Recursos compatíveis do plano de controle no cluster
Nesta página, descrevemos os recursos com suporte no Cloud Service Mesh 1.23.2 com um plano de controle no cluster. Para acessar os atributos do Cloud Service Mesh 1.23.2 com um controle gerenciado de avião, consulte Plano de controle gerenciado.
Versões compatíveis
O suporte para o Cloud Service Mesh segue a Política de suporte de versões do GKE Enterprise.
No Cloud Service Mesh gerenciado com uma implementação de plano de controle TRAFFIC_DIRECTOR, o Google sempre oferece suporte a esse plano de controle.
Para o Cloud Service Mesh gerenciado com uma implementação de plano de controle ISTIOD, o Google oferece suporte ao Cloud Service Mesh atual
disponíveis em cada uma
canal de lançamento.
Para o Cloud Service Mesh no cluster autoinstalado, o Google dá suporte às APIs atuais e as duas versões secundárias anteriores (n-2) do Cloud Service Mesh.
A tabela a seguir mostra as versões compatíveis de aplicativos no cluster autoinstalados Cloud Service Mesh e a data mais próxima de fim da vida útil (EOL, na sigla em inglês) de uma versão.
| Versão de lançamento | Data de lançamento | Data de fim da vida útil mais antiga |
|---|---|---|
| 1.22 | 25 de julho de 2024 | 25 de abril de 2025 |
| 1.21 | 4 de junho de 2024 | 4 de março de 2025 |
| 1.20 | 8 de fevereiro de 2024 | 8 de novembro de 2024 |
Se você estiver usando uma versão sem suporte do Cloud Service Mesh, será necessário fazer upgrade para Cloud Service Mesh 1.21 ou mais recente. Para mais informações sobre como fazer upgrade, consulte Fazer upgrade do Cloud Service Mesh.
A tabela a seguir mostra as versões sem suporte do Cloud Service Mesh e as de fim de vida útil (EOL).
| Versão de lançamento | Data de lançamento | Data de fim da vida útil |
|---|---|---|
| 1.19 | 31 de outubro de 2023 | Incompatível (31 de julho de 2024) |
| 1.18 | 3 de agosto de 2023 | Incompatível (4 de junho de 2024) |
| 1.17 | 4 de abril de 2023 | Incompatível (8 de fevereiro de 2024) |
| 1.16 | 21 de fevereiro de 2023 | Incompatível (11 de dezembro de 2023) |
| 1.15 | 25 de outubro de 2022 | Incompatível (4 de agosto de 2023) |
| 1.14 | 20 de julho de 2022 | Sem suporte (20 de abril de 2023) |
| 1.13 | 30 de março de 2022 | Não compatíveis (8 de fevereiro de 2023) |
| 1.12 | 9 de dezembro de 2021 . | Sem suporte (25 de outubro de 2022) |
| 1.11 | 6 de outubro de 2021 | Incompatível (20 de julho de 2022) |
| 1.10 | 24 de junho de 2021 | Não compatível (30 de março de 2022) |
| 1.9 | 4 de março de 2021 | Incompatível (14 de dezembro de 2021) |
| 1,8 | 15 de dezembro de 2020 | Incompatível (14 de dezembro de 2021) |
| 1,7 | 3 de novembro de 2020 | Incompatível (14 de dezembro de 2021) |
| 1.6 | 30 de junho de 2020 | Não compatível (30 de março de 2021) |
| 1.5 | 20 de maio de 2020 | Não compatíveis (17 de fevereiro de 2021) |
| 1.4 | 20 de dezembro de 2019 | Não compatível (18 de setembro de 2020) |
Para mais informações sobre nossas políticas de suporte, consulte Como receber suporte.
Diferenças de plataforma
Há diferenças nos recursos compatíveis entre as plataformas compatíveis.
As colunas Outros clusters do GKE Enterprise se referem a clusters que estão fora do Google Cloud, por exemplo:
Google Distributed Cloud:
- Google Distributed Cloud
- Google Distributed Cloud (somente software) em bare metal
Esta página usa o Google Distributed Cloud, que oferece o mesmo suporte na o Google Distributed Cloud (somente software) para VMware e Google Distributed Cloud (somente software) para Bare Metal e as plataforma em que existem diferenças entre elas.
