叢集內控制層支援的功能
本頁面說明 Cloud Service Mesh1.25.3 中叢集內控制平面支援的功能。如要查看 Cloud Service Mesh 1.25.3 搭配代管控制層時支援的功能,請參閱「代管控制層」。
支援的版本
我們會依據 GKE Enterprise 版本支援政策提供 Cloud Service Mesh 支援。
對於代管的 Cloud Service Mesh,Google 支援各發布管道中提供的目前 Cloud Service Mesh 版本。
對於自行安裝的叢集內 Cloud Service Mesh,Google 支援目前和前兩個 (n-2) 次要版本的 Cloud Service Mesh。
下表列出在叢集中自行安裝的 Cloud Service Mesh 支援的版本,以及版本最早的終止服務日期 (EOL)。
| 發布版本 | 發布日期 | 最早的服務終止日期 |
|---|---|---|
| 1.20 | 2024 年 2 月 8 日 | 2024 年 11 月 8 日 |
| 1.19 | 2023 年 10 月 31 日 | 2024 年 7 月 31 日 |
| 1.18 | 2023 年 8 月 3 日 | 2024 年 6 月 1 日 |
如果您使用的是未支援的 Cloud Service Mesh 版本,則必須升級至 Cloud Service Mesh 1.23 以上版本。如要瞭解如何升級,請參閱「升級 Cloud Service Mesh」。
下表列出不支援的 Cloud Service Mesh 版本,以及這些版本的生命週期結束日期 (EOL)。
| 發布版本 | 發布日期 | 產品停產日期 |
|---|---|---|
| 1.17 | 2023 年 4 月 4 日 | 不支援 (2024 年 2 月 8 日) |
| 1.16 | 2023 年 2 月 21 日 | 不支援 (2023 年 12 月 11 日) |
| 1.15 | 2022 年 10 月 25 日 | 不支援 (2023 年 8 月 4 日) |
| 1.14 | 2022 年 7 月 20 日 | 不支援 (2023 年 4 月 20 日) |
| 1.13 | 2022 年 3 月 30 日 | 不支援 (2023 年 2 月 8 日) |
| 1.12 | 2021 年 12 月 9 日 | 不支援 (2022 年 10 月 25 日) |
| 1.11 | 2021 年 10 月 6 日 | 不支援 (2022 年 7 月 20 日) |
| 1.10 | 2021 年 6 月 24 日 | 不支援 (2022 年 3 月 30 日) |
| 1.9 | 2021 年 3 月 4 日 | 不支援 (2021 年 12 月 14 日) |
| 1.8 | 2020 年 12 月 15 日 | 不支援 (2021 年 12 月 14 日) |
| 1.7 | 2020 年 11 月 3 日 | 不支援 (2021 年 12 月 14 日) |
| 1.6 | 2020 年 6 月 30 日 | 不支援 (2021 年 3 月 30 日) |
| 1.5 | 2020 年 5 月 20 日 | 不支援 (2021 年 2 月 17 日) |
| 1.4 | 2019 年 12 月 20 日 | 不支援 (2020 年 9 月 18 日) |
如要進一步瞭解支援政策,請參閱「取得支援」一文。
平台差異
支援平台之間支援的功能有所差異。
「其他 GKE Enterprise 叢集」欄是指 Google Cloud以外的叢集,例如:
Google Distributed Cloud:
- 適用於 VMware 的 Google Distributed Cloud (僅限軟體)
- 適用於裸機的 Google Distributed Cloud (僅限軟體)
本頁面使用 Google Distributed Cloud,在 VMware 的 Google Distributed Cloud (僅限軟體) 和裸機的 Google Distributed Cloud (僅限軟體) 上提供相同的支援,以及平台之間存在差異的特定平台。
在其他公有雲中使用 GKE Enterprise:
GKE 附加叢集:已向機群註冊的第三方 Kubernetes 叢集。Cloud Service Mesh 支援下列叢集類型:
- Amazon EKS 叢集
- Microsoft AKS 叢集
在下列表格中:
- :表示這項功能預設為啟用。
- *:表示平台支援該功能,且可啟用,如啟用選用功能或功能表格中連結的功能指南所述。
- 相容:表示功能或第三方工具會與 Cloud Service Mesh 整合或搭配運作,但不完全支援 Google Cloud 支援服務,也沒有功能指南。
- – 表示這項功能無法使用,或在 Cloud Service Mesh 1.25.3中不受支援。
Google Cloud支援團隊完全支援預設和選用功能。表格中未明確列出的功能會盡力提供支援。
安全性
憑證發布/輪替機制
| 功能 | Google Cloud上的 GKE 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|
| 工作負載憑證管理 | ||
| ingress 和egress閘道上的外部憑證管理。 |
憑證授權單位 (CA) 支援
| 功能 | Google Cloud上的 GKE 叢集 | 內部部署的 GKE Enterprise 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|---|
