Merencanakan penginstalan

Halaman ini memberikan informasi untuk membantu Anda merencanakan penginstalan baru Cloud Service Mesh dalam cluster untuk workload Kubernetes di luar Google Cloud.

Menyesuaikan bidang kontrol

Fitur yang didukung oleh Cloud Service Mesh berbeda-beda di setiap platform. Saran dari kami Anda meninjau Fitur yang didukung untuk mempelajari fitur apa saja yang didukung di platform Anda. Beberapa fitur diaktifkan secara default, sedangkan lainnya dapat Anda aktifkan secara opsional dengan membuat IstioOperator file overlay. Saat menjalankan asmcli install, Anda dapat menyesuaikan bidang kontrol dengan menentukan --custom_overlay dengan file overlay. Sebagai praktik terbaik, sebaiknya Anda menyimpan file {i>overlay<i} di dalam sistem kontrol versi Anda.

Tujuan Direktori asmcli di GitHub berisi banyak file overlay. File ini berisi penyesuaian umum ke konfigurasi default. Anda dapat menggunakan {i>file<i} ini sebagaimana adanya, atau Anda dapat membuat perubahan tambahan pada mereka sesuai kebutuhan. Beberapa file diperlukan untuk mengaktifkan fitur Cloud Service Mesh opsional. Paket anthos-service-mesh akan didownload saat Anda menjalankan asmcli ke validasikan project dan cluster Anda.

Saat menginstal Cloud Service Mesh menggunakan asmcli install, Anda dapat menentukan satu atau beberapa file overlay dengan --option atau --custom_overlay. Jika Anda tidak perlu melakukan perubahan apa pun pada file di anthos-service-mesh repositori, Anda dapat menggunakan --option, dan skrip mengambil file dari GitHub. keamanan untuk Anda. Jika tidak, Anda dapat membuat perubahan pada file overlay, lalu menggunakan --custom_overlay untuk meneruskannya ke asmcli.

Pilih Certificate Authority

Tergantung pada kasus penggunaan dan platform, Anda dapat memilih salah satu opsi berikut sebagai otoritas sertifikat (CA) untuk menerbitkan TLS bersama (mTLS) sertifikat:

Bagian ini memberikan informasi tingkat tinggi tentang masing-masing opsi CA dan kasus penggunaan mereka.

Jaring CA

Kecuali jika Anda memerlukan CA kustom, sebaiknya gunakan Certificate authority Cloud Service Mesh karena alasan berikut:

Otoritas sertifikat {i>Cloud Service Mesh<i} adalah layanan yang sangat andal dan skalabel dan dioptimalkan untuk workload yang diskalakan secara dinamis.
Dengan certificate authority Cloud Service Mesh, Google mengelola keamanan dan ketersediaan dari backend CA.
Dengan certificate authority Cloud Service Mesh, Anda dapat mengandalkan satu root kepercayaan di seluruh klaster.

Sertifikat dari certificate authority Cloud Service Mesh mencakup data berikut tentang layanan aplikasi Anda:

ID project Google Cloud
Namespace GKE
Nama akun layanan GKE

CA Service

Catatan platform: CA Service hanya didukung di platform berikut: Cluster GKE di Google Cloud, Google Distributed Cloud (khusus software) untuk VMware, dan Distributed Cloud. Jika Anda menjalankan asmcli install dan tentukan --ca gcp_cas di metode lain platform, penginstalan tampak berhasil, tetapi workload Anda akan gagal untuk memulai.

Selain certificate authority Cloud Service Mesh, Anda dapat mengonfigurasi Cloud Service Mesh agar Certificate Authority Service. Ini ini memberi Anda peluang untuk berintegrasi dengan CA Service, yang direkomendasikan untuk kasus penggunaan berikut:

Jika Anda memerlukan certificate authority lain untuk menandatangani sertifikat workload pada cluster yang berbeda.
Jika Anda perlu mendukung kunci penandatanganan di HSM terkelola.
Jika Anda berada di industri yang diatur dengan regulasi ketat dan harus mematuhi kebijakan.
Jika Anda ingin menggabungkan Cloud Service Mesh CA ke root perusahaan kustom untuk menandatangani sertifikat workload.

Biaya certificate authority Cloud Service Mesh disertakan dalam Harga Cloud Service Mesh. Tujuan CA Service tidak termasuk dalam harga dasar Cloud Service Mesh dan diisi daya secara terpisah. Selain itu, CA Service dilengkapi dengan SLA eksplisit, tetapi certificate authority Cloud Service Mesh tidak.

Istio CA

Sebaiknya gunakan Istio CA jika Anda memenuhi kriteria berikut:

Mesh Anda sudah menggunakan Istio CA dan Anda tidak memerlukan manfaat yang diaktifkan oleh Certificate authority atau CA Service Cloud Service Mesh.
Anda memerlukan root CA kustom.
Anda memiliki workload di luar Google Cloud yang Layanan CA yang dikelola Google Cloud tidak dapat diterima.

Menyiapkan konfigurasi gateway

Cloud Service Mesh memberi Anda opsi untuk men-deploy dan mengelola gateway sebagai bagian dari jaringan layanan. Gateway menjelaskan load balancer yang beroperasi di tepi yang menerima koneksi HTTP/TCP masuk atau keluar. Gateway adalah Envoy {i>proxy<i} yang memberi Anda kontrol mendetail atas lalu lintas yang masuk dan meninggalkan {i>mesh<i}.

asmcli tidak menginstal istio-ingressgateway. Sebaiknya Anda men-deploy dan mengelola gateway dan bidang kontrol secara terpisah. Untuk selengkapnya lihat Menginstal dan mengupgrade gateway.

Apa langkah selanjutnya?

Menginstal alat dependen dan memvalidasi cluster