クラスタ内コントロール プレーンでサポートされている機能
このページでは、クラスタ内コントロール プレーンの Cloud Service Mesh1.23.3 でサポートされている機能について説明します。マネージド コントロール プレーンの Cloud Service Mesh 1.23.3 でサポートされる機能については、マネージド コントロール プレーンをご覧ください。
サポート対象のバージョン
Cloud Service Mesh のサポートは GKE Enterprise バージョン サポート ポリシーに従って提供されます。
TRAFFIC_DIRECTOR
コントロール プレーン実装を使用したマネージド Cloud Service Mesh の場合、Google は常にこのコントロール プレーンをサポートします。
ISTIOD
コントロール プレーンの実装を使用したマネージド Cloud Service Mesh の場合、Google は各リリース チャンネルで利用可能な Cloud Service Mesh の現行バージョンをサポートしています。
セルフインストールのクラスタ内 Cloud Service Mesh の場合、Google は、Cloud Service Mesh の現行バージョンと 2 つ前(n-2)までのマイナー バージョンをサポートしています。
次の表に、セルフ インストール形式のクラスタ内 Cloud Service Mesh のサポート対象バージョンと、各バージョンの最も早いサポート終了(EOL)の日付を示します。
リリース バージョン | リリース日 | 最も早いサポート終了日 |
---|---|---|
1.23 | 2024 年 9 月 19 日 | 2025 年 6 月 19 日 |
1.22 | 2024 年 7 月 25 日 | 2025 年 4 月 25 日 |
1.21 | 2024 年 6 月 4 日 | 2025 年 3 月 4 日 |
サポートされていないバージョンの Cloud Service Mesh を使用している場合は、Cloud Service Mesh 1.21 以降にアップグレードする必要があります。アップグレード方法については、Cloud Service Mesh をアップグレードするをご覧ください。
次の表に、Cloud Service Mesh のサポートされていないバージョンとそれらのサポート終了(EOL)日を示します。
リリース バージョン | リリース日 | サポート終了日 |
---|---|---|
1.20 | 2024 年 2 月 8 日 | サポート対象外(2024 年 11 月 12 日) |
1.19 | 2023 年 10 月 31 日 | サポート対象外(2024 年 7 月 31 日) |
1.18 | 2023 年 8 月 3 日 | サポート対象外(2024 年 6 月 4 日) |
1.17 | 2023 年 4 月 4 日 | サポート対象外(2024 年 2 月 8 日) |
1.16 | 2023 年 2 月 21 日 | サポート対象外(2023 年 12 月 11 日) |
1.15 | 2022 年 10 月 25 日 | サポート対象外(2023 年 8 月 4 日) |
1.14 | 2022 年 7 月 20 日 | サポート対象外(2023 年 4 月 20 日) |
1.13 | 2022 年 3 月 30 日 | サポート対象外(2023 年 2 月 8 日) |
1.12 | 2021 年 12 月 9 日 | サポート対象外(2022 年 10 月 25 日) |
1.11 | 2021 年 10 月 6 日 | サポート対象外(2022 年 7 月 20 日) |
1.10 | 2021 年 6 月 24 日 | サポート対象外(2022 年 3 月 30 日) |
1.9 | 2021 年 3 月 4 日 | サポート対象外(2021 年 12 月 14 日) |
1.8 | 2020 年 12 月 15 日 | サポート対象外(2021 年 12 月 14 日) |
1.7 | 2020 年 11 月 3 日 | サポート対象外(2021 年 12 月 14 日) |
1.6 | 2020 年 6 月 30 日 | サポート対象外(2021 年 3 月 30 日) |
1.5 | 2020 年 5 月 20 日 | サポート対象外(2021 年 2 月 17 日) |
1.4 | 2019 年 12 月 20 日 | サポート対象外(2020 年 9 月 18 日) |
サポート ポリシーの詳細については、サポートの利用をご覧ください。
プラットフォームの違い
サポートされる機能は、対応プラットフォームによって異なります。
その他の GKE Enterprise クラスタの列は、Google Cloud の外部にあるクラスタを指します。次に例を示します。
Google Distributed Cloud:
- Google Distributed Cloud
- ベアメタル用 Google Distributed Cloud(ソフトウェアのみ)