| Cloud Service Mesh 憑證授權單位 | |||
| 憑證授權單位服務 | * | * | |
| Istio CA (舊稱 Citadel) | * | * | |
| 插入自己的 CA 憑證 | 由 CA 服務和 Istio CA 支援 | 由 CA 服務和 Istio CA 支援 | 由 Istio CA 支援 |
Anthos 服務網格安全防護功能
除了支援 Istio 安全防護功能,Cloud Service Mesh 還提供更多功能,協助您保護應用程式。
| 功能 | Google Cloud上的 GKE 叢集 | 分散式雲端 | GKE Multi-cloud | 其他 GKE Enterprise 叢集 |
|---|---|---|---|---|
| Google Play 整合 | ||||
| 使用者驗證 | ||||
| 稽核政策 (預先發布版) | * | |||
| 模擬測試模式 | ||||
| 拒絕記錄 |
授權政策
| 功能 | Google Cloud上的 GKE 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|
| 授權 v1beta1 政策 |
驗證政策
同類應用程式驗證
| 功能 | Google Cloud上的 GKE 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|
| 自動 mTLS | ||
| mTLS PERMISSIVE 模式 |
如要瞭解如何啟用 mTLS 嚴格模式,請參閱「設定傳輸安全性」。
要求驗證
| 功能 | Google Cloud上的 GKE 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|
| JWT 驗證 (附註 1) |
注意:
- 第三方 JWT 預設為啟用。
基礎圖片
| 功能 | Google Cloud上的 GKE 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|
| Distroless proxy image |
遙測
指標
| 功能 | Google Cloud上的 GKE 叢集 | 內部部署的 GKE Enterprise 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|---|
| Cloud Monitoring (HTTP in-proxy metrics) | |||
| Cloud Monitoring (TCP 內部 Proxy 指標) | |||
| Istio Telemetry API | |||
| 自訂轉接器/後端 (在或離開程序) | |||
| 任意遙測和記錄後端 | |||
| Prometheus 指標匯出至客戶安裝的 Prometheus、Grafana 和 Kiali 資訊主頁 | 相容 | 相容 | 相容 |
| Google Cloud Managed Service for Prometheus (不含 Cloud Service Mesh 資訊主頁) | |||
| Google Cloud 控制台中的拓撲圖不再使用 Mesh 遙測服務做為資料來源。雖然拓樸圖的資料來源已變更,但 UI 仍維持不變。 | |||
Proxy 要求記錄
| 功能 | Google Cloud上的 GKE 叢集 | 內部部署的 GKE Enterprise 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|---|
| 流量記錄檔 | |||
| 存取記錄 | * | * | * |
追蹤
| 功能 | Google Cloud上的 GKE 叢集 | 內部部署的 GKE Enterprise 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|---|
| Cloud Trace | * | * | |
| Jaeger 追蹤 (可使用客戶管理的 Jaeger) | 相容 | 相容 | 相容 |
| Zipkin 追蹤 (可使用客戶管理的 Zipkin) | 相容 | 相容 | 相容 |
網路
流量攔截/重新導向機制
| 功能 | Google Cloud上的 GKE 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|
使用 init 容器搭配 CAP_NET_ADMIN,以傳統方式使用 iptables |
||
| 容器網路介面 (CNI) | * | * |
通訊協定支援
系統不支援針對下列通訊協定,以第 7 層功能設定的服務:WebSocket、MongoDB、Redis、Kafka、Cassandra、RabbitMQ、Cloud SQL。您可以使用 TCP 位元組串流支援功能,讓通訊協定運作。如果 TCP 位元組串流無法支援通訊協定 (例如 Kafka 在特定通訊協定的回覆中傳送重新導向位址,而這個重新導向與 Cloud Service Mesh 的路由邏輯不相容),則系統不支援該通訊協定。
| 功能 | Google Cloud上的 GKE 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|
| IPv4 | ||
| HTTP/1.1 | ||
| HTTP/2 | ||
| TCP 位元組串流 (附註 1) | ||
| gRPC | ||
| IPv6 |
注意:
