Merencanakan penginstalan

Halaman ini memberikan informasi untuk membantu Anda merencanakan penginstalan baru Cloud Service Mesh.

Menyesuaikan bidang kontrol

Fitur yang didukung oleh Cloud Service Mesh berbeda-beda di setiap platform. Saran dari kami Anda meninjau Fitur yang didukung untuk mempelajari fitur apa saja yang didukung di platform Anda. Beberapa fitur diaktifkan secara {i>default<i}, dan lainnya yang dapat Anda aktifkan secara opsional dengan membuat File overlay IstioOperator. Saat menjalankan asmcli install, Anda dapat menyesuaikan bidang kontrol dengan menentukan --custom_overlay dengan file overlay. Sebagai praktik terbaik, sebaiknya Anda menyimpan file {i>overlay<i} di dalam sistem kontrol versi Anda.

Tujuan anthos-service-mesh di GitHub berisi banyak file {i>overlay<i}. File ini berisi data umum kustomisasi ke konfigurasi default. Anda dapat menggunakan file-file ini karena atau Anda dapat membuat perubahan tambahan sesuai kebutuhan. Beberapa file diwajibkan untuk mengaktifkan fitur Cloud Service Mesh opsional. Paket anthos-service-mesh akan didownload saat Anda menjalankan asmcli ke validasikan project dan cluster Anda.

Saat menginstal Cloud Service Mesh menggunakan asmcli install, Anda dapat menentukan satu atau beberapa file overlay dengan --option atau --custom_overlay. Jika Anda tidak perlu melakukan perubahan apa pun pada file di anthos-service-mesh repositori, Anda dapat menggunakan --option, dan skrip mengambil file dari GitHub. keamanan untuk Anda. Jika tidak, Anda dapat membuat perubahan pada file overlay, lalu menggunakan --custom_overlay untuk meneruskannya ke asmcli.

Pilih Certificate Authority

Bergantung pada kasus penggunaan, platform, dan jenis bidang kontrol Anda (dalam cluster atau terkelola), Anda dapat memilih salah satu dari hal berikut sebagai otoritas sertifikat (CA) untuk menerbitkan mutual TLS (mTLS) sertifikat:

Bagian ini memberikan informasi tingkat tinggi tentang masing-masing opsi CA dan kasus penggunaan mereka.

Jaring CA

Kecuali jika Anda memerlukan CA kustom, sebaiknya gunakan Certificate authority Cloud Service Mesh karena alasan berikut:

Otoritas sertifikat {i>Cloud Service Mesh<i} adalah layanan yang sangat andal dan skalabel dan dioptimalkan untuk workload yang diskalakan secara dinamis.
Dengan certificate authority Cloud Service Mesh, Google mengelola keamanan dan ketersediaan dari backend CA.
Dengan certificate authority Cloud Service Mesh, Anda dapat mengandalkan satu root kepercayaan di seluruh klaster.

Sertifikat dari certificate authority Cloud Service Mesh mencakup data berikut tentang layanan aplikasi Anda:

ID project Google Cloud
Namespace GKE
Nama akun layanan GKE

CA Service

Catatan platform: CA Service hanya didukung di platform berikut: Cluster GKE di Google Cloud, Google Distributed Cloud, dan Distributed Cloud. Jika Anda menjalankan asmcli install dan tentukan --ca gcp_cas di metode lain platform, penginstalan tampak berhasil, tetapi workload Anda akan gagal untuk memulai.

Selain Mesh CA, Anda dapat mengonfigurasi Cloud Service Mesh agar Certificate Authority Service. Ini ini memberi Anda peluang untuk berintegrasi dengan CA Service, yang direkomendasikan untuk kasus penggunaan berikut:

Jika Anda memerlukan certificate authority lain untuk menandatangani sertifikat workload pada cluster yang berbeda.
Jika Anda ingin menggunakan istiod Sertifikat plugin CA Kustom.
Jika Anda perlu mendukung kunci penandatanganan di HSM terkelola.
Jika Anda berada di industri yang diatur dengan regulasi ketat dan harus mematuhi kebijakan.
Jika Anda ingin menggabungkan Cloud Service Mesh CA ke root perusahaan kustom untuk menandatangani sertifikat workload.

Biaya Mesh CA disertakan dalam Harga Cloud Service Mesh. Tujuan CA Service tidak termasuk dalam harga dasar Cloud Service Mesh dan diisi daya secara terpisah. Selain itu, CA Service dilengkapi dengan SLA eksplisit, tetapi Mesh CA tidak.

Untuk integrasi ini, semua workload di Cloud Service Mesh diberikan Peran IAM:

privateca.workloadCertificateRequester
privateca.auditor
privateca.template (wajib jika menggunakan template sertifikat)

Istio CA

Sebaiknya gunakan Istio CA jika Anda memenuhi kriteria berikut:

Mesh Anda sudah menggunakan Istio CA dan Anda tidak memerlukan manfaat yang diaktifkan oleh Certificate authority atau CA Service Cloud Service Mesh.
Anda memerlukan root CA kustom.
Anda memiliki workload di luar Google Cloud yang Layanan CA yang dikelola Google Cloud tidak dapat diterima.

Menyiapkan konfigurasi gateway

Cloud Service Mesh memberi Anda opsi untuk men-deploy dan mengelola gateway sebagai bagian dari jaringan layanan. Gateway menjelaskan load balancer yang beroperasi di tepi yang menerima koneksi HTTP/TCP masuk atau keluar. Gateway adalah Envoy {i>proxy<i} yang memberi Anda kontrol mendetail atas lalu lintas yang masuk dan meninggalkan {i>mesh<i}.

asmcli tidak menginstal istio-ingressgateway. Sebaiknya Anda men-deploy dan mengelola gateway dan bidang kontrol secara terpisah. Untuk selengkapnya lihat Menginstal dan mengupgrade gateway.

Apa langkah selanjutnya?

Menginstal alat dependen dan memvalidasi cluster