规划安装

本页面提供的信息可帮助您为非 Google CloudKubernetes 工作负载规划集群内 Cloud Service Mesh 的新安装。

自定义控制层面

Cloud Service Mesh 支持的功能因平台而异。我们建议您查看支持的功能，了解您的平台支持哪些功能。某些功能默认启用，其他功能可以通过创建 IstioOperator 叠加文件视需要启用。运行 asmcli install 时，您可以通过使用叠加文件指定 --custom_overlay 选项来自定义控制平面。我们建议的最佳做法是将叠加文件保存在您的版本控制系统中。

GitHub 中的 asmcli 目录包含许多叠加文件。这些文件包含默认配置的常见自定义。您可以按原样使用这些文件，也可以根据需要对这些文件进行其他更改。启用可选的 Cloud Service Mesh 功能需要一些文件。当您运行 asmcli 来验证项目和集群时，系统会下载 anthos-service-mesh 软件包。

使用 asmcli install 安装 Cloud Service Mesh 时，您可以使用 --option 或 --custom_overlay 指定一个或多个叠加层文件。如果您不需要对 anthos-service-mesh 代码库中的文件进行任何更改，则可以使用 --option，该脚本将从 GitHub 中提取文件。否则，您可以更改叠加文件，然后使用 --custom_overlay 选项将其传递给 asmcli。

选择证书授权机构

根据您的用例和平台，您可以选择以下任一项作为颁发双向 TLS (mTLS) 证书的证书授权机构 (CA)：

• Cloud Service Mesh 证书授权机构
• Certificate Authority Service
• Istio CA

本部分提供了有关每个 CA 选项及其用例的概要信息。

Mesh CA

除非您需要自定义 CA，否则我们建议您使用 Cloud Service Mesh 证书授权机构，原因如下：

• Cloud Service Mesh 证书授权机构是一项高度可靠的可扩缩服务，针对动态扩缩的工作负载进行了优化。
• 通过 Cloud Service Mesh 证书授权机构，Google 负责管理 CA 后端的安全性和可用性。
• 借助 Cloud Service Mesh 证书授权机构，您可以在集群中依赖单个信任根。

来自 Cloud Service Mesh 证书授权机构的证书包含有关应用的服务的以下数据：

• Google Cloud 项目 ID
• GKE 命名空间
• GKE 服务账号名称

CA Service

除 Cloud Service Mesh 证书授权机构以外，您也可以将 Cloud Service Mesh 配置为使用 Certificate Authority Service。本指南提供了与 CA Service 集成的机会，建议用于以下使用场景：

• 您需要不同的证书授权机构对不同集群上的工作负载证书签名。
• 您需要将签名密钥备份到 Cloud HSM 中。
• 您从事的要是严格监管的行业，且需要遵守法规。
• 您需要将 Cloud Service Mesh CA 链接到自定义企业根证书来为工作负载证书签名。

Cloud Service Mesh 证书授权机构的费用包含在 Cloud Service Mesh 价格中。CA Service 不包含在 Cloud Service Mesh 基础价格中，而是单独计费。此外，CA Service 附带显式 SLA，但 Cloud Service Mesh 证书授权机构没有。

Istio CA

如果满足以下条件，我们建议您使用 Istio CA：

• 您的网格已使用 Istio CA，您不需要 Cloud Service Mesh 证书授权机构或 CA Service 提供的优势。
• 您需要自定义根 CA。
• 您有一些Google Cloud 外部的工作负载，其不接受Google Cloud托管式 CA 服务。

准备网关配置

Cloud Service Mesh 允许您将网关部署和管理为服务网格的一部分。网关描述了在网格边缘运行的负载均衡器，用于接收传入或传出 HTTP/TCP 连接。网关是 Envoy 代理，可让您精确控制进出网格的流量。

asmcli 不会安装 istio-ingressgateway。我们建议您单独部署和管理控制平面和网关。如需了解详情，请参阅安装和升级网关。

后续步骤

• 安装依赖工具并验证集群