Requisitos previos de Cloud Service Mesh
En esta página se describen los requisitos previos y los requisitos para instalar Cloud Service Mesh, como la licencia de GKE Enterprise, los requisitos de los clústeres, los requisitos de las flotas y los requisitos generales.
Proyecto en la nube
Antes de empezar:
Comprueba que la facturación esté habilitada en tu proyecto.
Licencias de GKE Enterprise
GKE
Cloud Service Mesh está disponible con GKE Enterprise o como servicio independiente.
Las APIs de Google sirven para determinar cómo se te va a facturar. Para usar Cloud Service Mesh como servicio independiente, no habilites la API de GKE Enterprise en tu proyecto.
La asmcli habilita todas las demás APIs de Google necesarias. Para obtener información sobre los precios de Cloud Service Mesh, consulta la página Precios.
- Si tienes una suscripción a GKE Enterprise, asegúrate de habilitar la API de GKE Enterprise.
Si no tienes una suscripción a GKE Enterprise, puedes instalar Cloud Service Mesh, pero algunos elementos de la interfaz de usuario y funciones de la consola solo están disponibles para los suscriptores de GKE Enterprise. Google Cloud Para obtener información sobre lo que está disponible para suscriptores y no suscriptores, consulta las diferencias entre la interfaz de GKE Enterprise y la de Cloud Service Mesh.
Si has habilitado la API de GKE Enterprise, pero quieres usar Cloud Service Mesh como servicio independiente, inhabilita la API de GKE Enterprise.
Fuera de Google Cloud
Para instalar Cloud Service Mesh on-premise, en GKE en AWS, en Amazon EKS o en Microsoft AKS, debes ser cliente de GKE Enterprise. A los clientes de GKE Enterprise no se les cobra por separado por Cloud Service Mesh, ya que este servicio ya está incluido en el precio de GKE Enterprise. Para obtener más información, consulta la guía de precios de GKE Enterprise.
Requisitos generales
Para que se incluyan en la malla de servicios, los puertos de servicio deben tener un nombre, y este debe incluir el protocolo del puerto con la siguiente sintaxis:
name: protocol[-suffix]donde los corchetes indican un sufijo opcional que debe empezar por un guion. Para obtener más información, consulta Asignar nombres a puertos de servicio.Si has creado un perímetro de servicio en tu organización, puede que tengas que añadir el servicio de autoridad de certificación de Cloud Service Mesh al perímetro. Consulta más información sobre cómo añadir una autoridad de certificación de Cloud Service Mesh a un perímetro de servicio.
Si quieres cambiar los límites de recursos predeterminados del contenedor sidecar
istio-proxy, los nuevos valores deben ser superiores a los predeterminados para evitar eventos de falta de memoria (OOM).Un proyecto Google Cloud solo puede tener una malla asociada.
Requisitos de clústeres
GKE
Comprueba que la versión de tu clúster aparezca en la lista de plataformas compatibles.
Tu clúster de GKE debe cumplir los siguientes requisitos:
El clúster de GKE debe ser Estándar. Los clústeres de Autopilot solo se admiten con Cloud Service Mesh gestionado.
Un tipo de máquina que tenga al menos 4 vCPUs, como
e2-standard-4. Si el tipo de máquina de tu clúster no tiene al menos 4 vCPUs, cambia el tipo de máquina tal como se describe en Migrar cargas de trabajo a diferentes tipos de máquinas.El número mínimo de nodos depende del tipo de máquina. Cloud Service Mesh requiere al menos 8 vCPUs. Si el tipo de máquina tiene 4 vCPUs, tu clúster debe tener al menos 2 nodos. Si el tipo de máquina tiene 8 vCPUs, el clúster solo necesita 1 nodo. Si necesitas añadir nodos, consulta Cambiar el tamaño de un clúster.
