在 GKE 中設定多叢集網格
Google Cloud 詳情請參閱「Cloud Service Mesh 總覽」。本指南說明如何使用 Mesh CA 或 Istio CA,將兩個叢集加入單一 Cloud Service Mesh,並啟用跨叢集負載平衡功能。您可以輕鬆擴充這個程序,將任意數量的叢集納入網格中。
多叢集 Cloud Service Mesh 設定可解決多種重要的企業情境,例如規模、位置和隔離。詳情請參閱「多叢集應用實例」。
事前準備
本指南假設您有兩個以上 Google Cloud GKE 叢集符合下列條件:
使用
asmcli install在叢集上安裝 Cloud Service Mesh 1.11 以上版本。您需要asmcli、istioctl工具,以及asmcli下載至您在執行asmcli install時在--output_dir中指定的目錄的範例。如果需要進行設定,請按照「安裝依附工具並驗證叢集」中的步驟操作:您必須先讓網格中的叢集與所有 Pod 建立連線,才能設定 Cloud Service Mesh。此外,如果您加入的叢集不在同一個專案中,則必須註冊至同一個機群主機專案,且叢集必須位於同一個網路的共用虛擬私有雲設定中。此外,建議您建立一個專案來主控共用虛擬私有雲,以及兩個服務專案來建立叢集。如需更多資訊,請參閱「透過共用虛擬私人雲端設定叢集」。
如果您使用 Istio CA,請為兩個叢集使用相同的自訂根憑證。
如果 Cloud Service Mesh 是建構在私人叢集上,建議您在同一個虛擬私有雲中建立單一子網路。否則,您必須確保:
- 控制層可透過叢集私人 IP 連線至遠端私人叢集控制層。
- 您可以將呼叫控制層的 IP 範圍新增至遠端私人叢集的授權網路。詳情請參閱「設定私人叢集之間的端點探索功能」。
API 伺服器必須可供多叢集網格中 Cloud Service Mesh 控制平面的其他例項存取。
- 確認叢集已啟用全域存取權。
- 確認 Cloud Service Mesh 控制層 IP 已透過「主授權網路」的許可清單正確允許。
設定專案和叢集變數
為專案 ID、叢集區或區域、叢集名稱和內容建立下列環境變數。
export PROJECT_1=PROJECT_ID_1 export LOCATION_1=CLUSTER_LOCATION_1 export CLUSTER_1=CLUSTER_NAME_1 export CTX_1="gke_${PROJECT_1}_${LOCATION_1}_${CLUSTER_1}" export PROJECT_2=PROJECT_ID_2 export LOCATION_2=CLUSTER_LOCATION_2 export CLUSTER_2=CLUSTER_NAME_2 export CTX_2="gke_${PROJECT_2}_${LOCATION_2}_${CLUSTER_2}"如果這些是新建立的叢集,請務必使用下列
gcloud指令擷取每個叢集的憑證,否則,相關聯的context將無法在本指南的後續步驟中使用。指令會因叢集類型而異,叢集類型可分為區域或區域叢集:
區域
gcloud container clusters get-credentials ${CLUSTER_1} --region ${LOCATION_1} gcloud container clusters get-credentials ${CLUSTER_2} --region ${LOCATION_2}可用區
gcloud container clusters get-credentials ${CLUSTER_1} --zone ${LOCATION_1} gcloud container clusters get-credentials ${CLUSTER_2} --zone ${LOCATION_2}
建立防火牆規則
在某些情況下,您需要建立防火牆規則,才能允許跨叢集流量。舉例來說,如果您符合下列情況,就需要建立防火牆規則:
- 您會為網格中的叢集使用不同的子網路。
- Pod 開啟的通訊埠不是 443 和 15002。
GKE 會自動在每個節點中新增防火牆規則,允許同一個子網路內的流量。如果網狀網路包含多個子網路,您必須明確設定防火牆規則,允許跨子網路的流量。您必須為每個子網路新增防火牆規則,允許所有傳入流量的來源 IP CIDR 區塊和目標連接埠。
以下說明如何在專案中的所有叢集之間,或僅在 $CLUSTER_1 和 $CLUSTER_2 之間,允許通訊。
收集叢集網路的相關資訊。
所有專案叢集
如果叢集位於同一個專案中,您可以使用下列指令,允許專案中所有叢集之間的通訊。如果專案中含有您不想公開的叢集,請使用「Specific clusters」分頁中的指令。
function join_by { local IFS="$1"; shift; echo "$*"; } ALL_CLUSTER_CIDRS=$(gcloud container clusters list --project $PROJECT_1 --format='value(clusterIpv4Cidr)' | sort | uniq) ALL_CLUSTER_CIDRS=$(join_by , $(echo "${ALL_CLUSTER_CIDRS}")) ALL_CLUSTER_NETTAGS=$(gcloud compute instances list --project $PROJECT_1 --format='value(tags.items.[0])' | sort | uniq) ALL_CLUSTER_NETTAGS=$(join_by , $(echo "${ALL_CLUSTER_NETTAGS}"))特定叢集