このページでは、VMware 用 Google Distributed Cloud(ソフトウェアのみ)とベアメタル用 Google Distributed Cloud(ソフトウェアのみ)の両方で、また、プラットフォーム間の相違がある場合は特定のプラットフォームで、同じサポートが提供される Google Distributed Cloud を使用します。
他のパブリック クラウド上の GKE Enterprise:
GKE に接続されたクラスタ - フリートに登録されているサードパーティの Kubernetes クラスタ。Cloud Service Mesh をサポートするクラスタの種類は次のとおりです。
- Amazon EKS クラスタ
- Microsoft AKS クラスタ
以下の表の見方は次のとおりです。
- – 機能がデフォルトで有効になっていることを示します。
- * - 機能がプラットフォームでサポートされていることを示します。有効にする手順は、オプション機能の有効化または機能の表にリンクされている機能ガイドに記載されています。
- 互換 - 機能またはサードパーティ ツールが Cloud Service Mesh で統合または動作可能であることを示します。ただし、Google Cloud サポートで完全にはサポートされず、機能ガイドも使用できません。
- – 機能が利用できないか、Cloud Service Mesh 1.23.3でサポートされていないことを示します。
デフォルト機能とオプション機能は、Google Cloud サポートで完全にサポートされています。表に記載されていない機能はベスト エフォート型のサポートになります。
ベースイメージ
機能 | Google Cloud 上の GKE クラスタ | 他の GKE Enterprise クラスタ |
---|---|---|
Distroless プロキシ イメージ |
セキュリティ
証明書の配布 / ローテーション メカニズム
機能 | Google Cloud 上の GKE クラスタ | 他の GKE Enterprise クラスタ |
---|---|---|
ワークロード証明書の管理 | ||
Ingress ゲートウェイと Egress ゲートウェイでの外部証明書の管理。 |
認証局(CA)のサポート
機能 | Google Cloud 上の GKE クラスタ | GKE Enterprise クラスタ オンプレミス | 他の GKE Enterprise クラスタ |
---|---|---|---|
Cloud Service Mesh 認証局 | |||
Certificate Authority Service | * | * | |
Istio CA(旧称 Citadel) | * | * | |
独自の CA 証明書のプラグイン | CA Service と Istio CA のサポート | CA Service と Istio CA のサポート | Istio CA によるサポート |
Cloud Service Mesh のセキュリティ機能
Cloud Service Mesh は、Istio のセキュリティ機能をサポートしているだけでなく、アプリケーションの保護に役立つ機能をさらに提供します。
機能 | Google Cloud 上の GKE クラスタ | 分散型クラウド | GKE Multi-Cloud | 他の GKE Enterprise クラスタ |
---|---|---|---|---|
IAP の統合 | ||||
エンドユーザー認証 | ||||
監査ポリシー(プレビュー) | * | |||
ドライラン モード | ||||
拒否ロギング |
認可ポリシー
機能 | Google Cloud 上の GKE クラスタ | 他の GKE Enterprise クラスタ |
---|---|---|
認証 v1beta1 ポリシー | ||
パス テンプレート |
認証ポリシー
ピア認証
機能 | Google Cloud 上の GKE クラスタ | 他の GKE Enterprise クラスタ |
---|---|---|
自動 mTLS | ||
mTLS PERMISSIVE モード |
mTLS の STRICT モードを有効にする方法については、トランスポート セキュリティを構成するをご覧ください。
認証のリクエスト
機能 | Google Cloud 上の GKE クラスタ | 他の GKE Enterprise クラスタ |
---|---|---|
JWT 認証(注 1) |
メモ:
- サードパーティの JWT はデフォルトで有効になっています。
Telemetry
指標
機能 | Google Cloud 上の GKE クラスタ | GKE Enterprise クラスタ オンプレミス | 他の GKE Enterprise クラスタ |
---|---|---|---|
Cloud Monitoring(HTTP プロキシ内指標) | |||
Cloud Monitoring(TCP プロキシ内指標) | |||
Istio Telemetry API | |||
カスタム アダプタ / バックエンド(プロセス内またはプロセス外) | |||
任意のテレメトリーとロギング バックエンド | |||