Es obligatorio usar Workload Identity de GKE. Te recomendamos que habilites Workload Identity antes de instalar Cloud Service Mesh. Al habilitar Workload Identity, cambia la forma en que se protegen las llamadas de tus cargas de trabajo a las APIs de Google, tal como se describe en las limitaciones de Workload Identity. Ten en cuenta que no es necesario habilitar el servidor de metadatos de GKE en los grupos de nodos que ya tengas.
Opcional, pero recomendado: registra el clúster en un canal de lanzamiento. Te recomendamos que te registres en el canal de lanzamiento Regular, ya que otros canales pueden basarse en una versión de GKE que no sea compatible con Cloud Service Mesh 1.26.4. Para obtener más información, consulta Plataformas admitidas. Si tienes una versión estática de GKE, sigue las instrucciones que se indican en Registrar un clúster en un canal de lanzamiento.
Si vas a instalar Cloud Service Mesh en un clúster privado, debes abrir el puerto 15017 en el cortafuegos para que funcionen los webhooks que se usan para la inyección automática de sidecars y la validación de la configuración. Para obtener más información, consulta Abrir un puerto en un clúster privado.
Asegúrate de que el equipo cliente desde el que instalas Cloud Service Mesh tenga conectividad de red con el servidor de la API.
Cloud Service Mesh no es compatible con las cargas de trabajo de Windows Server. Si tu clúster tiene grupos de nodos de Linux y Windows Server, puedes instalar Cloud Service Mesh y usarlo en tus cargas de trabajo de Linux.
- Después de aprovisionar Cloud Service Mesh, debes ponerte en contacto con el equipo de Asistencia antes de iniciar la rotación de IP o la rotación de credenciales de certificado.
Fuera de Google Cloud
Asegúrate de que el clúster de usuarios en el que instales Cloud Service Mesh tenga al menos 4 vCPUs, 15 GB de memoria y 4 nodos.
Comprueba que la versión de tu clúster aparezca en la lista de plataformas compatibles.
Asegúrate de que el equipo cliente desde el que instalas Cloud Service Mesh tenga conectividad de red con el servidor de la API.
Si vas a implementar sidecars en pods de aplicaciones en los que no haya conectividad directa a los servicios de CA (como
meshca.googleapis.comyprivateca.googleapis.com), debes configurar un proxy HTTPS explícito basado enCONNECT.En el caso de los clústeres públicos con reglas de cortafuegos de salida definidas que bloquean las reglas implícitas, asegúrate de haber configurado reglas HTTP/HTTPS y DNS para acceder a las APIs públicas de Google.
Requisitos de la flota
Con Cloud Service Mesh 1.11 y versiones posteriores, todos los clústeres deben registrarse en una flota y Workload Identity de la flota debe estar habilitado. Puedes configurar los clústeres tú mismo o dejar que asmcli los registre siempre que cumplan los siguientes requisitos:
GKE (se aplica a Cloud Service Mesh gestionado y en el clúster) Habilita Workload Identity de GKE en tu clúster de Google Kubernetes Engine, si aún no lo has hecho. Además, debes registrar el clúster mediante la identidad de cargas de trabajo de la flota.
Clústeres de GKE fuera de Google Cloud: (se aplica a Cloud Service Mesh en el clúster) Google Distributed Cloud, Google Distributed Cloud, GKE en AWS y GKE en Azure se registran automáticamente en tu flota de proyectos cuando se crean los clústeres. Desde GKE Enterprise 1.8, todos estos tipos de clúster habilitan automáticamente Workload Identity de la flota cuando se registran. Los clústeres registrados se actualizan para usar la identidad de cargas de trabajo de la flota cuando se actualizan a GKE Enterprise 1.8.
Clusters de Amazon EKS: (se aplica a Cloud Service Mesh en el clúster) el clúster debe tener un proveedor de identidades OIDC de IAM público. Sigue las instrucciones de Crear un proveedor de OIDC de IAM para tu clúster para comprobar si existe un proveedor y, si es necesario, crear uno.
Cuando ejecutas asmcli install, especificas el ID del proyecto del proyecto host de la flota.
asmcli registra el clúster si aún no lo está.