下列指令可讓
$CLUSTER_1和$CLUSTER_2之間進行通訊,且不會在專案中公開其他叢集。function join_by { local IFS="$1"; shift; echo "$*"; } ALL_CLUSTER_CIDRS=$(for P in $PROJECT_1 $PROJECT_2; do gcloud --project $P container clusters list --filter="name:($CLUSTER_1,$CLUSTER_2)" --format='value(clusterIpv4Cidr)'; done | sort | uniq) ALL_CLUSTER_CIDRS=$(join_by , $(echo "${ALL_CLUSTER_CIDRS}")) ALL_CLUSTER_NETTAGS=$(for P in $PROJECT_1 $PROJECT_2; do gcloud --project $P compute instances list --filter="name:($CLUSTER_1,$CLUSTER_2)" --format='value(tags.items.[0])' ; done | sort | uniq) ALL_CLUSTER_NETTAGS=$(join_by , $(echo "${ALL_CLUSTER_NETTAGS}"))建立防火牆規則。
GKE
gcloud compute firewall-rules create istio-multicluster-pods \ --allow=tcp,udp,icmp,esp,ah,sctp \ --direction=INGRESS \ --priority=900 \ --source-ranges="${ALL_CLUSTER_CIDRS}" \ --target-tags="${ALL_CLUSTER_NETTAGS}" --quiet \ --network=YOUR_NETWORKAutopilot
TAGS="" for CLUSTER in ${CLUSTER_1} ${CLUSTER_2} do TAGS+=$(gcloud compute firewall-rules list --filter="Name:$CLUSTER*" --format="value(targetTags)" | uniq) && TAGS+="," done TAGS=${TAGS::-1} echo "Network tags for pod ranges are $TAGS" gcloud compute firewall-rules create asm-multicluster-pods \ --allow=tcp,udp,icmp,esp,ah,sctp \ --network=gke-cluster-vpc \ --direction=INGRESS \ --priority=900 --network=VPC_NAME \ --source-ranges="${ALL_CLUSTER_CIDRS}" \ --target-tags=$TAGS
設定端點探索作業
設定端點探索功能所需的步驟取決於您是否偏好在車隊的叢集中使用宣告式 API,或是在公開叢集或私人叢集上手動啟用。
設定公開叢集之間的端點探索功能
如要設定 GKE 叢集之間的端點探索功能,請執行 asmcli create-mesh。此指令會執行下列作業:
- 將所有叢集註冊至同一個機群。
- 設定 Mesh 信任 Fleet Workload Identity。
- 建立遠端密鑰。
您可以為每個叢集指定 URI,或指定 kubeconfig 檔案的路徑。
叢集 URI
在以下指令中,將 FLEET_PROJECT_ID 替換為車隊主機專案的專案 ID,並將叢集 URI 替換為叢集名稱、可用區或地區,以及每個叢集的專案 ID。這個範例只會顯示兩個叢集,但您可以執行指令,在其他叢集中啟用端點探索功能,但須遵守可新增至機群的叢集數量上限。
./asmcli create-mesh \
FLEET_PROJECT_ID \
${PROJECT_1}/${LOCATION_1}/${CLUSTER_1} \
${PROJECT_2}/${LOCATION_2}/${CLUSTER_2}
kubeconfig 檔案
在下列指令中,將 FLEET_PROJECT_ID 替換為車隊主機專案的專案 ID,並將 PATH_TO_KUBECONFIG 替換為各個 kubeconfig 檔案的路徑。這個範例只會顯示兩個叢集,但您可以執行指令,在其他叢集中啟用端點探索功能,但請注意您可新增至機群的叢集數量上限。
./asmcli create-mesh \
FLEET_PROJECT_ID \
PATH_TO_KUBECONFIG_1 \
PATH_TO_KUBECONFIG_2
設定私人叢集之間的端點探索作業
設定遠端 Secret,允許 API 伺服器存取叢集,以便存取其他叢集的 Cloud Service Mesh 控制層。指令取決於 Cloud Service Mesh 類型 (叢集內或受管理):
