本页面介绍了 Anthos Service Mesh 1.8.6 支持的功能。如需了解以前版本的 Anthos Service Mesh 支持的功能,请参阅归档文档:
支持的版本
对 Anthos Service Mesh 的支持遵循 Anthos 版本支持政策。Google 支持当前和以前的两个 (n-2) 次要版本的 Anthos Service Mesh。下表显示了受支持的 Anthos Service Mesh 版本以及某个版本的最早服务终止 (EOL) 日期。
| 发布版本 | 发布日期 | 最早服务终止日期 |
|---|---|---|
| 1.14 | 2022 年 7 月 20 日 | 2023 年 4 月 20 日 |
| 1.13 | 2022 年 3 月 30 日 | 2022 年 12 月 30 日 |
| 1.12 | 2021 年 12 月 9 日 | 2022 年 9 月 9 日 |
如果您使用的是不受支持的 Anthos Service Mesh 版本,则必须升级到 Anthos Service Mesh v1.12 或更高版本。如需了解如何升级,请参阅升级 Anthos Service Mesh。
下表显示了不受支持的 Anthos Service Mesh 版本及其服务终止 (EOL) 日期。
| 发布版本 | 发布日期 | 服务终止 (EOL) 日期 |
|---|---|---|
| 1.11 | 2021 年 10 月 6 日 | 不受支持(2022 年 7 月 20 日) |
| 1.10 | 2021 年 6 月 24 日 | 不支持(2022 年 3 月 30 日) |
| 1.9 | 2021 年 3 月 4 日 | 不受支持(2021 年 12 月 14 日) |
| 1.8 | 2020 年 12 月 15 日 | 不受支持(2021 年 12 月 14 日) |
| 1.7 | 2020 年 11 月 3 日 | 不受支持(2021 年 12 月 14 日) |
| 1.6 | 2020 年 6 月 30 日 | 不支持(2021 年 3 月 30 日) |
| 1.5 | 2020 年 5 月 20 日 | 不支持(2021 年 2 月 17 日) |
| 1.4 | 2019 年 12 月 20 日 | 不支持(2020 年 9 月 18 日) |
如需详细了解我们的支持政策,请参阅获取支持。
平台差异
支持的功能因支持的平台以及 GKE on Google Cloud 集群位于同一项目还是不同项目中而异。在下表中,任何带有 图标的功能表示该功能默认处于启用状态。支持的可选表示平台支持该功能且可启用,如启用可选功能中所述。
Google Cloud 支持完全支持默认功能和可选功能。该表中未明确列出的功能会得到全力支持。带有 图标的任何功能都表示该功能不可用或不受支持。
如需了解如何在 Anthos on Bare Metal 上安装 Anthos Service Mesh,请与 Cloud 支持联系。
安装/升级/降级
必须使用 istioctl install 完成 Anthos 服务网格的安装、升级和降级。不支持安装 Istio 的其他方法。
使用 install_asm 脚本
install_asm 脚本会调用 istioctl install。如需详细了解 install_asm 脚本,请参阅在 GKE 上安装、迁移和升级。
| 特征 | GKE 集群(同一项目) | GKE 集群(不同项目) | 其他 Anthos 集群 |
|---|---|---|---|
| 新安装 | |||
| 升级 | |||
| 从 Istio 迁移 | |||
| 启用可选功能 |
使用 istioctl install
| 特征 | GKE 集群 | 其他 Anthos 集群 |
|---|---|---|
| 新安装 | ||
| 升级 | ||
| 从 Istio 迁移 | ||
| 启用可选功能 |
如需从 1.6 版 Istio on GKE 插件进行迁移,请按照使用 Operator 升级到 Istio 1.6 升级到 Anthos Service Mesh 1.7。
安全
证书分发/轮替机制
| 特征 | GKE 集群 | 其他 Anthos 集群 |
|---|---|---|
| 使用 Envoy SDS 管理工作负载证书 | ||
| 使用 Envoy SDS 在入站流量网关上管理外部证书 | 支持的可选 |