- 雖然 TCP 是網路支援的通訊協定,但系統不會收集或回報 TCP 指標。 Google Cloud 主控台只會顯示 HTTP 服務的指標。
Envoy 部署
| 功能 | Google Cloud上的 GKE 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|
| 補充資訊 | ||
| Ingress 閘道 | ||
| 直接從 sidecar 輸出 | ||
| 使用出口閘道輸出 | * | * |
CRD 支援
| 功能 | Google Cloud上的 GKE 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|
| Istio API 支援 (以下為例外狀況) | ||
| 自訂 Envoy 篩選器 |
Istio 輸入閘道的負載平衡器
| 功能 | Google Cloud上的 GKE 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|
| 第三方外部負載平衡器 | ||
| Google Cloud 內部負載平衡器 | * | 不支援。請參閱下方連結。 |
如要瞭解如何設定負載平衡器,請參閱以下文章:
Kubernetes Gateway API (預先發布版)
在 Cloud Service Mesh 1.20 中,Kubernetes Gateway API 可做為公開搶先體驗版使用。
| 功能 | Google Cloud上的 GKE 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|
| Ingress | ||
使用 class: istio 的閘道 |
||
使用 parentRef 的 HttpRoute |
||
| 網狀網路流量 | ||
使用 targetRef 欄位設定 Istio CRD,包括 AuthorizationPolicy、RequestAuthentication、Telemetry 和 WasmPlugin |
如果您在 Azure 叢集中使用 Microsoft AKS 已連結的叢集或 GKE,則必須為閘道資源設定下列註解,才能設定透過 TCP 進行的健康狀態檢查:
service.beta.kubernetes.io/port_80_health-probe_protocol: tcp
否則系統不會接受 HTTP 流量。
Kubernetes Gateway API 前測版的必要條件
Kubernetes Gateway API 預覽版有以下需求:
使用 Gateway 的預設自動部署行為。
使用
HttpRouteCRD 進行路由設定。HttpRoute必須包含指向 Gateway 的parentRef。請勿在同一個叢集中使用 Istio Gateway 和 Kubernetes Gateway API CR。
負載平衡政策
| 功能 | Google Cloud上的 GKE 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|
| 循環制 | ||
| 連線數量最少 | ||
| 隨機 | ||
| 透視 | ||
| 一致的雜湊 | ||
| 縣市 |
如要進一步瞭解負載平衡政策,請參閱目的地規則。
支援多叢集
如果是不同專案中的多個主要 GKE 叢集部署作業,則所有叢集都必須位於共用虛擬私有雲 (VPC) 中。
網路
| 功能 | Google Cloud上的 GKE 叢集 | 內部部署的 GKE Enterprise 叢集 | GKE on AWS | GKE on Azure | 附加的叢集 |
|---|---|---|---|---|---|
| 單一網路 | |||||
| 多網路 |
注意:
- 對於已連結的叢集,目前僅支援跨單一平台 (Microsoft AKS、Amazon EKS) 的多叢集網格。
部署模式
| 功能 | Google Cloud上的 GKE 叢集 | 內部部署的 GKE Enterprise 叢集 | 在其他公用雲端中使用 GKE Enterprise | 附加的叢集 |
|---|---|---|---|---|
| 多重主要版本 | ||||
| 主要遙控器 |
術語注意事項:
主要叢集是指含有控制層的叢集。單一網格可以有多個主要叢集,以便提高可用性或降低延遲時間。在 Istio 1.7 說明文件中,多主機部署會稱為複寫控制層。
遠端叢集是指連線至位於叢集外部的控制層叢集。遠端叢集可以連線至在主要叢集中執行的控制層,或連線至外部控制層。
Cloud Service Mesh 會使用簡化的網路定義,以便提供一般連線功能。如果工作負載執行個體能夠直接通訊,而不需要透過閘道,則表示位於同一個網路。
使用者介面
| 功能 | Google Cloud上的 GKE 叢集 | Google Distributed Cloud | Google Distributed Cloud | 其他 GKE Enterprise 叢集 |
|---|---|---|---|---|
| Google Cloud 控制台中的 Cloud Service Mesh 資訊主頁 | * | * | * | |
| Cloud Monitoring | * | |||
| Cloud Logging | * | |||
| Cloud Trace | * |
注意:要建立內部部署叢集,您必須使用 GKE Enterprise 1.11 以上版本。如要進一步瞭解升級程序,請參閱「升級 Google Distributed Cloud」或「升級 Google Distributed Cloud」。