Pianificazione di un'installazione
Questa pagina fornisce informazioni utili per pianificare una nuova installazione di Cloud Service Mesh.
Personalizzare il piano di controllo
Le funzionalità supportate da Cloud Service Mesh variano a seconda della piattaforma. Ti consigliamo di esaminare le funzionalità supportate per scoprire quali sono supportate sulla tua piattaforma. Alcune funzionalità sono attivate per impostazione predefinita, mentre altre possono essere attivate facoltativamente creando un IstioOperator
file overlay.
Quando esegui asmcli install
, puoi personalizzare il piano di controllo specificando
l'opzione --custom_overlay
con il file overlay. Come best practice, ti consigliamo di salvare
i file di overlay nel sistema di controllo delle versioni.
Il pacchetto anthos-service-mesh
su GitHub contiene molti file di overlay. Questi file contengono personalizzazioni comuni della configurazione predefinita. Puoi utilizzare questi file così come sono o apportare ulteriori modifiche in base alle tue esigenze. Alcuni file sono obbligatori per abilitare le funzionalità facoltative di Cloud Service Mesh.
Il pacchetto anthos-service-mesh
viene scaricato quando esegui asmcli
per
convalidare il progetto e il cluster.
Quando installi Cloud Service Mesh utilizzando asmcli install
, puoi specificare uno o più file overlay con --option
o --custom_overlay
.
Se non devi apportare modifiche ai file nel repository anthos-service-mesh
, puoi utilizzare --option
e lo script recupererà il file da GitHub per te. In caso contrario, puoi apportare modifiche al file overlay e utilizzare l'opzione --custom_overlay
per trasmetterlo a asmcli
.
Scegli un'autorità di certificazione
A seconda del caso d'uso, della piattaforma e del tipo di piano di controllo (all'interno del cluster o gestiti), puoi scegliere una delle seguenti come autorità di certificazione (CA) per il rilascio di certificati TLS reciproco (mTLS):
Questa sezione fornisce informazioni di alto livello su ciascuna di queste opzioni di CA e sui relativi casi d'uso.
Mesh CA
A meno che tu non abbia bisogno di un'Autorità di certificazione personalizzata, ti consigliamo di utilizzare l'Autorità di certificazione Cloud Service Mesh per i seguenti motivi:
- L'autorità di certificazione Cloud Service Mesh è un servizio estremamente affidabile e scalabile ottimizzato per i carichi di lavoro con scalabilità dinamica.
- Con l'autorità di certificazione Cloud Service Mesh, Google gestisce la sicurezza e la disponibilità del backend dell'autorità di certificazione.
- L'autorità di certificazione Cloud Service Mesh ti consente di fare affidamento su una singola radice di attendibilità nei diversi cluster.
I certificati dell'autorità di certificazione Cloud Service Mesh includono i seguenti dati sui servizi della tua applicazione:
- L'ID progetto Google Cloud
- Lo spazio dei nomi GKE
- Il nome dell'account di servizio GKE
Servizio CA
Oltre a Mesh CA, puoi configurare Cloud Service Mesh per utilizzare Certificate Authority Service. Questa guida ti offre l'opportunità di eseguire l'integrazione con CA Service, consigliato per i seguenti casi d'uso:
- Se hai bisogno di autorità di certificazione diverse per firmare i certificati dei carichi di lavoro su cluster diversi.
- Se vuoi utilizzare i
istiod
certificati del plug-in CA personalizzato. - Se devi eseguire il backup delle chiavi di firma in un HSM gestito.
- Se operi in un settore altamente regolamentato e sei soggetto a conformità.
- Se vuoi collegare la CA Cloud Service Mesh a un certificato radice aziendale personalizzato per firmare i certificati dei carichi di lavoro.
Il costo del CA Mesh è incluso nei prezzi di Cloud Service Mesh. Il servizio CA non è incluso nel prezzo base di Cloud Service Mesh e viene addebitato separatamente. Inoltre, il servizio CA è dotato di un SLA esplicito, mentre Mesh CA no.
Per questa integrazione, a tutti i carichi di lavoro in Cloud Service Mesh vengono concessi ruoli IAM:
privateca.workloadCertificateRequester
privateca.auditor
privateca.template
(obbligatorio se utilizzi un modello di certificato)
CA Istio
Ti consigliamo di utilizzare la CA Istio se soddisfi i seguenti criteri:
- Il tuo mesh utilizza già la CA Istio e non hai bisogno dei vantaggi abilitati dall'autorità di certificazione Cloud Service Mesh o dal servizio CA.
- Hai bisogno di una CA radice personalizzata.
- Hai carichi di lavoro esterni a Google Cloud per i quali un servizio CA gestito da Google Cloud non è accettabile.
Prepara la configurazione del gateway
Cloud Service Mesh ti offre la possibilità di eseguire il deployment e gestire i gateway all'interno del tuo mesh di servizi. Un gateway descrive un bilanciatore del carico che opera all'esterno della rete mesh e riceve connessioni HTTP/TCP in entrata o in uscita. I gateway sono proxy Envoy che ti offrono un controllo granulare sul traffico in entrata e in uscita dal mesh.
asmcli
non installa istio-ingressgateway
. Ti consigliamo di eseguire il deployment e gestire il piano di controllo e i gateway separatamente. Per ulteriori informazioni, consulta Installare e eseguire l'upgrade dei gateway.