A. 對於叢集內的 Cloud Service Mesh,您必須設定私人 IP,而非公開 IP,因為無法存取公開 IP:
PRIV_IP=`gcloud container clusters describe "${CLUSTER_1}" --project "${PROJECT_1}" \ --zone "${LOCATION_1}" --format "value(privateClusterConfig.privateEndpoint)"` ./istioctl x create-remote-secret --context=${CTX_1} --name=${CLUSTER_1} --server=https://${PRIV_IP} > ${CTX_1}.secretPRIV_IP=`gcloud container clusters describe "${CLUSTER_2}" --project "${PROJECT_2}" \ --zone "${LOCATION_2}" --format "value(privateClusterConfig.privateEndpoint)"` ./istioctl x create-remote-secret --context=${CTX_2} --name=${CLUSTER_2} --server=https://${PRIV_IP} > ${CTX_2}.secretB. 針對代管 Cloud Service Mesh:
PUBLIC_IP=`gcloud container clusters describe "${CLUSTER_1}" --project "${PROJECT_1}" \ --zone "${LOCATION_1}" --format "value(privateClusterConfig.publicEndpoint)"` ./istioctl x create-remote-secret --context=${CTX_1} --name=${CLUSTER_1} --server=https://${PUBLIC_IP} > ${CTX_1}.secretPUBLIC_IP=`gcloud container clusters describe "${CLUSTER_2}" --project "${PROJECT_2}" \ --zone "${LOCATION_2}" --format "value(privateClusterConfig.publicEndpoint)"` ./istioctl x create-remote-secret --context=${CTX_2} --name=${CLUSTER_2} --server=https://${PUBLIC_IP} > ${CTX_2}.secret將新 Secret 套用至叢集:
kubectl apply -f ${CTX_1}.secret --context=${CTX_2}kubectl apply -f ${CTX_2}.secret --context=${CTX_1}
為私人叢集設定授權網路
只有在以下所有條件都適用於您的網格時,才請您按照本節所述操作:
部署多個私人叢集時,每個叢集中的 Cloud Service Mesh 控制層都需要呼叫遠端叢集的 GKE 控制層。如要允許流量,您必須將呼叫叢集中的 Pod 位址範圍新增至遠端叢集的授權網路。
取得每個叢集的 Pod IP CIDR 區塊:
POD_IP_CIDR_1=`gcloud container clusters describe ${CLUSTER_1} --project ${PROJECT_1} --zone ${LOCATION_1} \ --format "value(ipAllocationPolicy.clusterIpv4CidrBlock)"`POD_IP_CIDR_2=`gcloud container clusters describe ${CLUSTER_2} --project ${PROJECT_2} --zone ${LOCATION_2} \ --format "value(ipAllocationPolicy.clusterIpv4CidrBlock)"`將 Kubernetes 叢集 Pod IP CIDR 區塊新增至遠端叢集:
EXISTING_CIDR_1=`gcloud container clusters describe ${CLUSTER_1} --project ${PROJECT_1} --zone ${LOCATION_1} \ --format "value(masterAuthorizedNetworksConfig.cidrBlocks.cidrBlock)"` gcloud container clusters update ${CLUSTER_1} --project ${PROJECT_1} --zone ${LOCATION_1} \ --enable-master-authorized-networks \ --master-authorized-networks ${POD_IP_CIDR_2},${EXISTING_CIDR_1//;/,}EXISTING_CIDR_2=`gcloud container clusters describe ${CLUSTER_2} --project ${PROJECT_2} --zone ${LOCATION_2} \ --format "value(masterAuthorizedNetworksConfig.cidrBlocks.cidrBlock)"` gcloud container clusters update ${CLUSTER_2} --project ${PROJECT_2} --zone ${LOCATION_2} \ --enable-master-authorized-networks \ --master-authorized-networks ${POD_IP_CIDR_1},${EXISTING_CIDR_2//;/,}詳情請參閱「建立具有授權網路的叢集」。
