La migración de Istio a Anthos Service Mesh requiere un poco de planificación. En esta página, se proporciona información que te ayudará a prepararte para la migración.
Revisa las funciones compatibles
Las funciones que son compatibles con Anthos Service Mesh varían entre plataformas. Revisa las funciones compatibles para que conozcas cuáles están disponibles para tu plataforma. Algunas funciones están habilitadas de forma predeterminada, y otras pueden habilitarlas de forma opcional mediante la creación de un archivo de configuración IstioOperator
.
Prepara archivos de configuración
Si personalizaste la instalación de Istio, necesitas usar las mismas personalizaciones cuando migras a Anthos Service Mesh. Si personalizaste la instalación mediante la marca --set values
, agrega esa configuración a un archivo YAML IstioOperator
. Especifica el archivo con la marca -f
cuando ejecutes el comando istioctl install
. Si usas la secuencia de comandos install_asm
proporcionada por Google para migrar a Anthos Service Mesh, puedes especificar la opción --custom_overlay
con el archivo.
Elige una autoridad certificada
Puedes seguir usando la CA de Istio (antes conocida como Citadel) como la autoridad certificada (CA) para emitir TLS mutua (mTLS). También puedes migrar a la autoridad certificadora de Anthos Service Mesh (CA de Mesh).
Por lo general, recomendamos que uses CA de Mesh por los siguientes motivos:
- La CA de Mesh es un servicio altamente confiable y escalable que está optimizado para cargas de trabajo escaladas de forma dinámica en Google Cloud.
- Con la CA de Mesh, Google administra la seguridad y la disponibilidad del backend de CA.
- La CA de Mesh te permite tener una sola raíz de confianza entre clústeres.
Sin embargo, hay algunos casos en los que se recomienda usar la CA de Istio, como los que se describen a continuación:
- Si tienes una CA personalizada.
- No puedes programar el tiempo de inactividad de la migración para la CA de Mesh. Si eliges Istio CA, hay poco tiempo de inactividad porque el tráfico de mTLS no se interrumpe durante la migración. Si eliges CA de Mesh, debes programar el tiempo de inactividad para la migración, ya que la raíz de confianza cambia de Istio CA a la CA de Mesh. Para completar la migración a la raíz de confianza de la CA de Mesh, debes reiniciar todos los Pods en todos los espacios de nombres. Durante este proceso, los Pods antiguos no pueden establecer conexiones mTLS con los Pods nuevos.