お客様がインストールした Prometheus、Grafana、Kiali ダッシュボードへの Prometheus 指標のエクスポート | 対応 | 互換 | 互換 |
Google Cloud Managed Service for Prometheus(Cloud Service Mesh ダッシュボード以外) | |||
Google Cloud コンソールのトポロジグラフでは、データソースとしてメッシュ テレメトリー サービスが使用されなくなりました。トポロジグラフのデータソースは変更されましたが、UI は変わりません。 |
プロキシ リクエストのロギング
機能 | Google Cloud 上の GKE クラスタ | GKE Enterprise クラスタ オンプレミス | 他の GKE Enterprise クラスタ |
---|---|---|---|
トラフィック ログ | |||
アクセスログ | * | * | * |
トレース
機能 | Google Cloud 上の GKE クラスタ | GKE Enterprise クラスタ オンプレミス | 他の GKE Enterprise クラスタ |
---|---|---|---|
Cloud Trace | * | * | |
Jaeger トレース(顧客管理の Jaeger の使用を許可する) | 対応 | 互換 | 対応 |
Zipkin トレース(顧客管理の Zipkin の使用を許可する) | 対応 | 互換 | 互換 |
ネットワーキング
宛先ルール
特徴 | Google Cloud 上の GKE クラスタ | 他の GKE Enterprise クラスタ |
---|---|---|
credentialName |
トラフィックのインターセプト / リダイレクト メカニズム
機能 | Google Cloud 上の GKE クラスタ | 他の GKE Enterprise クラスタ |
---|---|---|
CAP_NET_ADMIN と init コンテナを使用する iptables の従来の使用 |
||
Container Network Interface(CNI) | * | * |
プロトコル サポート
レイヤ 7 機能で WebSocket、MongoDB、Redis、Kafka、Cassandra、RabbitMQ、Cloud SQL のプロトコル向けに構成されているサービスはサポートされません。TCP バイト ストリームのサポートを使用して、プロトコルを機能させることができます。TCP バイト ストリームがプロトコルをサポートできない場合(たとえば、Kafka がプロトコル固有の応答でリダイレクト アドレスを送信し、このリダイレクトが Cloud Service Mesh のルーティング ロジックに対応していない場合)、プロトコルはサポートされません。
機能 | Google Cloud 上の GKE クラスタ | 他の GKE Enterprise クラスタ |
---|---|---|
IPv4 | ||
HTTP/1.1 | ||
HTTP/2 | ||
TCP バイト ストリーム(注 1) | ||
gRPC | ||
IPv6 |
メモ:
- TCP はネットワーキング用のプロトコルですが、TCP 指標は収集または報告されません。指標は、Google Cloud コンソール内の HTTP サービスにのみ表示されます。
Envoy のデプロイ
機能 | Google Cloud 上の GKE クラスタ | 他の GKE Enterprise クラスタ |
---|---|---|
サイドカー | ||
Ingress ゲートウェイ | ||
サイドカーから直接の下り(外向き) | ||
Egress ゲートウェイを使用した下り(外向き) | * | * |
CRD サポート
機能 | Google Cloud 上の GKE クラスタ | 他の GKE Enterprise クラスタ |
---|---|---|
Istio API のサポート(以下は例外) | ||
カスタム Envoy フィルタ |
Istio Ingress Gateway のロードバランサ
機能 | Google Cloud 上の GKE クラスタ | 他の GKE Enterprise クラスタ |
---|---|---|
サードパーティの外部ロードバランサ | ||
Google Cloud 内部ロードバランサ | * | サポートされていません。以下のリンクをご覧ください。 |
ロードバランサの構成については、次をご覧ください。
- VMware 用 Google Distributed Cloud(ソフトウェアのみ)のロードバランサの設定
- GKE on AWS: ロードバランサの作成
- 外部ロードバランサを使用して Ingress ゲートウェイを公開する
Kubernetes Gateway API(プレビュー)
Cloud Service Mesh v1.20 では、Kubernetes Gateway API が公開プレビュー版として利用できます。
機能 | Google Cloud 上の GKE クラスタ | 他の GKE Enterprise クラスタ |
---|---|---|
Ingress | ||
