クラスタ内コントロール プレーンでサポートされている機能

このページでは、クラスタ内コントロール プレーンの Cloud Service Mesh1.23.3 でサポートされている機能について説明します。マネージド コントロール プレーンの Cloud Service Mesh 1.23.3 でサポートされる機能については、マネージド コントロール プレーンをご覧ください。

サポート対象のバージョン

Cloud Service Mesh のサポートは GKE Enterprise バージョン サポート ポリシーに従って提供されます。

TRAFFIC_DIRECTOR コントロール プレーン実装を使用したマネージド Cloud Service Mesh の場合、Google は常にこのコントロール プレーンをサポートします。

ISTIOD コントロール プレーンの実装を使用したマネージド Cloud Service Mesh の場合、Google は各リリース チャンネルで利用可能な Cloud Service Mesh の現行バージョンをサポートしています。

セルフインストールのクラスタ内 Cloud Service Mesh の場合、Google は、Cloud Service Mesh の現行バージョンと 2 つ前(n-2)までのマイナー バージョンをサポートしています。

次の表に、セルフ インストール形式のクラスタ内 Cloud Service Mesh のサポート対象バージョンと、各バージョンの最も早いサポート終了(EOL)の日付を示します。

リリース バージョン リリース日 最も早いサポート終了日
1.23 2024 年 9 月 19 日 2025 年 6 月 19 日
1.22 2024 年 7 月 25 日 2025 年 4 月 25 日
1.21 2024 年 6 月 4 日 2025 年 3 月 4 日

サポートされていないバージョンの Cloud Service Mesh を使用している場合は、Cloud Service Mesh 1.21 以降にアップグレードする必要があります。アップグレード方法については、Cloud Service Mesh をアップグレードするをご覧ください。

次の表に、Cloud Service Mesh のサポートされていないバージョンとそれらのサポート終了(EOL)日を示します。

リリース バージョン リリース日 サポート終了日
1.20 2024 年 2 月 8 日 サポート対象外(2024 年 11 月 12 日)
1.19 2023 年 10 月 31 日 サポート対象外(2024 年 7 月 31 日)
1.18 2023 年 8 月 3 日 サポート対象外(2024 年 6 月 4 日)
1.17 2023 年 4 月 4 日 サポート対象外(2024 年 2 月 8 日)
1.16 2023 年 2 月 21 日 サポート対象外(2023 年 12 月 11 日)
1.15 2022 年 10 月 25 日 サポート対象外(2023 年 8 月 4 日)
1.14 2022 年 7 月 20 日 サポート対象外(2023 年 4 月 20 日)
1.13 2022 年 3 月 30 日 サポート対象外(2023 年 2 月 8 日)
1.12 2021 年 12 月 9 日 サポート対象外(2022 年 10 月 25 日)
1.11 2021 年 10 月 6 日 サポート対象外(2022 年 7 月 20 日)
1.10 2021 年 6 月 24 日 サポート対象外(2022 年 3 月 30 日)
1.9 2021 年 3 月 4 日 サポート対象外(2021 年 12 月 14 日)
1.8 2020 年 12 月 15 日 サポート対象外(2021 年 12 月 14 日)
1.7 2020 年 11 月 3 日 サポート対象外(2021 年 12 月 14 日)
1.6 2020 年 6 月 30 日 サポート対象外(2021 年 3 月 30 日)
1.5 2020 年 5 月 20 日 サポート対象外(2021 年 2 月 17 日)
1.4 2019 年 12 月 20 日 サポート対象外(2020 年 9 月 18 日)

サポート ポリシーの詳細については、サポートの利用をご覧ください。

プラットフォームの違い

サポートされる機能は、対応プラットフォームによって異なります。

その他の GKE Enterprise クラスタの列は、Google Cloud の外部にあるクラスタを指します。次に例を示します。

  • Google Distributed Cloud:

    • Google Distributed Cloud
    • ベアメタル用 Google Distributed Cloud(ソフトウェアのみ)

    このページでは、VMware 用 Google Distributed Cloud(ソフトウェアのみ)とベアメタル用 Google Distributed Cloud(ソフトウェアのみ)の両方で、また、プラットフォーム間の相違がある場合は特定のプラットフォームで、同じサポートが提供される Google Distributed Cloud を使用します。

  • 他のパブリック クラウド上の GKE Enterprise:

  • GKE に接続されたクラスタ - フリートに登録されているサードパーティの Kubernetes クラスタ。Cloud Service Mesh をサポートするクラスタの種類は次のとおりです。

    • Amazon EKS クラスタ
    • Microsoft AKS クラスタ

以下の表の見方は次のとおりです。

  • – 機能がデフォルトで有効になっていることを示します。
  • * - 機能がプラットフォームでサポートされていることを示します。有効にする手順は、オプション機能の有効化または機能の表にリンクされている機能ガイドに記載されています。
  • 互換 - 機能またはサードパーティ ツールが Cloud Service Mesh で統合または動作可能であることを示します。ただし、Google Cloud サポートで完全にはサポートされず、機能ガイドも使用できません。
  • – 機能が利用できないか、Cloud Service Mesh 1.23.3でサポートされていないことを示します。

