Die Migration von Istio zu Anthos Service Mesh erfordert eine gewisse Planung. Auf dieser Seite finden Sie Informationen, die Ihnen bei der Vorbereitung auf die Migration helfen.
Unterstützte Funktionen überprüfen
Die von Anthos Service Mesh unterstützten Funktionen unterscheiden sich von Plattform zu Plattform. Unter Unterstützte Funktionen finden Sie die für Ihre Plattform verfügbaren Funktionen. Einige Funktionen sind standardmäßig aktiviert, andere können optional aktiviert werden. Erstellen Sie dazu eine IstioOperator-Konfigurationsdatei.
Konfigurationsdateien vorbereiten
Wenn Sie die Istio-Installation angepasst haben, müssen Sie für die Migration zu Anthos Service Mesh die gleichen Anpassungen vornehmen. Wenn Sie die Installation durch Hinzufügen des Flags --set values angepasst haben, fügen Sie diese Einstellungen in eine YAML-Datei vom Typ IstioOperator ein. Sie geben die Datei mit dem Flag -f an, wenn Sie den Befehl istioctl install ausführen. Wenn Sie das von Google bereitgestellte install_asm-Skript für die Migration zu Anthos Service Mesh verwenden, können Sie die Option --custom_overlay mit der Datei festlegen.
Zertifizierungsstelle auswählen
Sie können weiterhin Istio CA (früher Citadel) als Zertifizierungsstelle für die Erstellung von gegenseitigen TLS (mTLS)-Zertifikaten verwenden. Sie können aber auch zur Anthos Service Mesh-Zertifizierungsstelle (Mesh CA) migrieren.
Im Allgemeinen empfehlen wir, Mesh-CA zu verwenden, denn:
- Mesh CA ist ein zuverlässiger und skalierbarer Dienst, der für dynamisch skalierte Arbeitslasten in Google Cloud optimiert ist.
- Mit Mesh CA verwaltet Google die Sicherheit und Verfügbarkeit des CA-Back-Ends.
- Mesh CA ermöglicht es Ihnen, sich für alle Cluster auf eine einzige Root of Trust zu verlassen.
Es gibt jedoch Fälle, in denen Sie Istio-CA verwenden können, wie die folgenden:
- Mit einer benutzerdefinierten Zertifizierungsstelle.
- Sie können keine Ausfallzeiten für die Migration zu Mesh-CA planen. Wenn Sie Istio CA auswählen, gibt es keine Ausfallzeiten, da der mTLS-Traffic während der Migration nicht unterbrochen wird. Wenn Sie Mesh-CA auswählen, müssen Sie die Ausfallzeit für die Migration einplanen, da sich der Root of Trust von Istio CA zu Mesh CA ändert. Sie müssen alle Pods in allen Namespaces neu starten, um die Migration zum Mesh-CA Root of Trust abzuschließen. Während dieses Vorgangs können die alten Pods keine mTLS-Verbindungen zu den neuen Pods herstellen.