Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Unterstützte Funktionen mit Istio-APIs (verwaltete Steuerungsebene)
Auf dieser Seite werden die unterstützten Funktionen und Einschränkungen für Cloud Service Mesh mit TRAFFIC_DIRECTOR oder ISTIOD als Steuerungsebene sowie die Unterschiede zwischen den einzelnen Implementierungen beschrieben. Beachten Sie, dass Sie diese Optionen nicht auswählen können. Die ISTIOD-Implementierung ist nur für bestehende Nutzer verfügbar.
Bei Neuinstallationen wird nach Möglichkeit die TRAFFIC_DIRECTOR-Implementierung verwendet.
Migrationen und Upgrades werden nur von Cloud Service Mesh-Versionen ab Cluster 1.9 unterstützt, die mit Mesh CA installiert sind. Installationen mit Istio CA (ehemals Citadel) müssen zuerst zu Mesh CA migriert werden.
Die Limits für die Skalierung sind in diesem Leitfaden beschrieben.
Nur die Multi-Primary-Bereitstellungsoption für Multi-Cluster wird unterstützt, die Primary-Remote-Bereitstellungsoption für Multi-Cluster nicht.
istioctl ps wird nicht unterstützt. Stattdessen können Sie die gcloud beta container fleet mesh debug-Befehle verwenden, wie unter Fehlerbehebung beschrieben.
Sie können die verwaltete Steuerungsebene ohne GKE Enterprise-Abo verwenden. Bestimmte UI-Elemente und Funktionen in der Google Cloud Console sind jedoch nur für GKE Enterprise-Abonnenten verfügbar. Informationen dazu, welche Features Abonnenten und Nicht-Abonnenten zur Verfügung stehen, finden Sie unter Unterschiede zwischen GKE Enterprise und Cloud Service Mesh in der Benutzeroberfläche.
Während des Bereitstellungsprozesses für eine verwaltete Steuerungsebene werden Istio-CRDs, die dem ausgewählten Kanal entsprechen, im angegebenen Cluster installiert. Wenn im Cluster bereits Istio-CRDs vorhanden sind, werden diese überschrieben.
Verwaltetes Cloud Service Mesh unterstützt nur die Standard-DNS-Domain .cluster.local.
Bei Neuinstallationen von verwaltetem Cloud Service Mesh werden JWKS nur über Envoys abgerufen, sofern die Flotte keine anderen Cluster enthält, für die dieses Verhalten nicht aktiviert ist. Dies entspricht der Istio-Option PILOT_JWT_ENABLE_REMOTE_JWKS=envoy. Im Vergleich zu Installationen ohne die Bedingung „VPCSC_GA_SUPPORTED“ (siehe unten) ist möglicherweise eine zusätzliche Konfiguration für ServiceEntry- und DestinationRule-Konfigurationen erforderlich. Ein Beispiel finden Sie unter requestauthn-with-se.yaml.tmpl.
Sie können feststellen, ob der aktuelle Betriebsmodus PILOT_JWT_ENABLE_REMOTE_JWKS=envoy entspricht, indem Sie prüfen, ob VPC Service Controls für die Steuerungsebene unterstützt werden (d. h., ob die Bedingung VPCSC_GA_SUPPORTED angezeigt wird).
Die verwaltete Datenebene wird nur für Arbeitslasten ohne zusätzliche Sidecars (außer dem Cloud Service Mesh-Sidecar) unterstützt.
Unterschiede der Steuerungsebene
Es gibt Unterschiede bei den unterstützten Funktionen zwischen den Implementierungen der Steuerungsebene ISTIOD und TRAFFIC_DIRECTOR. Informationen dazu, welche Implementierung Sie verwenden, finden Sie unter Implementierung der Steuerungsebene ermitteln.
– gibt an, dass das Feature verfügbar und standardmäßig aktiviert ist.
† – weist darauf hin, dass sich die APIs für die Funktion auf den verschiedenen Plattformen unterscheiden können.
* – gibt an, dass das Feature für die Plattform unterstützt wird und wie unter Optionale Funktionen aktivieren oder in dem in der Feature-Tabelle verlinkten Leitfaden beschrieben aktiviert werden kann.