確認已更新授權網路:
gcloud container clusters describe ${CLUSTER_1} --project ${PROJECT_1} --zone ${LOCATION_1} \ --format "value(masterAuthorizedNetworksConfig.cidrBlocks.cidrBlock)"gcloud container clusters describe ${CLUSTER_2} --project ${PROJECT_2} --zone ${LOCATION_2} \ --format "value(masterAuthorizedNetworksConfig.cidrBlocks.cidrBlock)"
啟用控制層全域存取權
只有在以下所有條件都適用於您的網格時,才請您按照本節所述操作:
- 您使用的是私人叢集。
- 您為網格中的叢集使用不同的區域。
您必須啟用控制層全域存取權,才能讓每個叢集中的 Cloud Service Mesh 控制層呼叫遠端叢集的 GKE 控制層。
啟用控制層全域存取權:
gcloud container clusters update ${CLUSTER_1} --project ${PROJECT_1} --zone ${LOCATION_1} \ --enable-master-global-accessgcloud container clusters update ${CLUSTER_2} --project ${PROJECT_2} --zone ${LOCATION_2} \ --enable-master-global-access確認已啟用控制層全域存取權:
gcloud container clusters describe ${CLUSTER_1} --project ${PROJECT_1} --zone ${LOCATION_1}gcloud container clusters describe ${CLUSTER_2} --project ${PROJECT_2} --zone ${LOCATION_2}輸出內容中的
privateClusterConfig部分會顯示masterGlobalAccessConfig的狀態。
驗證多叢集連線
本節說明如何將範例 HelloWorld 和 Sleep 服務部署至多叢集環境,以驗證跨叢集負載平衡功能是否正常運作。
設定範例目錄的變數
前往下載
asmcli的位置,然後執行下列指令來設定ASM_VERSIONexport ASM_VERSION="$(./asmcli --version)"將工作資料夾設為您用於驗證跨叢集負載平衡功能是否運作的範例。這些樣本位於您在
asmcli install指令中指定的--output_dir目錄中。在下列指令中,將OUTPUT_DIR變更為您在--output_dir中指定的目錄。export SAMPLES_DIR=OUTPUT_DIR/istio-${ASM_VERSION%+*}
啟用補充物注入功能
在每個叢集中建立範例命名空間。
for CTX in ${CTX_1} ${CTX_2} do kubectl create --context=${CTX} namespace sample done在建立的命名空間中啟用補充資訊植入功能。
建議做法:執行下列指令,將預設注入標籤套用至命名空間:
for CTX in ${CTX_1} ${CTX_2} do kubectl label --context=${CTX} namespace sample \ istio.io/rev- istio-injection=enabled --overwrite done建議您使用預設插入方式,但系統也支援以修訂版本為基礎的插入方式: 請按照下列操作說明操作:
使用下列指令,找出
istiod上的修訂版本標籤:kubectl get deploy -n istio-system -l app=istiod -o \ jsonpath={.items[*].metadata.labels.'istio\.io\/rev'}'{"\n"}'將修訂標籤套用至命名空間。在下列指令中,
REVISION_LABEL是您在上一個步驟中記下的istiod修訂版本標籤值。for CTX in ${CTX_1} ${CTX_2} do kubectl label --context=${CTX} namespace sample \ istio-injection- istio.io/rev=REVISION_LABEL --overwrite done
安裝 HelloWorld 服務
在兩個叢集中建立 HelloWorld 服務:
