Questa pagina descrive la configurazione di Anthos Service Mesh per il tuo progetto Cloud e i cluster Google Kubernetes Engine (GKE) per una rete mesh composta da cluster che fanno parte dello stesso progetto. Quando utilizzi lo script fornito da Google install_asm
, lo script può configurare il progetto e il cluster per te se includi il flag --enable_all
o i flag di abilitazione più granulari.
Se preferisci eseguire la configurazione autonomamente anziché chiedere a install_asm
di apportare le
modifiche, segui i passaggi indicati in questa pagina. Se hai già installato una versione precedente di Anthos Service Mesh, non è necessario apportare modifiche al progetto o al cluster prima di utilizzare install_asm
per eseguire l'upgrade alla versione più recente di Anthos Service Mesh.
Prima di iniziare
- Esamina le differenze tra Anthos e Anthos Service Mesh
- Esamina i requisiti
- Scegli un'autorità di certificazione (CA)
- Registra il cluster
- Installare gli strumenti richiesti
Configurazione del progetto in corso…
Recupera l'ID e il numero del progetto in cui è stato creato il cluster.
gcloud
Esegui questo comando:
gcloud projects list
Console
Vai alla pagina Dashboard nella console Google Cloud.
Fai clic sull'elenco a discesa nella parte superiore della pagina. Nella finestra Seleziona da visualizzata, scegli il tuo progetto.
L'ID e il numero del progetto sono visualizzati nella scheda Informazioni sul progetto della dashboard del progetto.
Crea le seguenti variabili di ambiente:
Imposta il pool di carichi di lavoro utilizzando l'ID progetto:
export WORKLOAD_POOL=PROJECT_ID.svc.id.goog
Imposta l'ID mesh utilizzando il numero di progetto:
export MESH_ID="proj-PROJECT_NUMBER"
Imposta i ruoli IAM (Identity and Access Management) richiesti. Se sei un proprietario di progetto, disponi di tutte le autorizzazioni necessarie per completare l'installazione. Se non sei un proprietario del progetto, è necessaria una persona che ti conceda i ruoli IAM specifici riportati di seguito. Nel seguente comando, sostituisci
PROJECT_ID
con l'ID progetto del passaggio precedente eGCP_EMAIL_ADDRESS
con l'account che utilizzi per accedere a Google Cloud.ROLES=( 'roles/servicemanagement.admin' \ 'roles/serviceusage.serviceUsageAdmin' \ 'roles/meshconfig.admin' \ 'roles/compute.admin' \ 'roles/container.admin' \ 'roles/resourcemanager.projectIamAdmin' \ 'roles/iam.serviceAccountAdmin' \ 'roles/iam.serviceAccountKeyAdmin' \ 'roles/gkehub.admin') for role in "${ROLES[@]}" do gcloud projects add-iam-policy-binding PROJECT_ID \ --member "user:GCP_EMAIL_ADDRESS" \ --role="$role" done
Se includi il flag
--enable_all
o--enable_gcp_iam_roles
quando eseguiinstall_asm
, questo imposta i ruoli IAM richiesti per te.Abilita le seguenti API di Google:
gcloud services enable \ --project=PROJECT_ID \ container.googleapis.com \ compute.googleapis.com \ monitoring.googleapis.com \ logging.googleapis.com \ cloudtrace.googleapis.com \ meshca.googleapis.com \ meshtelemetry.googleapis.com \ meshconfig.googleapis.com \ iamcredentials.googleapis.com \ gkeconnect.googleapis.com \ gkehub.googleapis.com \ cloudresourcemanager.googleapis.com \ stackdriver.googleapis.com
L'abilitazione delle API può richiedere un minuto o più. Quando le API sono abilitate, vedrai un output simile al seguente:
Operation "operations/acf.601db672-88e6-4f98-8ceb-aa3b5725533c" finished successfully.
Se includi il flag
--enable_all
o--enable_apis
quando eseguiinstall_asm
, questo abilita automaticamente le API richieste.
Configurazione del cluster
Se includi il flag --enable_all
o uno dei flag di abilitazione più granulari, lo script install_asm
configura il cluster per te.
Imposta la zona o la regione predefinita per Google Cloud CLI. Se non imposti il valore predefinito qui, assicurati di specificare l'opzione
--zone
o--region
nei comandigcloud container clusters
in questa pagina.Se hai un cluster a zona singola, imposta la zona predefinita:
gcloud config set compute/zone CLUSTER_LOCATION
Se hai un cluster a livello di regione, imposta la regione predefinita:
gcloud config set compute/region CLUSTER_LOCATION
Imposta l'etichetta
mesh_id
sul cluster. Se nel cluster esistono già etichette che vuoi conservare, devi includerle quando aggiungi l'etichettamesh_id
.Per verificare se il cluster ha etichette esistenti:
gcloud container clusters describe CLUSTER_NAME \ --project PROJECT_ID
Cerca il campo
resourceLabels
nell'output. Ogni etichetta viene archiviata in una riga separata sotto il camporesourceLabels
, ad esempio:resourceLabels: csm: '' env: dev release: stable
Per praticità, puoi aggiungere le etichette a una variabile di ambiente. Nel seguente, sostituisci
YOUR_EXISTING_LABELS
con un elenco separato da virgole delle etichette esistenti sul tuo cluster nel formatoKEY=VALUE
, ad esempio:env=dev,release=stable
export EXISTING_LABELS="YOUR_EXISTING_LABELS"
Imposta l'etichetta
mesh_id
:Se nel cluster esistono etichette che vuoi conservare, aggiorna il cluster con
mesh_id
e le etichette esistenti:gcloud container clusters update CLUSTER_NAME \ --project PROJECT_ID \ --update-labels=mesh_id=${MESH_ID},${EXISTING_LABELS}
Se il cluster non ha etichette esistenti, aggiorna il cluster solo con l'etichetta
mesh_id
:gcloud container clusters update CLUSTER_NAME \ --project=PROJECT_ID \ --update-labels=mesh_id=${MESH_ID}
Attiva Workload Identity:
gcloud container clusters update CLUSTER_NAME \ --project=PROJECT_ID \ --workload-pool=${WORKLOAD_POOL}
L'abilitazione di Workload Identity può richiedere da 10 a 15 minuti.
Abilita Cloud Monitoring e Cloud Logging su GKE:
gcloud container clusters update CLUSTER_NAME \ --project=PROJECT_ID \ --enable-stackdriver-kubernetes
Il progetto e il cluster GKE sono ora pronti per una nuova installazione o migrazione da Istio utilizzando install_asm
. Quando installi Anthos Service Mesh utilizzando install_asm
, lo script:
- Convalida il progetto e il cluster.
- Crea un account di servizio nel progetto per consentire ai componenti del piano di controllo di accedere ai dati e alle risorse del progetto.
- Configura i file di risorse (CR) personalizzate
IstioOperator
richiesti con le informazioni sul progetto e sul cluster per abilitare le funzionalità predefinite. - Chiama il numero
istioctl install
. Puoi specificare altri file RPIstioOperator
quando chiamiinstall_asm
per abilitare le funzionalità facoltative
Passaggi successivi
- Per le nuove installazioni, consulta Installazione di Anthos Service Mesh
- Per eseguire la migrazione da Istio ad Anthos Service Mesh, consulta Migrazione da Istio