デフォルト機能とオプション機能は、Google Cloud サポートで完全にサポートされています。表に記載されていない機能はベスト エフォート型のサポートになります。

ベースイメージ

機能 Google Cloud 上の GKE クラスタ 他の GKE Enterprise クラスタ
Distroless プロキシ イメージ

セキュリティ

証明書の配布 / ローテーション メカニズム

機能 Google Cloud 上の GKE クラスタ 他の GKE Enterprise クラスタ
ワークロード証明書の管理
Ingress ゲートウェイと Egress ゲートウェイでの外部証明書の管理。

認証局(CA)のサポート

機能 Google Cloud 上の GKE クラスタ GKE Enterprise クラスタ オンプレミス 他の GKE Enterprise クラスタ
Cloud Service Mesh 認証局
Certificate Authority Service * *
Istio CA(旧称 Citadel) * *
独自の CA 証明書のプラグイン CA Service と Istio CA のサポート CA Service と Istio CA のサポート Istio CA によるサポート

Cloud Service Mesh のセキュリティ機能

Cloud Service Mesh は、Istio のセキュリティ機能をサポートしているだけでなく、アプリケーションの保護に役立つ機能をさらに提供します。

機能 Google Cloud 上の GKE クラスタ 分散型クラウド GKE Multi-Cloud 他の GKE Enterprise クラスタ
IAP の統合
エンドユーザー認証
監査ポリシー(プレビュー) *
ドライラン モード
拒否ロギング

認可ポリシー

機能 Google Cloud 上の GKE クラスタ 他の GKE Enterprise クラスタ
認証 v1beta1 ポリシー
パス テンプレート

認証ポリシー

ピア認証

機能 Google Cloud 上の GKE クラスタ 他の GKE Enterprise クラスタ
自動 mTLS
mTLS PERMISSIVE モード

mTLS の STRICT モードを有効にする方法については、トランスポート セキュリティを構成するをご覧ください。

認証のリクエスト

機能 Google Cloud 上の GKE クラスタ 他の GKE Enterprise クラスタ
JWT 認証(注 1)

メモ:

  1. サードパーティの JWT はデフォルトで有効になっています。

Telemetry

指標

機能 Google Cloud 上の GKE クラスタ GKE Enterprise クラスタ オンプレミス 他の GKE Enterprise クラスタ
Cloud Monitoring(HTTP プロキシ内指標)
Cloud Monitoring(TCP プロキシ内指標)
Istio Telemetry API
カスタム アダプタ / バックエンド(プロセス内またはプロセス外)
任意のテレメトリーとロギング バックエンド
お客様がインストールした Prometheus、Grafana、Kiali ダッシュボードへの Prometheus 指標のエクスポート 対応 互換 互換
Google Cloud Managed Service for Prometheus(Cloud Service Mesh ダッシュボード以外)
Google Cloud コンソールのトポロジグラフでは、データソースとしてメッシュ テレメトリー サービスが使用されなくなりました。トポロジグラフのデータソースは変更されましたが、UI は変わりません。

プロキシ リクエストのロギング

機能 Google Cloud 上の GKE クラスタ GKE Enterprise クラスタ オンプレミス 他の GKE Enterprise クラスタ
トラフィック ログ
アクセスログ * * *

トレース

機能 Google Cloud 上の GKE クラスタ GKE Enterprise クラスタ オンプレミス 他の GKE Enterprise クラスタ
Cloud Trace * *
Jaeger トレース(顧客管理の Jaeger の使用を許可する) 対応 互換 対応
Zipkin トレース(顧客管理の Zipkin の使用を許可する) 対応 互換 互換

ネットワーキング

宛先ルール

特徴 Google Cloud 上の GKE クラスタ 他の GKE Enterprise クラスタ
credentialName

トラフィックのインターセプト / リダイレクト メカニズム

機能 Google Cloud 上の GKE クラスタ 他の GKE Enterprise クラスタ
CAP_NET_ADMINinit コンテナを使用する iptables の従来の使用
Container Network Interface(CNI) * *

プロトコル サポート

レイヤ 7 機能で WebSocket、MongoDB、Redis、Kafka、Cassandra、RabbitMQ、Cloud SQL のプロトコル向けに構成されているサービスはサポートされません。TCP バイト ストリームのサポートを使用して、プロトコルを機能させることができます。TCP バイト ストリームがプロトコルをサポートできない場合(たとえば、Kafka がプロトコル固有の応答でリダイレクト アドレスを送信し、このリダイレクトが Cloud Service Mesh のルーティング ロジックに対応していない場合)、プロトコルはサポートされません。

機能 Google Cloud 上の GKE クラスタ 他の GKE Enterprise クラスタ
IPv4
HTTP/1.1
HTTP/2
TCP バイト ストリーム(注 1)
gRPC
IPv6

メモ:

  1. TCP はネットワーキング用のプロトコルですが、TCP 指標は収集または報告されません。指標は、Google Cloud コンソール内の HTTP サービスにのみ表示されます。

Envoy のデプロイ

機能 Google Cloud 上の GKE クラスタ 他の GKE Enterprise クラスタ
サイドカー
Ingress ゲートウェイ
サイドカーから直接の下り(外向き)
Egress ゲートウェイを使用した下り(外向き) * *

CRD サポート

機能 Google Cloud 上の GKE クラスタ 他の GKE Enterprise クラスタ
Istio API のサポート(以下は例外)
カスタム Envoy フィルタ

Istio Ingress Gateway のロードバランサ

機能 Google Cloud 上の GKE クラスタ 他の GKE Enterprise クラスタ
サードパーティの外部ロードバランサ
Google Cloud 内部ロードバランサ * サポートされていません。以下のリンクをご覧ください。

ロードバランサの構成については、次をご覧ください。

Kubernetes Gateway API(プレビュー)

Cloud Service Mesh v1.20 では、Kubernetes Gateway API が公開プレビュー版として利用できます。

機能 Google Cloud 上の GKE クラスタ 他の GKE Enterprise クラスタ
Ingress
class: istio を含むゲートウェイ
parentRef を使用した HttpRoute
Mesh のトラフィック
targetRef フィールドを使用して Istio CRD を構成する
(AuthorizationPolicy、RequestAuthentication、Telemetry、WarmPlugin など)

Microsoft AKS 接続クラスタまたは GKE on Azure クラスタを使用している場合は、TCP 経由のヘルスチェックを構成するために、ゲートウェイ リソースに次のアノテーションを設定する必要があります。

  service.beta.kubernetes.io/port_80_health-probe_protocol: tcp

これを行わない場合、HTTP トラフィックは受け入れられません。

Kubernetes Gateway API のプレビューの要件

Kubernetes Gateway API のプレビューには、次の要件があります。

  • ゲートウェイのデフォルトの自動デプロイ動作を使用します。

  • ルーティング構成には HttpRoute CRD を使用します。HttpRoute には、Gateway を指す parentRef が必要です。

  • 同じクラスタで Istio Gateway CR と Kubernetes Gateway API CR を使用しないでください。

ロード バランシング ポリシー

機能 Google Cloud 上の GKE クラスタ 他の GKE Enterprise クラスタ
ラウンドロビン
最小接続
ランダム
パススルー
コンシステント ハッシュ
局所性

ロード バランシング ポリシーの詳細については、宛先ルールをご覧ください。

データプレーン

機能 Google Cloud 上の GKE クラスタ 他の GKE Enterprise クラスタ
サイドカー
アンビエント

マルチクラスタのサポート

別のプロジェクト内の GKE クラスタのマルチプライマリ デプロイでは、すべてのクラスタが共有 Virtual Private Cloud(VPC)内に存在する必要があります。

ネットワーク

機能 Google Cloud 上の GKE クラスタ GKE Enterprise クラスタ オンプレミス GKE on AWS GKE on Azure 接続クラスタ
単一ネットワーク
マルチネットワーク

注:

  • 接続されたクラスタの場合、現時点では、単一のプラットフォーム(Microsoft AKS、Amazon EKS)にまたがるマルチクラスタ メッシュのみがサポートされています。

デプロイモデル

機能 Google Cloud 上の GKE クラスタ GKE Enterprise クラスタ オンプレミス 他のパブリック クラウド上の GKE Enterprise 接続クラスタ
マルチプライマリ
プライマリリモート

用語に関する注意事項

  • プライマリ クラスタは、コントロール プレーンを含むクラスタです。1 つのメッシュで複数のプライマリ クラスタを使用することで、高可用性の実現やレイテンシの短縮が可能です。Istio 1.7 ドキュメントでは、マルチプライマリ デプロイはレプリケートされたコントロール プレーンと呼ばれます。

  • リモート クラスタは、クラスタの外部に存在するコントロール プレーンに接続するクラスタです。リモート クラスタは、プライマリ クラスタで実行されているコントロール プレーンまたは外部コントロール プレーンに接続できます。

  • Cloud Service Mesh では、一般的な接続に基づいて、簡素化されたネットワーク定義を使用しています。ワークロード インスタンスは、ゲートウェイなしで直接通信できる場合は同じネットワーク上に存在します。

ユーザー インターフェース

機能 Google Cloud 上の GKE クラスタ Google Distributed Cloud ベアメタル用 Google Distributed Cloud(ソフトウェアのみ) 他の GKE Enterprise クラスタ
Google Cloud コンソールの Cloud Service Mesh ダッシュボード * * *
Cloud Monitoring *
Cloud Logging *
Cloud Trace *

注: オンプレミス クラスタには、GKE Enterprise バージョン 1.11 以降が必要です。アップグレードの詳細については、 VMware 用の Google Distributed Cloud(ソフトウェアのみ)のアップグレード または ベアメタル用 Google Distributed Cloud(ソフトウェアのみ)のアップグレードをご覧ください。