kubectl create --context=${CTX_1} \ -f ${SAMPLES_DIR}/samples/helloworld/helloworld.yaml \ -l service=helloworld -n samplekubectl create --context=${CTX_2} \ -f ${SAMPLES_DIR}/samples/helloworld/helloworld.yaml \ -l service=helloworld -n sample
將 HelloWorld v1 和 v2 部署至每個叢集
將
HelloWorld v1部署至CLUSTER_1,並將v2部署至CLUSTER_2,以利日後驗證跨叢集負載平衡:kubectl create --context=${CTX_1} \ -f ${SAMPLES_DIR}/samples/helloworld/helloworld.yaml \ -l version=v1 -n samplekubectl create --context=${CTX_2} \ -f ${SAMPLES_DIR}/samples/helloworld/helloworld.yaml \ -l version=v2 -n sample請使用下列指令確認
HelloWorld v1和v2是否正在執行。確認輸出結果是否類似下列內容:kubectl get pod --context=${CTX_1} -n sampleNAME READY STATUS RESTARTS AGE helloworld-v1-86f77cd7bd-cpxhv 2/2 Running 0 40s
kubectl get pod --context=${CTX_2} -n sampleNAME READY STATUS RESTARTS AGE helloworld-v2-758dd55874-6x4t8 2/2 Running 0 40s
部署睡眠資料服務
將
Sleep服務部署至兩個叢集。這個 Pod 會產生人工網路流量,以供示範:for CTX in ${CTX_1} ${CTX_2} do kubectl apply --context=${CTX} \ -f ${SAMPLES_DIR}/samples/sleep/sleep.yaml -n sample done等待
Sleep服務在各個叢集中啟動。確認輸出結果是否類似下列內容:kubectl get pod --context=${CTX_1} -n sample -l app=sleepNAME READY STATUS RESTARTS AGE sleep-754684654f-n6bzf 2/2 Running 0 5s
kubectl get pod --context=${CTX_2} -n sample -l app=sleepNAME READY STATUS RESTARTS AGE sleep-754684654f-dzl9j 2/2 Running 0 5s
驗證跨叢集負載平衡
請多次呼叫 HelloWorld 服務,並查看輸出內容,確認 v1 和 v2 的回覆交替:
呼叫
HelloWorld服務:kubectl exec --context="${CTX_1}" -n sample -c sleep \ "$(kubectl get pod --context="${CTX_1}" -n sample -l \ app=sleep -o jsonpath='{.items[0].metadata.name}')" \ -- /bin/sh -c 'for i in $(seq 1 20); do curl -sS helloworld.sample:5000/hello; done'輸出結果會與下列內容相似:
Hello version: v2, instance: helloworld-v2-758dd55874-6x4t8 Hello version: v1, instance: helloworld-v1-86f77cd7bd-cpxhv ...
再次呼叫
HelloWorld服務:kubectl exec --context="${CTX_2}" -n sample -c sleep \ "$(kubectl get pod --context="${CTX_2}" -n sample -l \ app=sleep -o jsonpath='{.items[0].metadata.name}')" \ -- /bin/sh -c 'for i in $(seq 1 20); do curl -sS helloworld.sample:5000/hello; done'輸出結果會與下列內容相似:
Hello version: v2, instance: helloworld-v2-758dd55874-6x4t8 Hello version: v1, instance: helloworld-v1-86f77cd7bd-cpxhv ...
恭喜!您已驗證負載平衡的多叢集 Cloud Service Mesh!
清理 HelloWorld 服務
完成負載平衡驗證後,請從叢集中移除 HelloWorld 和 Sleep 服務。
kubectl delete ns sample --context ${CTX_1}
kubectl delete ns sample --context ${CTX_2}