progetto in corso…

Se hai incluso il flag --enable_all o --enable_apis, lo script abilita le API richieste:

required_apis() {
    cat << EOF
container.googleapis.com
compute.googleapis.com
monitoring.googleapis.com
logging.googleapis.com
cloudtrace.googleapis.com
meshtelemetry.googleapis.com
meshconfig.googleapis.com
iamcredentials.googleapis.com
gkeconnect.googleapis.com
gkehub.googleapis.com
cloudresourcemanager.googleapis.com
stackdriver.googleapis.com
EOF
  case "${CA}" in
   mesh_ca)
     echo meshca.googleapis.com
     ;;
   gcp_cas)
     echo privateca.googleapis.com
     ;;
    *);;
  esac
}

Se hai incluso il flag --enable_all o --enable_gcp_iam_roles, lo script imposta le autorizzazioni IAM richieste.

Configurazione del cluster

Lo script esegue i seguenti aggiornamenti al cluster se hai incluso il flag --enable_all o uno dei flag di abilitazione più granulari elencati di seguito:

Aggiornamento del cluster Flag
Abilita Workload Identity, che consente alle applicazioni GKE di accedere in sicurezza ai servizi Google Cloud. --enable_gcp_components
Abilita Cloud Monitoring e Cloud Logging su GKE --enable_gcp_components
Imposta sul cluster l'etichetta mesh_id, necessaria per visualizzare le metriche nelle pagine Anthos Service Mesh nella console Google Cloud. --enable_cluster_labels
Imposta un'etichetta come asmv=asm-186-8, in modo che tu possa capire che il cluster è stato modificato dallo script. --enable_cluster_labels
Associa l'account utente o di servizio Google Cloud che esegue lo script al ruolo "cluster-admin" nel cluster. --enable_cluster_roles

Passaggi successivi