证书授权机构 (CA) 支持
| 特征 | GKE 集群(同一项目) | GKE 集群(不同项目) | 其他 Anthos 集群 |
|---|---|---|---|
| Anthos Service Mesh 证书授权机构 (Mesh CA) | |||
| Certificate Authority Service(预览版) | |||
| Citadel CA | |||
| 与自定义 CA 集成 |
授权政策
| 特征 | GKE 集群 | 其他 Anthos 集群 |
|---|---|---|
| 授权 v1beta1 政策 |
身份验证政策
对等身份验证
| 特征 | GKE 集群 | 其他 Anthos 集群 |
|---|---|---|
| 自动 mTLS | ||
| mTLS PERMISSIVE 模式 | ||
| mTLS STRICT 模式 | 支持的可选 | 支持的可选 |
请求身份验证
| 特征 | GKE 集群 | 其他 Anthos 集群 |
|---|---|---|
| JWT 身份验证 |
遥测
指标
| 特征 | GKE 集群 | 其他 Anthos 集群 |
|---|---|---|
| Cloud Monitoring(HTTP 代理中指标) | ||
| Cloud Monitoring(TCP 代理中指标) | ||
| 网格遥测(代理中边缘数据) | ||
| Prometheus 指标导出到客户安装的 Prometheus、Grafana 和 Kiali 信息中心 | 兼容 | 兼容 |
| 自定义适配器/后端,出入进程 | ||
| 任意遥测和日志记录后端 |
支持 Anthos Service Mesh 与第三方遥测产品之间的集成。
访问日志记录
| 特征 | GKE 集群 | 其他 Anthos 集群 |
|---|---|---|
| Cloud Logging | ||
将 Envoy 定向到 stdout |
支持的可选 | 支持的可选 |
跟踪
| 特征 | GKE 集群 | 其他 Anthos 集群 |
|---|---|---|
| Cloud Trace | 支持的可选 | |
| Jaeger 跟踪(允许使用客户管理的 Jaeger) | 兼容 | 兼容 |
| Zipkin 跟踪(允许使用客户管理的 Zipkin) | 兼容 | 兼容 |
支持 Anthos Service Mesh 与第三方遥测产品之间的集成。
政策
| 特征 | GKE 集群 | 其他 Anthos 集群 |
|---|---|---|
| 政策检查 |
网络
流量拦截/重定向机制
| 特征 | GKE 集群 | 其他 Anthos 集群 |
|---|---|---|
iptables 的传统用法:将 init 容器与 CAP_NET_ADMIN 结合使用 |
||
| Istio 容器网络接口 (CNI) | 支持的可选 | 支持的可选 |
| 白盒 Sidecar |
协议支持
| 特征 | GKE 集群 | 其他 Anthos 集群 |
|---|---|---|
| IPv4 | ||
| HTTP/1.1 | ||
| HTTP/2 | ||
| TCP 字节流(备注 1) | ||
| gRPC | ||
| IPv6 |
备注:
- 虽然 TCP 是网络支持的协议,但系统不会收集或报告 TCP 指标。系统仅针对控制台中的 HTTP 服务显示指标。
- 不支持将配置有第 7 层功能的服务用于以下协议:WebSocket、MongoDB、Redis、Kafka、Cassandra、RabbitMQ、Cloud SQL。您可以通过 TCP 字节流支持来使协议正常工作。如果 TCP 字节流无法支持协议(例如,Kafka 在特定于协议的回复中发送重定向地址,并且此重定向与 Anthos Service Mesh 的路由逻辑不兼容),则协议不受支持。
Envoy 部署
| 特征 | GKE 集群 | 其他 Anthos 集群 |
|---|---|---|
| Sidecar | ||
| 入站流量网关 | ||
| 直接从 Sidecar 出站 | ||
| 使用出站流量网关出站 | 支持的可选 | 支持的可选 |
CRD 支持
| 特征 | GKE 集群 | 其他 Anthos 集群 |
|---|---|---|
| Sidecar 资源 | ||
| 服务条目资源 | ||
