Requisitos previos

En esta página, se describen los requisitos para instalar Anthos Service Mesh.

Proyecto de Cloud

Antes de comenzar:

Licencias de GKE Enterprise

GKE

Anthos Service Mesh está disponible con GKE Enterprise o como servicio independiente. Las API de Google se utilizan para determinar cómo se te factura. Para usar Anthos Service Mesh como un servicio independiente, no habilites la API de GKE Enterprise en tu proyecto. La secuencia de comandos habilita todas las otras asmcliAPI de Google requeridas para ti. Para obtener información sobre los precios de Anthos Service Mesh, consulta la página Precios.

  • Si eres suscriptor de GKE Enterprise, asegúrate de habilitar la API de GKE Enterprise.

Habilitar la API

  • Si no eres suscriptor de GKE Enterprise, aún puedes instalar Anthos Service Mesh, pero ciertos elementos y funciones de la IU en la consola de Google Cloud solo están disponibles para los suscriptores de GKE Enterprise. Si deseas obtener información sobre lo que está disponible para suscriptores y no suscriptores, consulta Diferencias entre la IU de GKE Enterprise y Anthos Service Mesh.

  • Si habilitaste la API de GKE Enterprise, pero deseas usar Anthos Service Mesh como servicio independiente, inhabilita la API de GKE Enterprise.

Local

A los clientes de GKE Enterprise no se les factura por separado Anthos Service Mesh porque ya está incluido en los precios de GKE Enterprise. Para obtener más información, consulta la guía de precios de GKE Enterprise.

Requisitos generales

  • Para que se los incluya en la malla de servicios, los puertos de servicio deben tener un nombre, y ese nombre debe incluir el protocolo del puerto en la siguiente sintaxis: name: protocol[-suffix], en la que los corchetes indican un sufijo opcional que debe comenzar con un guion. Para obtener más información, consulta Asigna nombres a puertos de servicio.

  • Si creaste un perímetro de servicio en tu organización, es posible que debas agregar el servicio de CA de Mesh al perímetro. Para obtener más información, consulta Agrega la CA de Mesh a un perímetro de servicio.

  • Si deseas cambiar los límites de recursos predeterminados para el contenedor del archivo adicional istio-proxy, los valores nuevos deben ser mayores que los valores predeterminados a fin de evitar eventos de memoria (OOM).

  • Un proyecto de Google Cloud solo puede tener una malla asociada.

Requisitos del clúster

GKE

  • Verifica que la versión del clúster se enumere en los entornos compatibles.

  • El clúster de GKE debe cumplir con los siguientes requisitos:

    • El clúster de GKE debe ser estándar, ya que los clústeres de Autopilot tienen limitaciones de webhooks que no permiten el MutatingWebhookConfiguration para istio-sidecar-injector.

    • Un tipo de máquina que tenga, al menos, 4 CPU virtuales, como e2-standard-4. Si el tipo de máquina del clúster no tiene al menos 4 CPU virtuales, cámbialo como se describe en Migra cargas de trabajo a diferentes tipos de máquina.

    • La cantidad mínima de nodos depende del tipo de máquina. Anthos Service Mesh requiere al menos 8 CPU virtuales. Si el tipo de máquina tiene 4 CPU virtuales, tu clúster debe tener al menos 2 nodos. Si el tipo de máquina tiene 8 CPU virtuales, el clúster solo necesita 1 nodo. Si necesitas agregar nodos, consulta Cambia el tamaño de un clúster.

  • Se requiere Workload Identity. Si tu clúster aún no tiene habilitado Workload Identity, puedes habilitarlo tú mismo (si sigues el paso 3 de Configura tu clúster) o incluir --enable_all o --enable_gcp_components cuando ejecutes asmcli install.

    Workload Identity es el método recomendado para llamar a las API de Google. Habilitar Workload Identity cambia la forma en que se protegen las llamadas de tus cargas de trabajo a las API de Google, como se describe en Limitaciones de Workload Identity.

    Solo hay un grupo de Workload Identity fijo por proyecto de Google Cloud, PROJECT_ID.svc.id.goog. Si tu clúster está registrado con una flota, el PROJECT_ID para el grupo de Workload Identity es el proyecto host de flota. Si tu clúster no está registrado con una flota, el PROJECT_ID del grupo de Workload Identity es el proyecto en el que se creó el clúster. Para obtener más información, consulta Identidad de cargas de trabajo de la flota.

  • Aunque es una acción opcional, se recomienda inscribir el clúster en un canal de versiones. Te recomendamos que te inscribas en el canal de versiones regular, ya que otros se podrían basar en una versión de GKE que no es compatible con Anthos Service Mesh 1.10.6. Para obtener más información, consulta Entornos compatibles. Sigue las instrucciones en Inscribe un clúster existente en un canal de versiones si tienes una versión estática de GKE.

  • Si instalas Anthos Service Mesh en un clúster privado, debes abrir el puerto 15017 en el firewall a fin de que los webhooks que se usan para la inyección automática de sidecar y la validación de configuración funcionen. Para obtener más información, consulta Abre un puerto en un clúster privado.

  • Para las cargas de trabajo de Windows Server, no se admite Istio. Si tu clúster tiene grupos de nodos de Linux y Windows Server, aún puedes instalar Anthos Service Mesh y usarlo en tus cargas de trabajo de Linux.

Local

  • Verifica que la versión del clúster se enumere en los entornos compatibles.

    VMWare

    Para verificar la versión del clúster, puedes usar la herramienta de línea de comandos de gkectl. Si no tienes gkectl instalado, consulta Descargas de GKE en VMware.

    gkectl version
    

    Bare Metal

    Para verificar la versión del clúster, puedes usar la herramienta de línea de comandos de bmctl. Si no tienes bmctl instalado, consulta la guía de inicio rápido de GDCV para Bare Metal.

    bmctl version
    
  • Asegúrate de que el clúster de usuario en el que instales Anthos Service Mesh tenga al menos 4 CPU virtuales, 15 GB de memoria y 4 nodos.

  • Se requiere el Workload Identity de la flota. GKE en VMware y Bare Metal se registran de forma automática en tu flota de proyectos en el momento de la creación del clúster. A partir de GKE Enterprise 1.8, estos tipos de clústeres habilitan automáticamente la identidad de las cargas de trabajo de la flota cuando se registran. Los clústeres registrados existentes se actualizan para usar la identidad de la carga de trabajo de flota cuando se actualizan a GKE Enterprise 1.8. Para verificar el estado de tu clúster, consulta Visualiza clústeres registrados.

  • Los nodos del clúster de usuario necesitan Internet para completar la instalación de Anthos Service Mesh de forma correcta. No es posible acceder a Internet a través de un proxy HTTP.

Próximos pasos