§ – gibt an, dass das Feature durch eine Zulassungsliste unterstützt wird. Bisherige Nutzer von verwaltetem Anthos Service Mesh werden automatisch auf Organisationsebene auf die Zulassungsliste gesetzt.
Wenden Sie sich an den Support, um Zugriff anzufordern oder den Status Ihrer Zulassungsliste zu prüfen. Google Cloud
– gibt an, dass das Feature nicht verfügbar ist oder nicht unterstützt wird.
Die standardmäßigen und optionalen Funktionen werden vom Google Cloud-Support vollständig unterstützt. Features, die nicht explizit in den Tabellen aufgeführt sind, erhalten bestmöglichen Support.
Was bestimmt die Implementierung der Steuerungsebene?
Wenn Sie verwaltetes Cloud Service Mesh zum ersten Mal in einer Flotte bereitstellen, wird festgelegt, welche Steuerungsebenenimplementierung verwendet werden soll. Dieselbe Implementierung wird für alle Cluster verwendet, in denen verwaltetes Cloud Service Mesh in dieser Flotte bereitgestellt wird.
Neue Flotten, die in verwaltetes Cloud Service Mesh eingebunden werden, erhalten die TRAFFIC_DIRECTOR-Steuerungsebenenimplementierung, mit bestimmten Ausnahmen:
Wenn Sie bereits ein Nutzer der verwalteten Cloud Service Mesh sind, erhalten Sie die Implementierung der ISTIOD-Steuerungsebene, wenn Sie bis mindestens 30. Juni 2024 eine neue Flotte in derselben Google Cloud-Organisation in die verwaltete Cloud Service Mesh einbinden.
Wenn Sie einer dieser Nutzer sind, können Sie sich an den Support wenden, um dieses Verhalten anzupassen.
Nutzer, deren bestehende Nutzung nicht mit der TRAFFIC_DIRECTOR
Implementierung ohne Änderungen kompatibel ist, erhalten die ISTIOD
Implementierung weiterhin bis zum 8. September 2024. Diese Nutzer haben eine Dienstmitteilung erhalten.
Wenn ein GKE on Google Cloud -Cluster in Ihrer Flotte eine clusterinterne Cloud Service Mesh-Steuerungsebene enthält, wenn Sie verwaltetes Cloud Service Mesh bereitstellen, erhalten Sie die ISTIOD-Steuerungsebenenimplementierung.
Wenn in einem Cluster in Ihrer Flotte GKE Sandbox verwendet wird, erhalten Sie beim Bereitstellen von verwaltetem Cloud Service Mesh die ISTIOD-Steuerungsebene.
Von der verwaltete Steuerungsebene unterstützte Features
Installieren, aktualisieren und Rollback ausführen
Umgebungen außerhalb von Google Cloud (GKE Enterprise On-Premise, GKE Enterprise in anderen öffentlichen Clouds, Amazon EKS, Microsoft AKS oder andere Kubernetes-Cluster)
Endpunkterkennung für mehrere Cluster mit Remote-Secrets
Multi-Cluster-Endpunkterkennung mit deklarativer API und einer einfachen Topologie
Hinweise zur Terminologie
Bei einer Multi-Primary-Konfiguration muss die Konfiguration in allen Clustern repliziert werden.
Eine Primary-Remote-Konfiguration bedeutet, dass ein einzelner Cluster die Konfiguration enthält und als Source of Truth gilt.
Cloud Service Mesh verwendet eine vereinfachte Definition von Netzwerken auf der Grundlage allgemeiner Konnektivität. Arbeitslastinstanzen befinden sich im selben Netzwerk, wenn sie ohne Gateway direkt kommunizieren können.
