集群内控制层面支持的功能

本页面介绍了具有集群内控制平面的 Cloud Service Mesh1.26.0 支持的功能。如需查看具有托管式控制平面的 Cloud Service Mesh 1.26.0 支持的功能，请参阅托管式控制平面。

支持的版本

对 Cloud Service Mesh 的支持遵循 GKE Enterprise 版本支持政策。

对于具有 TRAFFIC_DIRECTOR 控制平面实现的托管式 Cloud Service Mesh，Google 始终支持此控制平面。

对于具有 ISTIOD 控制平面实现的托管式 Cloud Service Mesh，Google 支持每个发布渠道中提供的当前 Cloud Service Mesh 版本。

对于自行安装的集群内 Cloud Service Mesh，Google 支持当前 Cloud Service Mesh 版本和先前的两个 (n-2) 次要版本。

下表显示了受支持的自行安装的集群内 Cloud Service Mesh 版本以及相应版本的最早服务终止 (EOL) 日期。

如果您使用的是不受支持的 Cloud Service Mesh 版本，则必须升级到 Cloud Service Mesh 1.24 或更高版本。如需了解如何升级，请参阅升级 Cloud Service Mesh。

下表显示了不受支持的 Cloud Service Mesh 版本及其服务终止 (EOL) 日期。

如需详细了解我们的支持政策，请参阅获取支持。

平台差异

受支持的功能在支持的平台之间存在差异。

其他 GKE Enterprise 集群列指的是位于 Google Cloud之外的集群，例如：

• Google Distributed Cloud：

  • Google Distributed Cloud for VMware（纯软件）
  • 适用于裸金属的 Google Distributed Cloud（纯软件）

  本页面使用 Google Distributed Cloud（Google Distributed Cloud for VMware [纯软件] 和 Google Distributed Cloud for Bare Metal [纯软件] 上支持的功能相同），以及平台之间支持的功能存在差异的特定平台。

• 其他公有云上的 GKE Enterprise：

  • GKE on AWS
  • GKE on Azure

• GKE 关联集群 - 已注册到舰队的第三方 Kubernetes 集群。以下集群类型支持 Cloud Service Mesh：

  • Amazon EKS 集群
  • Microsoft AKS 集群

在下表中：

• - 表示该功能默认处于启用状态。
• – 表示平台支持该功能且可启用，如启用可选功能或功能表中链接的功能指南中所述。
• 兼容 - 表示该功能或第三方工具将与 Cloud Service Mesh 集成或搭配使用，但不完全受 Google Cloud 支持团队的支持，并且不提供功能指南。
• - 表示该功能不可用或不受 Cloud Service Mesh 1.26.0支持。

默认功能和可选功能完全受 Google Cloud支持团队的支持。该表中未明确列出的功能会得到全力支持。

基础映像

安全性

证书分发/变换机制

证书授权机构 (CA) 支持

Cloud Service Mesh 安全功能

除了支持 Istio 安全功能之外，Cloud Service Mesh 还提供了更多功能来帮助您保护应用。

授权政策

身份验证政策

对等身份验证

如需了解如何启用 mTLS STRICT 模式，请参阅配置传输安全性。

请求身份验证

注意：

1. 第三方 JWT 默认处于启用状态。

Telemetry

指标

代理请求日志记录

跟踪

网络

目标规则

流量拦截/重定向机制

协议支持

不支持将配置有第 7 层功能的服务用于以下协议：WebSocket、MongoDB、Redis、Kafka、Cassandra、RabbitMQ、Cloud SQL。您可以通过 TCP 字节流支持来使协议正常工作。如果 TCP 字节流无法支持协议（例如，Kafka 在特定于协议的回复中发送重定向地址，并且此重定向与 Cloud Service Mesh 的路由逻辑不兼容），则协议不受支持。

注意：

1. 虽然 TCP 是网络支持的协议，但系统不会收集或报告 TCP 指标。系统仅针对 Google Cloud 控制台中的 HTTP 服务显示指标。

Envoy 部署

CRD 支持

Istio 入站流量网关的负载均衡器

如需了解如何配置负载平衡器，请参阅以下内容：

• 为 Google Distributed Cloud for VMware（纯软件）设置负载均衡器
• GKE on AWS：创建负载均衡器
• 使用外部负载均衡器公开入站流量网关

Kubernetes Gateway API（预览版）

在 Cloud Service Mesh v1.20 中，Kubernetes Gateway API 作为公开预览版提供。

如果您使用的是 Microsoft AKS 关联集群或 GKE on Azure 集群，则必须为网关资源设置以下注解，以通过 TCP 配置健康检查：

  service.beta.kubernetes.io/port_80_health-probe_protocol: tcp

否则，系统将不接受 HTTP 流量。

Kubernetes Gateway API 预览版要求

Kubernetes Gateway API 预览版具有以下要求：

• 对 Gateway 使用默认的自动部署行为。

• 使用 HttpRoute CRD 进行路由配置。HttpRoute 必须有一个 parentRef 指向 Gateway。

• 请勿在同一集群中使用 Istio Gateway CR 和 Kubernetes Gateway API CR。

负载均衡政策

如需详细了解负载均衡政策，请参阅目标规则。

数据平面

多集群支持

对于不同项目中的 GKE 集群的多主模式部署，所有集群都必须位于共享 Virtual Private Cloud (VPC) 中。

网络

注意：

• 对于关联集群，目前仅支持跨单个平台（Microsoft AKS、Amazon EKS）的多集群网格。

部署模型

有关术语的注意事项：

• 主集群是具有控制平面的集群。单个网格可以有多个主集群来实现高可用性或缩短延迟时间。在 Istio 1.7 文档中，多主模式部署称为复制的控制平面。

• 远程集群是连接到集群外部的控制平面的集群。远程集群可以连接到在主集群中运行的控制层面或外部控制层面。

• Cloud Service Mesh 会根据通用连接使用简化的网络定义。如果工作负载实例无需使用网关就可以直接通信，则它们位于同一网络上。

界面

注意：本地集群需要 GKE Enterprise 1.11 版或更高版本。如需详细了解如何升级，请参阅升级 Google Distributed Cloud for VMware（纯软件）或升级 Google Distributed Cloud for Bare Metal（纯软件）。