GKE Enterprise em outras nuvens públicas:
Clusters anexados do GKE: clusters de terceiros do Kubernetes que foram registrados em uma frota. O Cloud Service Mesh é compatível com os seguintes tipos de cluster:
- Clusters do Amazon EKS
- Clusters do Microsoft AKS
Nas tabelas a seguir:
- : indica que o recurso está ativado por padrão.
- *: indica que o recurso é compatível com a plataforma e pode ser ativado, conforme descrito em Como ativar recursos opcionais ou no guia de recurso vinculado à tabela de recursos.
- Compatível: indica que o recurso ou a ferramenta de terceiros será integrado ou funcionam com o Cloud Service Mesh, mas não é totalmente compatível com o suporte do Google Cloud; e não há um guia de recursos disponível.
- : indica que o recurso não está disponível ou não tem suporte no Cloud Service Mesh 1.23.2.
Os recursos padrão e opcionais são totalmente compatíveis com o suporte do Google Cloud. Recursos não listados explicitamente nas tabelas recebem suporte de melhor esforço.
Imagens de base
| Recurso | Clusters do GKE no Google Cloud | Outros clusters do GKE Enterprise |
|---|---|---|
| Imagem proxy distroless |
Segurança
Mecanismos de distribuição/rotação de certificados
| Recurso | Clusters do GKE no Google Cloud | Outros clusters do GKE Enterprise |
|---|---|---|
| Gerenciamento de certificados de carga de trabalho | ||
| Gerenciamento de certificados externos nos gateways de entrada e de saída. |
Suporte para autoridade de certificação (CA)
| Recurso | Clusters do GKE no Google Cloud | Clusters do GKE Enterprise no local | Outros clusters do GKE Enterprise |
|---|---|---|---|
| Autoridade de certificação do Cloud Service Mesh | |||
| Certificate Authority Service | * | * | |
| CA do Istio (anteriormente conhecida como Citadel) | * | * | |
| Conectar seus próprios certificados de CA | Compatível com o serviço de CA e o Istio CA | Compatível com o serviço de CA e o Istio CA | Compatível com a CA do Istio |
Recursos de segurança do Cloud Service Mesh
Além de oferecer suporte aos recursos de segurança do Istio, o Cloud Service Mesh oferece ainda mais recursos para ajudar a proteger seus aplicativos.
| Recurso | Clusters do GKE no Google Cloud | Nuvem distribuída | GKE Multi-Cloud | Outros clusters do GKE Enterprise |
|---|---|---|---|---|
| Integração com o IAP | ||||
| Autenticação de usuário final | ||||
| Políticas de auditoria (prévia) | * | |||
| Modo de teste | ||||
| Registro de negação |
Política de autorização
| Recurso | Clusters do GKE no Google Cloud | Outros clusters do GKE Enterprise |
|---|---|---|
| Política de autorização v1beta1 | ||
| Modelos de caminho |
Política de autenticação
Autenticação de mesmo nível
| Recurso | Clusters do GKE no Google Cloud | Outros clusters do GKE Enterprise |
|---|---|---|
| Auto-mTLS | ||
| Modo mTLS PERMISSIVE |
Para informações sobre como ativar o modo mTLS STRICT, consulte Como configurar a segurança de transporte.
Autenticação de solicitações
| Recurso | Clusters do GKE no Google Cloud | Outros clusters do GKE Enterprise |
|---|---|---|
| Autenticação JWT (Observação 1) |
Observações:
- O JWT de terceiros é ativado por padrão.
