O Cloud Service Mesh e o Traffic Director agora são Cloud Service Mesh. Para mais informações, consulte a Visão geral do Cloud Service Mesh.

Esta página foi traduzida pela API Cloud Translation.

Configurar o projeto e o cluster por conta própria

Ao instalar o Cloud Service Mesh usando asmcli, ele pode configurar o projeto e o cluster para você se você incluir a flag --enable_all ou as sinalizações de ativação mais granulares. Se você preferir fazer a configuração por conta própria em vez de deixar que asmcli faça as alterações, siga as etapas nesta página.

Se você já tiver uma versão anterior do Cloud Service Mesh instalada, não será necessário fazer alterações no projeto ou no cluster antes de usar asmcli para fazer upgrade para a versão mais recente do Cloud Service Mesh.

Por padrão, asmcli não instala o istio-ingressgateway. Recomendamos que você implante e gerencie o plano de controle e os gateways separadamente. O Cloud Service Mesh oferece suporte à injeção automática para implantações de gateway, o que facilita os upgrades no Cloud Service Mesh. Depois de fazer upgrade do Cloud Service Mesh, reinicie os gateways como os serviços para escolher a nova configuração do plano de controle. Para mais informações, consulte Como instalar e fazer upgrade de gateways.

Antes de começar

Revise os pré-requisitos e os requisitos (fora do Google Cloud, GKE).
Planeje a instalação (fora do Google Cloud, GKE) ou o upgrade.
Instale as ferramentas necessárias (fora do Google Cloud, GKE).

Criar o projeto

Consiga o ID do projeto em que o cluster foi criado.
gcloud
Execute este comando:
```
gcloud projects list
```
Console
1. Acesse a página Painel de controle no consoleGoogle Cloud .
  
  Ir para a página "Painel"
2. Clique na lista suspensa na parte superior da página. Na janela Selecionar a partir de exibida, selecione seu projeto.
  
  O ID do projeto é exibido no card Informações do projeto do Painel.
Crie uma variável de ambiente para o pool de carga de trabalho usando o ID do projeto:
```
export WORKLOAD_POOL=PROJECT_ID.svc.id.goog
```
Defina os papéis necessários de gerenciamento de identidade e acesso (IAM, na sigla em inglês). Se você for um proprietário do projeto, terá todas as permissões necessárias para concluir a instalação. Se você não for proprietário do projeto, precisará que o proprietário conceda os seguintes papéis específicos do IAM. No comando abaixo, substitua PROJECT_ID pelo ID do projeto da etapa anterior e GCP_EMAIL_ADDRESS pela conta usada para fazer login no Google Cloud.
```
ROLES=(
'roles/servicemanagement.admin' \
'roles/serviceusage.serviceUsageAdmin' \
'roles/meshconfig.admin' \
'roles/compute.admin' \
'roles/container.admin' \
'roles/resourcemanager.projectIamAdmin' \
'roles/iam.serviceAccountAdmin' \
'roles/iam.serviceAccountKeyAdmin' \
'roles/gkehub.admin')
for role in "${ROLES[@]}"
do
  gcloud projects add-iam-policy-binding PROJECT_ID \
    --member "user:GCP_EMAIL_ADDRESS" \
    --role="$role"
done
```
Se você incluir a sinalização --enable_all ou --enable_gcp_iam_roles ao executar asmcli, ela definirá os papéis obrigatórios do IAM para você.

Ative as APIs do Google necessárias:

gcloud services enable \
    --project=PROJECT_ID \
    mesh.googleapis.com

Além de mesh.googleapis.com, esse comando também ativa as seguintes APIs:

API	Finalidade	Pode ser desativada?
`meshconfig.googleapis.com`	O Cloud Service Mesh usa a API Mesh Configuration para redirecionar os dados de configuração da malha para Google Cloud. Além disso, ativar a API Mesh Configuration permite acessar as páginas do Cloud Service Mesh no console Google Cloud e usar a autoridade certificadora do Cloud Service Mesh.	Não
`meshca.googleapis.com`	Relacionada à autoridade certificadora do Cloud Service Mesh usada pelo Cloud Service Mesh gerenciado.	Não
`container.googleapis.com`	Necessária para a criação de clusters do Google Kubernetes Engine (GKE).	Não
`gkehub.googleapis.com`	Necessária para o gerenciamento da malha como uma frota.	Não
`monitoring.googleapis.com`	Necessária para a captura da telemetria de cargas de trabalho da malha.	Não
`stackdriver.googleapis.com`	Necessária para uso da interface dos serviços.	Não
`opsconfigmonitoring.googleapis.com`	Necessária para uso da interface dos serviços para clusters fora doGoogle Cloud .	Não
`connectgateway.googleapis.com`	Necessária para que o plano de controle do Cloud Service Mesh gerenciado acesse cargas de trabalho da malha.	Sim*
`trafficdirector.googleapis.com`	Permite um plano de controle gerenciado altamente disponível e escalonável.	Sim*
`networkservices.googleapis.com`	Permite um plano de controle gerenciado altamente disponível e escalonável.	Sim*
`networksecurity.googleapis.com`	Permite um plano de controle gerenciado altamente disponível e escalonável.	Sim*

A ativação das APIs pode levar um minuto ou mais para ser concluída. Quando as APIs estão ativadas, você vê uma saída semelhante a esta:

Operation "operations/acf.601db672-88e6-4f98-8ceb-aa3b5725533c" finished
successfully.

Se você incluir a flag --enable_all ou --enable_apis ao executar asmcli, ela vai ativar as APIs necessárias para você.

Configurar o cluster

Se você incluir a sinalização --enable_all ou uma das sinalizações de ativação mais granulares, asmcli configurará o cluster para você.

Registre o cluster na frota.
Inicialize seu projeto para prepará-lo para instalação. Entre outras coisas, este comando cria uma conta de serviço para permitir componentes de plano de dados, como o proxy sidecar, para acessar com segurança os dados e os recursos do seu projeto. No comando a seguir, substitua FLEET_PROJECT_ID pelo projeto host da frota:

Aviso: se FLEET_PROJECT_ID for o mesmo que PROJECT_ID, remova "FLEET_PROJECT_ID.hub.id.goog", do comando a seguir. Caso contrário, você vai receber um código de erro devido a INVALID_ARGUMENT.
```
curl --request POST  \
 --header "Authorization: Bearer $(gcloud auth print-access-token)" \
 --header "Content-Type: application/json" \
 --data '{"workloadIdentityPools":["FLEET_PROJECT_ID.hub.id.goog","FLEET_PROJECT_ID.svc.id.goog","PROJECT_ID.svc.id.goog"]}' \
 "https://meshconfig.googleapis.com/v1alpha1/projects/PROJECT_ID:initialize"
```
A resposta do comando mostra chaves vazias: {}
Para clusters do GKE, defina a zona ou a região padrão da Google Cloud CLI. Google Cloud Se você não definir o padrão aqui, especifique a opção --zone ou --region nos comandos gcloud container clusters desta página.
- Se você tiver um cluster de zona única, defina a zona padrão:
```
gcloud config set compute/zone CLUSTER_LOCATION
```
- Se você tiver um cluster regional, defina a região padrão:
```
gcloud config set compute/region CLUSTER_LOCATION
```
Para o GKE em clusters Google Cloud , ative a Identidade da carga de trabalho:
```
gcloud container clusters update CLUSTER_NAME \
    --project=PROJECT_ID \
    --workload-pool=${WORKLOAD_POOL}
```
A ativação da Identidade da carga de trabalho pode levar de 10 a 15 minutos.

Para clusters do GKE no Google Cloud , ative o Cloud Monitoring e o Cloud Logging no GKE:

gcloud container clusters update CLUSTER_NAME \
    --project=PROJECT_ID \
    --enable-stackdriver-kubernetes

O projeto e o cluster estão prontos para uma nova instalação usando asmcli.

Configurar o projeto e o cluster por conta própria

Antes de começar

Criar o projeto

gcloud

Console

Configurar o cluster

A seguir