了解 Cloud Service Mesh API 资源
当您在 GKE 上使用 Gateway API 和 Istio API 配置服务网格时,您在 GKE 上管理的基于 KRM 的 API 资源将自动转换为一组 Google Cloud API 资源:
- 这不会向您收取任何额外费用。
- 它们由托管式 Cloud Service Mesh 基础架构专门管理(基于您在 GKE 集群中创建的 API 资源)。您将无法修改或删除这些 Google Cloud API 资源。对 KRM API 进行更改会触发相应 Google Cloud API 资源的更新或移除。当您取消配置 Cloud Service Mesh 服务网格时,Google Cloud API 资源会自动移除。
- 它们在功能上与您在 GKE 上管理的 API 资源相当。Cloud Service Mesh 基础架构会根据这些 Google Cloud API 资源对 GKE 集群中的数据平面进行编程。
- 它们受标准的 Google CloudAPI 配额控制限制。您可以在 Google Cloud 项目中查看当前的配额用量。当超出 Google Cloud 资源配额时,向数据平面的配置传播将暂停。请注意, Google Cloud 会在项目级别强制执行资源配额,这些 Google Cloud API 资源与您自己管理的同一类型的 Google Cloud API 资源共享配额。
以下是 GKE 上的 API 资源如何映射到 Google Cloud API 资源的简要概述。在大多数情况下,了解 API 映射并非使用 GKE 上的服务网格的必要条件,因为您将通过 Gateway API 或 Istio API 来管理 GKE 上的服务网格。另一方面,深入了解 API 映射有助于您在服务网格扩展时,更高效地规划和管理Google Cloud API 配额。
了解 API 资源
您在 GKE 上管理的 API 资源将映射到一组 Google Cloud API 资源,这些资源控制数据平面中流量行为的不同方面。我们建议您为这些资源设置配额提醒。
使用托管式 Cloud Service Mesh 的 Istio API
| 内容 | Istio API 资源 | Google Cloud API 资源 | 范围 | 配额和限制 | 上限 |
|---|---|---|---|---|---|
| 流量路由 | VirtualService |
HTTPRoute TCPRoute TLSRoute |
全球 |
HTTPRoute 配额 TCPRoute 配额 TLSRoute 配额 |
每个服务端口,以及每个 Istio VirtualService 的 HTTPRoute、TCPRoute 和 TLSRoute 各 1 个。 |
| 服务表示法(适用于路由/政策附加) |
Service ServiceEntry |
BackendService | 全球 | BackendService 配额 | 每个服务端口 1 个(包括 Istio ServiceEntry)。 |
| 工作负载属性(如“IP:端口”、地点) |
Service ServiceEntry |
NetworkEndpointGroup | 可用区级 | NetworkEndpointGroup 配额 | 每个(服务端口、可用区)1 个。在区域级 GKE 集群中,对于给定的服务端口,在集群每个包含至少一个节点的可用区中创建一个 NetworkEndpointGroup。 |
| 工作负载健康状况监控 | 服务 | HealthCheck | 全球 | HealthCheck 配额 | 每个 GKE 集群 1 个。 |
| 工作负载政策附加点 |
PeerAuthentication AuthorizationPolicy RequestAuthentication EnvoyFilter |
EndpointPolicy | 全球 | EndpointPolicy 配额 | 每个服务端口以及每个工作负载政策 1 个。 |
| 身份验证 | PeerAuthentication |
ClientTlsPolicy ServerTlsPolicy |
全球 |
ClientTlsPolicy 配额 ServerTlsPolicy 配额 |
每个服务端口 1 个 ClientTlsPolicy。每个 TLS 网关 1 个 ServerTlsPolicy。 |
| 授权 | AuthorizationPolicy | HttpFilter | 全球 | HttpFilter 配额 | 每个 Istio AuthorizationPolicy 1 个 |
| 网关 | 网关 | 网关 | 全球 | 网关配额 | 每个 Istio 网关服务器端口 1 个 |
| 流量分配政策 | GCPTrafficDistributionPolicy 1 | ServiceLbPolicy | 全球 | ServiceLbPolicy 配额 | 每个 GCPTrafficDistributionPolicy 1 个 |
如果您的服务网格跨越不同项目中的多个集群,则所有Google Cloud 资源都将在舰队项目中创建。
1GCPTrafficDistributionPolicy 不是 Istio API。它增强了 Istio API,以提供高级的流量管理。
使用托管式 Cloud Service Mesh 的 Kubernetes Gateway API
| 内容 | Kubernetes Gateway API 资源 | Google Cloud API 资源 | 范围 | 配额和限制 | 上限 |
|---|---|---|---|---|---|
| 流量路由 |
HTTPRoute GRPCRoute |
HTTPRoute GRPCRoute |
全球 |
HTTPRoute 配额 GRPCRoute 配额 |
每个服务端口,以及每个 HTTPRoute 和 GRPCRoute 各 1 个。 |
| 服务表示法(适用于路由/政策附加) | 服务 | BackendService | 全球 | BackendService 配额 | 每个由 HTTPRoute 和 GRPCRoute 附加的服务端口 1 个。 |
| 工作负载属性(如“IP:端口”、地点) | 服务 | NetworkEndpointGroup | 可用区级 | NetworkEndpointGroup 配额 | 每个(服务端口、可用区)1 个。在区域级 GKE 集群中,对于给定的服务端口,在集群至少具有一个节点的每个可用区中创建一个 NetworkEndpointGroup。 |
| 工作负载健康状况监控 | 服务 | HealthCheck | 全球 | HealthCheck 配额 | 每个由 HTTPRoute 和 GRPCRoute 附加的服务端口 1 个。 |