Merencanakan penginstalan
Halaman ini memberikan informasi untuk membantu Anda merencanakan penginstalan baru Cloud Service Mesh dalam cluster untuk workload Kubernetes di luar Google Cloud.
Menyesuaikan bidang kontrol
Fitur yang didukung oleh Cloud Service Mesh berbeda-beda di setiap platform. Saran dari kami
Anda meninjau Fitur yang didukung untuk
mempelajari fitur apa saja yang didukung di platform Anda. Beberapa fitur diaktifkan
secara default, sedangkan lainnya dapat Anda aktifkan secara opsional dengan membuat IstioOperator
file overlay. Saat menjalankan asmcli install
, Anda dapat menyesuaikan bidang kontrol
dengan menentukan --custom_overlay
dengan file overlay. Sebagai praktik terbaik, sebaiknya
Anda menyimpan
file {i>overlay<i} di dalam
sistem kontrol versi Anda.
Tujuan
Direktori asmcli
di GitHub berisi banyak file overlay. File ini berisi penyesuaian umum
ke konfigurasi default. Anda dapat menggunakan {i>file<i} ini sebagaimana adanya, atau Anda dapat
membuat perubahan tambahan
pada mereka sesuai kebutuhan. Beberapa file diperlukan untuk
mengaktifkan fitur Cloud Service Mesh opsional.
Paket anthos-service-mesh
akan didownload saat Anda menjalankan asmcli
ke
validasikan project dan cluster Anda.
Saat menginstal Cloud Service Mesh menggunakan asmcli install
, Anda
dapat menentukan satu atau beberapa file overlay dengan --option
atau --custom_overlay
.
Jika Anda tidak perlu melakukan perubahan apa pun pada file di anthos-service-mesh
repositori, Anda dapat menggunakan --option
, dan skrip mengambil file dari GitHub.
keamanan untuk Anda. Jika tidak, Anda dapat membuat perubahan pada file overlay, lalu menggunakan
--custom_overlay
untuk meneruskannya ke asmcli
.
Pilih Certificate Authority
Tergantung pada kasus penggunaan dan platform, Anda dapat memilih salah satu opsi berikut sebagai otoritas sertifikat (CA) untuk menerbitkan TLS bersama (mTLS) sertifikat:
Bagian ini memberikan informasi tingkat tinggi tentang masing-masing opsi CA dan kasus penggunaan mereka.
Jaring CA
Kecuali jika Anda memerlukan CA kustom, sebaiknya gunakan Certificate authority Cloud Service Mesh karena alasan berikut:
- Otoritas sertifikat {i>Cloud Service Mesh<i} adalah layanan yang sangat andal dan skalabel dan dioptimalkan untuk workload yang diskalakan secara dinamis.
- Dengan certificate authority Cloud Service Mesh, Google mengelola keamanan dan ketersediaan dari backend CA.
- Dengan certificate authority Cloud Service Mesh, Anda dapat mengandalkan satu root kepercayaan di seluruh klaster.
Sertifikat dari certificate authority Cloud Service Mesh mencakup data berikut tentang layanan aplikasi Anda:
- ID project Google Cloud
- Namespace GKE
- Nama akun layanan GKE
CA Service
Selain certificate authority Cloud Service Mesh, Anda dapat mengonfigurasi Cloud Service Mesh agar Certificate Authority Service. Ini ini memberi Anda peluang untuk berintegrasi dengan CA Service, yang direkomendasikan untuk kasus penggunaan berikut:
- Jika Anda memerlukan certificate authority lain untuk menandatangani sertifikat workload pada cluster yang berbeda.
- Jika Anda perlu mendukung kunci penandatanganan di HSM terkelola.
- Jika Anda berada di industri yang diatur dengan regulasi ketat dan harus mematuhi kebijakan.
- Jika Anda ingin menggabungkan Cloud Service Mesh CA ke root perusahaan kustom untuk menandatangani sertifikat workload.
Biaya certificate authority Cloud Service Mesh disertakan dalam Harga Cloud Service Mesh. Tujuan CA Service tidak termasuk dalam harga dasar Cloud Service Mesh dan diisi daya secara terpisah. Selain itu, CA Service dilengkapi dengan SLA eksplisit, tetapi certificate authority Cloud Service Mesh tidak.
Istio CA
Sebaiknya gunakan Istio CA jika Anda memenuhi kriteria berikut:
- Mesh Anda sudah menggunakan Istio CA dan Anda tidak memerlukan manfaat yang diaktifkan oleh Certificate authority atau CA Service Cloud Service Mesh.
- Anda memerlukan root CA kustom.
- Anda memiliki workload di luar Google Cloud yang Layanan CA yang dikelola Google Cloud tidak dapat diterima.
Menyiapkan konfigurasi gateway
Cloud Service Mesh memberi Anda opsi untuk men-deploy dan mengelola gateway sebagai bagian dari jaringan layanan. Gateway menjelaskan load balancer yang beroperasi di tepi yang menerima koneksi HTTP/TCP masuk atau keluar. Gateway adalah Envoy {i>proxy<i} yang memberi Anda kontrol mendetail atas lalu lintas yang masuk dan meninggalkan {i>mesh<i}.
asmcli
tidak menginstal istio-ingressgateway
. Sebaiknya Anda
men-deploy dan mengelola gateway dan bidang kontrol secara terpisah. Untuk selengkapnya
lihat Menginstal dan mengupgrade gateway.