Prepárate para configurar la API de Gateway para Cloud Service Mesh

En esta página, se describe cómo instalar en tu clúster las definiciones de recursos personalizados necesarias para la puerta de enlace.

Limitaciones

  • No se admite tener una combinación de clústeres de config-api de gateway y config-api de istio en la misma flota.
  • El descubrimiento de servicios y el balanceo de cargas de varios clústeres no son compatibles con los clústeres de gateway config-api.
  • Si se incorpora un clúster con la marca --management automatic existente, el clúster comienza a usar la API de configuración de istio y no puede cambiar a la API de gateway.
  • Solo se admiten FQDN. No se admiten nombres cortos.

Requisitos previos

Como punto de partida, en esta guía se supone que ya creaste un proyecto de Google Cloud y instalaste kubectl.

Antes de comenzar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Kubernetes Engine, GKE Hub, and Cloud Service Mesh APIs.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Kubernetes Engine, GKE Hub, and Cloud Service Mesh APIs.

    Enable the APIs

    8.

    1. Genera una entrada de kubeconfig para tu clúster:
      2. gcloud container clusters get-credentials CLUSTER_NAME --location LOCATION --project PROJECT_ID

    Donde:

    • CLUSTER_NAME es el nombre de tu clúster.
    • LOCATION es la ubicación de tu clúster.
    • PROJECT_ID es el ID del proyecto de tu clúster.

    Crea y registra un clúster de GKE

    1. Crea un clúster de GKE:

      gcloud container clusters create CLUSTER_NAME \
--location=LOCATION \
--enable-ip-alias \
--scopes=https://www.googleapis.com/auth/cloud-platform \
--release-channel=regular \
--project=PROJECT_ID \
--gateway-api=standard

      Donde:

      • CLUSTER_NAME es el nombre de tu clúster.
      • LOCATION es la ubicación de tu clúster.
      • PROJECT_ID es el ID del proyecto de tu clúster.

    2. Habilita la federación de identidades para cargas de trabajo para GKE:

      gcloud container clusters update CLUSTER_NAME \
--location LOCATION \
--workload-pool=PROJECT_ID.svc.id.goog

    3. Ejecuta el servidor de metadatos de GKE en tu nodo:

      gcloud container node-pools update default-pool \
--cluster=CLUSTER_NAME \
--location=LOCATION \
--workload-metadata=GKE_METADATA

    4. Registra tu clúster en una flota:

      gcloud container hub memberships register CLUSTER_NAME \
--gke-cluster LOCATION/CLUSTER_NAME \
--project=PROJECT_ID

    5. Verifica que el clúster esté registrado en la flota:

      gcloud container hub memberships list --project=PROJECT_ID

      El resultado es similar al siguiente:

      NAME            EXTERNAL_ID                             LOCATION
my-cluster      91980bb9-593c-4b36-9170-96445c9edd39    us-west1

    Configura los permisos

    Ten en cuenta que los siguientes comandos otorgan permiso a todos los usuarios autenticados, pero puedes usar la federación de identidades para cargas de trabajo para GKE para otorgar permiso solo a cuentas seleccionadas.

    1. Otorga la función trafficdirector.client:

      gcloud projects add-iam-policy-binding PROJECT_ID \
    --member "group:PROJECT_ID.svc.id.goog:/allAuthenticatedUsers/" \
    --role "roles/trafficdirector.client"

    2. Otorga la función container.developer:

      gcloud projects add-iam-policy-binding PROJECT_ID \
--member "serviceAccount:service-PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com" \
--role "roles/container.developer"

      En el ejemplo anterior, PROJECT_NUMBER es el número del proyecto.

    3. Otorga la función compute.networkAdmin:

      gcloud projects add-iam-policy-binding PROJECT_ID \
--member "serviceAccount:service-PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com" \
--role "roles/compute.networkAdmin"

      En el ejemplo anterior, PROJECT_NUMBER es el número del proyecto.

    Habilita Cloud Service Mesh

    1. Habilita la función de malla:

      gcloud container hub mesh enable --project PROJECT_ID

    2. Actualiza la malla para usar la API de Gateway:

      gcloud alpha container fleet mesh update \
--config-api gateway \
--memberships CLUSTER_NAME \
--project PROJECT_ID

    3. Para verificar la actualización, describe el estado del recurso de Cloud Service Mesh:

      gcloud alpha container fleet mesh describe

    Instala definiciones de recursos personalizados

    Instala la definición de recurso personalizado (CRD) de GRPCRoute:

    curl https://raw.githubusercontent.com/kubernetes-sigs/gateway-api/v1.1.0/config/crd/standard/gateway.networking.k8s.io_grpcroutes.yaml \
| kubectl apply -f -

    El resultado es similar al siguiente:

    customresourcedefinition.apiextensions.k8s.io/grpcroutes.gateway.networking.k8s.io created

    ¿Qué sigue?