| 百分比、故障注入、路径匹配、重定向、重试、重写、超时、重试、镜像、标头操纵和 CORS 路由规则 | ||
| 自定义 Envoy 过滤器 |
Istio 入站流量网关的负载平衡器
| 特征 | GKE 集群 | 其他 Anthos 集群 |
|---|---|---|
| 公共负载平衡器 | ||
| Google Cloud 内部负载平衡器 | 支持的可选 | 不受支持。请参阅以下链接。 |
如需了解如何配置负载平衡器,请参阅以下内容:
- 为 Anthos clusters on VMware 设置负载平衡器
- Anthos clusters on AWS:创建负载平衡器
负载平衡政策
| 特征 | GKE 集群 | 其他 Anthos 集群 |
|---|---|---|
| 轮询 | ||
| 最少连接 | ||
| 随机 | ||
| 直通 | ||
| 一致的哈希 | ||
| 位置加权 |
多集群支持
对于不同项目中的 GKE 集群的多主模式部署,所有集群都必须位于共享 Virtual Private Cloud (VPC) 中。
网络
| 特征 | GKE 集群 | 本地 Anthos 集群 | 其他 Anthos 集群 |
|---|---|---|---|
| 单网络 | |||
| 多网络 |
部署模型
| 特征 | GKE 集群 | 本地 Anthos 集群 | 其他 Anthos 集群 |
|---|---|---|---|
| 多主模式 | |||
| 主远程 |
有关术语的注意事项
主集群是具有控制层面的集群。单个网格可以有多个主集群来实现高可用性或缩短延迟时间。在 Istio 1.7 文档中,多主模式部署称为复制的控制层面。
远程集群是连接到集群外部的控制层面的集群。远程集群可以连接到在主集群中运行的控制层面或外部控制层面。
Anthos Service Mesh 会根据通用连接使用简化的网络定义。如果工作负载实例无需使用网关就可以直接通信,则它们位于同一网络上。
界面
| 特征 | GKE 集群(同一项目) | GKE 集群(不同项目) | 其他 Anthos 集群 |
|---|---|---|---|
| 控制台中的 Anthos Service Mesh 信息中心 | |||
| Cloud Monitoring | |||
| Cloud Logging | |||
| Cloud Trace |
无法再使用 istioctl install 安装 Zipkin 和 Kiali 插件组件。如果您启用将指标导出到 Prometheus,则可以安装自己的 Grafana 和 Kiali 实例。支持 Anthos Service Mesh 与第三方遥测插件之间的集成。
支持的平台
Anthos Service Mesh 1.8.6 仅支持以下环境。所有其他环境均不受支持。
| 平台 | 版本 |
|---|---|
| GKE on Google Cloud |
我们建议您在发布版本中注册 GKE 集群。注册时,请使用常规发布版本,因为其他发布版本可能基于不支持的 GKE 版本。Anthos Service Mesh 1.8.6 支持以下 GKE 版本:1.15、1.16、1.17 和 1.18。请注意,Anthos Service Mesh 1.8.6 不支持 GKE 1.14 版。 如需详细了解每个发布版本中包含的 GKE 版本,请参阅以下内容: |
| VMware 上的 Anthos 集群 1.7 | Kubernetes 1.19 版 |
| Anthos on Bare Metal 1.7 | Kubernetes 1.19 版 |
| Anthos clusters on AWS 1.7 | Kubernetes 1.19 版 |
| Anthos 连接的集群 | Anthos Service Mesh 1.8.6-asm.8 未满足 Anthos 关联集群(Amazon EKS 和 Microsoft AKS)的要求且为不支持的状态。这些平台合格且已通过 Kubernetes Service 1.17 的 Anthos Service Mesh 1.7 全面支持。如果您在这些平台上安装了 Anthos Service Mesh 1.7,请勿升级到 Anthos Service Mesh 1.8.6-asm.8。如需了解详情,请参阅在 Anthos 关联的集群上安装 Anthos Service Mesh 1.7。 |