Telemetria
Métrica
| Recurso | Clusters do GKE no Google Cloud | Clusters do GKE Enterprise no local | Outros clusters do GKE Enterprise |
|---|---|---|---|
| Cloud Monitoring (métricas HTTP no proxy) | |||
| Cloud Monitoring (métricas TCP no proxy) | |||
| API Istio Telemetry | |||
| Adaptadores/back-ends personalizados, dentro ou fora do processo | |||
| Back-ends de telemetria arbitrária e registro | |||
| Exportação de métricas do Prometheus para painéis do Prometheus, Grafana e Kiali instalados pelo cliente | Compatível | Compatível | Compatível |
| Google Cloud Managed Service para Prometheus, sem incluir o painel do Cloud Service Mesh | |||
| O gráfico de topologia no Console do Google Cloud não usa mais o serviço de telemetria do Mesh como fonte de dados. Embora a fonte de dados do gráfico de topologia tenha sido alterada, a IU permanece igual. | |||
Geração de registros de solicitação do proxy
| Seleção de | Clusters do GKE no Google Cloud | Clusters do GKE Enterprise no local | Outros clusters do GKE Enterprise |
|---|---|---|---|
| Registros de tráfego | |||
| Registros de acesso | * | * | * |
Cloud Trace
| Recurso | Clusters do GKE no Google Cloud | Clusters do GKE Enterprise no local | Outros clusters do GKE Enterprise |
|---|---|---|---|
| Cloud Trace | * | * | |
| Rastreamento do Jaeger (permite o uso de Jaeger gerenciado pelo cliente) | Compatível | Compatível | Compatível |
| Rastreamento de Zipkin (permite o uso de Zipkin gerenciado pelo cliente) | Compatível | Compatível | Compatível |
Rede
Mecanismo de interceptação e redirecionamento de tráfego
| Recurso | Clusters do GKE no Google Cloud | Outros clusters do GKE Enterprise |
|---|---|---|
Uso tradicional de iptables usando contêineres init
com CAP_NET_ADMIN |
||
| Interface de rede de contêiner (CNI) | * | * |
Suporte a protocolo
Os serviços configurados com os recursos de Camada 7 para os seguintes protocolos não são compatíveis: WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ e Cloud SQL. Talvez seja possível fazer o protocolo funcionar usando o suporte a streams de bytes TCP. Se o fluxo de bytes TCP não oferecer suporte ao protocolo (por exemplo, Kafka envia um endereço de redirecionamento em uma resposta específica do protocolo e se esse redirecionamento for incompatível com a lógica de roteamento do Cloud Service Mesh), o não é compatível.
| Recurso | Clusters do GKE no Google Cloud | Outros clusters do GKE Enterprise |
|---|---|---|
| IPv4 | ||
| HTTP/1.1 | ||
| HTTP/2 | ||
| Streams de bytes TCP (Observação 1) | ||
| gRPC | ||
| IPv6 |
Observações:
- Embora o TCP seja um protocolo compatível com rede, as métricas TCP não são coletadas nem relatadas. As métricas são exibidas apenas para serviços HTTP no console do Google Cloud.
Implantações do Envoy
| Recurso | Clusters do GKE no Google Cloud | Outros clusters do GKE Enterprise |
|---|---|---|
| Sidecars | ||
| Gateway de entrada | ||
| Saída diretamente dos sidecars | ||
| Saída usando gateways de saída | * | * |
Compatibilidade com CRD
| Recurso | Clusters do GKE no Google Cloud | Outros clusters do GKE Enterprise |
|---|---|---|
| Compatibilidade com a API Istio (exceções abaixo) | ||
| Filtros personalizados do Envoy |
Balanceador de carga para o gateway de entrada do Istio
| Recurso | Clusters do GKE no Google Cloud | Outros clusters do GKE Enterprise |
|---|---|---|
| Balanceador de carga externo de terceiros | ||
| google-cloud-internal-load-balancer | * | Incompatível. Veja os links abaixo. |
Para informações sobre como configurar balanceadores de carga, consulte o seguinte:
- Como configurar o balanceador de carga para o Google Distributed Cloud (somente software) para VMware
- GKE na AWS: Como criar um balanceador de carga
- Expor um gateway de entrada usando um balanceador de carga externo
API Kubernetes Gateway (prévia)
No Cloud Service Mesh v1.20, a API Kubernetes Gateway está disponível como um serviço prévia.
