Istio からの移行の準備

Istio から Anthos Service Mesh に移行するには、いくつかの計画が必要です。このページでは、移行の準備に役立つ情報を提供します。

サポートされる機能の確認

Anthos Service Mesh がサポートする機能はプラットフォームによって異なります。サポートされる機能を確認して、お使いのプラットフォームで使用できる機能をご覧ください。一部の機能はデフォルトで有効になっており、それ以外は IstioOperator 構成ファイルを作成することで、必要に応じて有効にすることもできます。

構成ファイルの準備

Istio のインストールをカスタマイズした場合は、Anthos Service Mesh に移行する際に、同じカスタマイズを行う必要があります。--set values フラグを追加してインストールをカスタマイズした場合は、これらの設定を IstioOperator YAML ファイルに追加します。このファイルを指定するには、istioctl install コマンドを実行するときに -f フラグを使用します。Google 提供の install_asm スクリプトを使用して Anthos Service Mesh に移行する場合は、ファイルに --custom_overlay オプションを指定できます。

認証局の選択

相互 TLS(mTLS)証明書を発行する認証局(CA)として、引き続き Istio CA(旧 Citadel)使用できます。また、Anthos Service Mesh 認証局(Mesh CA)に移行することもできます。

次の理由から、Mesh CA を使用することをおすすめします。

  • Mesh CA は、信頼性の高いスケーラブルなサービスで、Google Cloud 上で動的にスケーリングされるワークロード用に最適化されています。
  • Mesh CA を使用する場合、Google は CA バックエンドのセキュリティと可用性を管理します。
  • Mesh CA を使用すると、クラスタ間で単一のルート オブ トラストを使用できます。

ただし、次のような場合、Istio CA の使用を検討できます。

  • カスタム CA を使用する場合。
  • Mesh CA への移行のダウンタイムをスケジュールすることはできません。Istio CA を選択すると、移行中に mTLS トラフィックは中断されないため、ダウンタイムはほとんどありません。Mesh CA を選択する場合は、ルート オブ トラストが Istio CA から Mesh CA に変更されるため、移行時のダウンタイムをスケジューリングする必要があります。Mesh CA ルートオブ トラストへの移行を完了するには、すべての名前空間内の Pod をすべて再起動する必要があります。このプロセスにおいて、古い Pod は新しい Pod で mTLS 接続を確立できません。