規劃安裝作業
Google Cloud 詳情請參閱「Cloud Service Mesh 總覽」。本頁面提供資訊,協助您規劃叢集內 Cloud Service Mesh 的新安裝作業,以便為 Kubernetes 工作負載提供 off Google Cloud。
自訂控制層
Cloud Service Mesh 支援的功能會因平台而異。建議您詳閱「支援的功能」,瞭解您的平台支援哪些功能。部分功能會在預設情況下啟用,您也可以選擇建立 IstioOperator 重疊檔案來啟用其他功能。執行 asmcli install 時,您可以使用覆蓋檔案指定 --custom_overlay 選項,自訂控制層。建議您將重疊檔案儲存在版本控制系統中。
GitHub 中的 asmcli 目錄包含許多疊加層檔案。這些檔案包含預設設定的常見自訂項目。您可以直接使用這些檔案,也可以視需要進行額外變更。您必須提供部分檔案,才能啟用選用的 Cloud Service Mesh 功能。執行 asmcli 以驗證專案和叢集時,系統會下載 anthos-service-mesh 套件。
使用 asmcli install 安裝 Cloud Service Mesh 時,您可以使用 --option 或 --custom_overlay 指定一或多個覆蓋檔案。如果您不需要對 anthos-service-mesh 存放區中的檔案進行任何變更,可以使用 --option,這個指令碼會為您從 GitHub 擷取檔案。否則,您可以修改重疊檔案,然後使用 --custom_overlay 選項將其傳遞至 asmcli。
選擇憑證授權單位
視用途和平台而定,您可以選擇下列任一憑證授權單位 (CA) 來核發雙向傳輸層安全標準 (mTLS) 憑證:
本節將概略說明這些 CA 選項和用途。
Mesh CA
除非您需要自訂 CA,否則建議您使用 Cloud Service Mesh 憑證授權單位,原因如下:
- Cloud Service Mesh 憑證授權單位是一項可靠度高且可擴充的服務,可針對動態調整的工作負載進行最佳化。
- 透過 Cloud Service Mesh 憑證授權單位,Google 會管理 CA 後端的安全性和可用性。
- Cloud Service Mesh 憑證授權單位可讓您在叢集之間使用單一信任根。
Cloud Service Mesh 憑證授權單位的憑證包含應用程式服務的下列資料:
- Google Cloud 專案 ID
- GKE 命名空間
- GKE 服務帳戶名稱
CA 服務
除了 Cloud Service Mesh 憑證授權單位,您也可以設定 Cloud Service Mesh 使用憑證授權單位服務。本指南可讓您整合 CA 服務,建議您在下列用途中使用此服務:
- 如果您需要不同的憑證授權單位在不同叢集中簽署工作負載憑證。
- 如需在 Cloud HSM 中備份簽署金鑰。
- 如果您屬於受嚴格監管的產業,且須遵守相關法規。
- 如要將 Cloud Service Mesh CA 鏈結至自訂企業根憑證,以便簽署工作負載憑證。
Cloud Service Mesh 憑證授權單位的費用已包含在 Cloud Service Mesh 定價中。CA 服務不包含在 Cloud Service Mesh 的基本價格中,須另外收費。此外,CA 服務還提供明確的服務水準協議,但 Cloud Service Mesh 憑證授權單位則沒有。
Istio CA
如果您符合下列條件,建議您使用 Istio CA:
- 您的網格已使用 Istio CA,因此不需要 Cloud Service Mesh 憑證授權單位或 CA 服務提供的優點。
- 您需要自訂根 CA。
- 您有Google Cloud 工作負載,不允許使用Google Cloud管理的 CA 服務。
準備閘道設定
Cloud Service Mesh 可讓您選擇部署及管理服務網格中的閘道。閘道是指在邊緣運作的負載平衡器,用於接收或傳送 HTTP/TCP 連線。閘道是 Envoy 代理程式,可讓您精細控管進入及離開網格的流量。
asmcli 不會安裝 istio-ingressgateway。建議您分別部署及管理控制層和閘道。詳情請參閱「安裝及升級閘道」。