Bei der einfachen Topologie für die Endpunkterkennung in mehreren Clustern nimmt jeder Cluster in der Flotte entweder an der Endpunkterkennung teil oder nicht. Komplexe Topologien, die nicht unterstützt werden, umfassen (a) die unidirektionale Endpunkterkennung (z.B. kann Cluster A Endpunkte in Cluster B erkennen, aber nicht umgekehrt) und (b) disjunkte Endpunkterkennungsnetzwerke (z.B. können Cluster A und B die Endpunkte des jeweils anderen erkennen, Cluster C und D können die Endpunkte des jeweils anderen erkennen, aber A/B und C/D können die Endpunkte des jeweils anderen nicht erkennen).
† Cloud Service Mesh mit einer verwalteten (TD) Steuerungsebene unterstützt nur den distroless-Bildtyp. Sie können sie nicht ändern.
Distroless-Images haben nur minimale Binärdateien. Daher können Sie die üblichen Befehle wie „bash“ oder „curl“ nicht ausführen, da sie im Distroless-Image nicht vorhanden sind.
Sie können jedoch sitzungsspezifische Container verwenden, um eine Verbindung zu einem laufenden Arbeitslast-Pod herzustellen, um ihn zu untersuchen und benutzerdefinierte Befehle auszuführen. Ein Beispiel finden Sie unter Cloud Service Mesh-Logs erfassen.
Integration in benutzerdefinierte Zertifizierungsstellen
Sicherheitsfunktionen
Cloud Service Mesh unterstützt nicht nur die Sicherheitsfunktionen von Istio, sondern bietet auch weitere Funktionen, mit denen Sie Ihre Anwendungen schützen können.
Benutzerdefinierte Adapter/Back-Ends, In- oder Out-of-Process
Beliebige Telemetrie- und Logging-Back-Ends
† Die TRAFFIC_DIRECTOR-Steuerungsebene unterstützt eine Teilmenge der Istio-Telemetrie-API, die zum Konfigurieren von Zugriffsprotokollen und Traces verwendet wird. Die TRAFFIC_DIRECTOR-Steuerungsebene unterstützt die Konfiguration der Trace-Sampling-Rate nicht.
Obwohl TCP ein unterstütztes Protokoll für das Netzwerk ist und TCP-Messwerte erfasst werden, werden sie nicht gemeldet. Messwerte werden nur für HTTP-Dienste in der Google Cloud -Konsole angezeigt.
Dienste, die mit Layer-7-Funktionen für die folgenden Protokolle konfiguriert wurden, werden nicht unterstützt: WebSocket, MongoDB, Redis, MySQL, Kafka, Cassandra, RabbitMQ, Cloud SQL. Unter Umständen können Sie das Protokoll mithilfe der TCP-Bytestream-Unterstützung nutzen. Wenn der TCP-Bytestream das Protokoll nicht unterstützt (z. B. wenn Kafka eine Weiterleitungsadresse in einer protokollspezifischen Antwort sendet und diese Weiterleitung nicht mit der Routinglogik von Cloud Service Mesh kompatibel ist), wird das Protokoll nicht unterstützt. Obwohl Gateway-Ports mit dem Mongo-, MySQL- und Redis-Protokoll erstellt werden können, behandelt das Mesh den resultierenden Traffic als Standard-TCP-Traffic, ohne protokollspezifische Verarbeitung.
† Bei proxyless gRPC werden IPv6-Dual-Stack-Funktionen nur in gRPC 1.66.1 oder höher in C++ und Python, gRPC Go v1.71 und gRPC Node.js v1.12 unterstützt.
Wenn Sie versuchen, Dual-Stack-Funktionen mit einer Version von gRPC zu konfigurieren, die Dual-Stack nicht unterstützt, verwenden die Clients nur die erste von Traffic Director gesendete Adresse.
Außerdem erfordert die TRAFFIC_DIRECTOR-Steuerungsebene, dass sich die Zielregel, die Teilmengen definiert, im selben Namespace und Cluster wie der Kubernetes-Dienst oder ServiceEntry befindet.
Sidecar
Funktion
Verwaltet (TD)
Verwaltet (istiod)
Sidecar v1beta1
†
† Die Implementierung der TRAFFIC_DIRECTOR-Steuerungsebene unterstützt die folgenden Felder und Werte in Feldern nicht:
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-08-19 (UTC)."],[],[],null,[]]