class: istio を含むゲートウェイ |
||
parentRef を使用した HttpRoute |
||
Mesh のトラフィック | ||
targetRef フィールドを使用して Istio CRD を構成する(AuthorizationPolicy、RequestAuthentication、Telemetry、WarmPlugin など) |
Microsoft AKS 接続クラスタまたは GKE on Azure クラスタを使用している場合は、TCP 経由のヘルスチェックを構成するために、ゲートウェイ リソースに次のアノテーションを設定する必要があります。
service.beta.kubernetes.io/port_80_health-probe_protocol: tcp
これを行わない場合、HTTP トラフィックは受け入れられません。
Kubernetes Gateway API のプレビューの要件
Kubernetes Gateway API のプレビューには、次の要件があります。
ゲートウェイのデフォルトの自動デプロイ動作を使用します。
ルーティング構成には
HttpRoute
CRD を使用します。HttpRoute
には、Gateway を指すparentRef
が必要です。同じクラスタで Istio Gateway CR と Kubernetes Gateway API CR を使用しないでください。
ロード バランシング ポリシー
機能 | Google Cloud 上の GKE クラスタ | 他の GKE Enterprise クラスタ |
---|---|---|
ラウンドロビン | ||
最小接続 | ||
ランダム | ||
パススルー | ||
コンシステント ハッシュ | ||
局所性 |
ロード バランシング ポリシーの詳細については、宛先ルールをご覧ください。
データプレーン
機能 | Google Cloud 上の GKE クラスタ | 他の GKE Enterprise クラスタ |
---|---|---|
サイドカー | ||
アンビエント |
マルチクラスタのサポート
別のプロジェクト内の GKE クラスタのマルチプライマリ デプロイでは、すべてのクラスタが共有 Virtual Private Cloud(VPC)内に存在する必要があります。
ネットワーク
機能 | Google Cloud 上の GKE クラスタ | GKE Enterprise クラスタ オンプレミス | GKE on AWS | GKE on Azure | 接続クラスタ |
---|---|---|---|---|---|
単一ネットワーク | |||||
マルチネットワーク |
注:
- 接続されたクラスタの場合、現時点では、単一のプラットフォーム(Microsoft AKS、Amazon EKS)にまたがるマルチクラスタ メッシュのみがサポートされています。
デプロイモデル
機能 | Google Cloud 上の GKE クラスタ | GKE Enterprise クラスタ オンプレミス | 他のパブリック クラウド上の GKE Enterprise | 接続クラスタ |
---|---|---|---|---|
マルチプライマリ | ||||
プライマリリモート |
用語に関する注意事項
プライマリ クラスタは、コントロール プレーンを含むクラスタです。1 つのメッシュで複数のプライマリ クラスタを使用することで、高可用性の実現やレイテンシの短縮が可能です。Istio 1.7 ドキュメントでは、マルチプライマリ デプロイはレプリケートされたコントロール プレーンと呼ばれます。
リモート クラスタは、クラスタの外部に存在するコントロール プレーンに接続するクラスタです。リモート クラスタは、プライマリ クラスタで実行されているコントロール プレーンまたは外部コントロール プレーンに接続できます。
Cloud Service Mesh では、一般的な接続に基づいて、簡素化されたネットワーク定義を使用しています。ワークロード インスタンスは、ゲートウェイなしで直接通信できる場合は同じネットワーク上に存在します。
ユーザー インターフェース
機能 | Google Cloud 上の GKE クラスタ | Google Distributed Cloud | ベアメタル用 Google Distributed Cloud(ソフトウェアのみ) | 他の GKE Enterprise クラスタ |
---|---|---|---|---|
Google Cloud コンソールの Cloud Service Mesh ダッシュボード | * | * | * | |
Cloud Monitoring | * | |||
Cloud Logging | * | |||
Cloud Trace | * |
注: オンプレミス クラスタには、GKE Enterprise バージョン 1.11 以降が必要です。アップグレードの詳細については、 VMware 用の Google Distributed Cloud(ソフトウェアのみ)のアップグレード または ベアメタル用 Google Distributed Cloud(ソフトウェアのみ)のアップグレードをご覧ください。