| Recurso | Clusters do GKE no Google Cloud | Outros clusters do GKE Enterprise |
|---|---|---|
| Entrada | ||
Gateway com class: istio |
||
HttpRoute usando parentRef |
||
| Tráfego de malha | ||
Como configurar CRDs do Istio usando o campo targetRefincluindo AuthorizationPolicy, RequestAuthentication, Telemetry e WasmPlugin |
Se você estiver usando clusters anexados do Microsoft AKS ou do GKE em clusters do Azure, você precisa definir a seguinte anotação Para que o recurso de gateway configure as verificações de integridade por TCP:
service.beta.kubernetes.io/port_80_health-probe_protocol: tcp
Caso contrário, o tráfego HTTP não será aceito.
Requisitos de visualização da API Kubernetes Gateway
A prévia da API Kubernetes Gateway tem os seguintes requisitos:
Usar o comportamento padrão de implantações automatizadas para gateways.
Use o CRD
HttpRoutepara configurações de roteamento. OHttpRouteprecisa ter é umparentRefque aponta para um gateway.Não use o gateway do Istio Respostas automáticas e Respostas automáticas da API Kubernetes Gateway no mesmo cluster.
Políticas de balanceamento de carga
| Recurso | Clusters do GKE no Google Cloud | Outros clusters do GKE Enterprise |
|---|---|---|
| Round-robin | ||
| Menos conexões | ||
| Aleatório | ||
| Passagem | ||
| Hash consistente | ||
| Localidade |
Para mais informações sobre políticas de balanceamento de carga, consulte Regras de destino (em inglês).
Plano de dados
| Recurso | Clusters do GKE no Google Cloud | Outros clusters do GKE Enterprise |
|---|---|---|
| Arquivo secundário | ||
| Ambiente |
Suporte a vários clusters
Para várias implantações primárias de clusters do GKE em projetos diferentes, todos os clusters precisam estar em uma nuvem privada virtual (VPC) compartilhada.
Rede
| Recurso | Clusters do GKE no Google Cloud | Clusters do GKE Enterprise no local | GKE na AWS | GKE no Azure | Clusters anexados |
|---|---|---|---|---|---|
| Rede única | |||||
| Várias redes |
Observações:
- Para clusters anexados, apenas malhas de vários clusters abrangendo uma única plataforma (Microsoft AKS, Amazon EKS) são compatíveis no momento.
Modelo de implantação
| Recurso | Clusters do GKE no Google Cloud | Clusters do GKE Enterprise no local | GKE Enterprise em outras nuvens públicas | Clusters anexados |
|---|---|---|---|---|
| Modo multiprimário | ||||
| Principal controle remoto |
Observações sobre a terminologia
Um cluster primário é um cluster com um plano de controle. Uma única malha pode ter mais de um cluster principal para alta disponibilidade ou reduzir a latência. Na documentação do Istio 1.7, uma implantação multiprimária é chamada de plano de controle replicado.
Um cluster remoto é um cluster que se conecta a um plano de controle que reside fora do cluster. Um cluster remoto pode se conectar a um plano de controle em execução em um cluster principal ou a um plano de controle externo.
O Cloud Service Mesh usa uma definição simplificada de rede com base em conectividade. Instâncias de carga de trabalho ficam na mesma rede, se puderem se comunicar diretamente, sem um gateway.
Interface do usuário
| Recurso | Clusters do GKE no Google Cloud | Google Distributed Cloud | Google Distributed Cloud (somente software) em bare metal | Outros clusters do GKE Enterprise |
|---|---|---|---|---|
| Painéis do Cloud Service Mesh no console do Google Cloud | * | * | * | |
| Cloud Monitoring | * | |||
| Cloud Logging | * | |||
| Cloud Trace | * |
Observação:os clusters locais exigem a versão 1.11 ou mais recente do GKE Enterprise. Para mais informações sobre o upgrade, consulte Como fazer upgrade do Google Distributed Cloud (somente software) para VMware ou Como fazer upgrade do Google Distributed Cloud (somente software) para bare metal.