Installation planen
Diese Seite enthält Informationen zum Planen einer neuen Installation von In-Cluster Cloud Service Mesh für Kubernetes-Arbeitslasten außerhalb von Google Cloud.
Steuerungsebene anpassen
Die von Cloud Service Mesh unterstützten Funktionen unterscheiden sich von Plattform zu Plattform. In den Hinweisen zu den unterstützten Funktionen erfahren Sie, welche Features auf Ihrer Plattform unterstützt werden. Einige Funktionen sind standardmäßig aktiviert, andere können optional aktiviert werden. Erstellen Sie dazu eine IstioOperator
-Konfigurationsdatei. Wenn Sie asmcli install
ausführen, können Sie die Steuerungsebene anpassen. Geben Sie dazu die Option --custom_overlay
mit der Overlay-Datei an. Als Best Practice empfehlen wir, dass Sie die Overlay-Dateien in Ihrem Versionsverwaltungssystem speichern.
Das Verzeichnis asmcli
in GitHub enthält viele Overlay-Dateien. Diese Dateien enthalten gängige Anpassungen der Standardkonfiguration. Sie können diese Dateien unverändert verwenden oder weitere Änderungen daran vornehmen. Einige Dateien sind erforderlich, um optionale Cloud Service Mesh-Funktionen zu aktivieren.
Das Paket anthos-service-mesh
wird heruntergeladen, wenn Sie asmcli
ausführen, um Ihr Projekt und Ihren Cluster zu validieren.
Wenn Sie Cloud Service Mesh mit asmcli install
installieren, können Sie mit --option
oder --custom_overlay
eine oder mehrere Overlay-Dateien angeben.
Wenn Sie keine Änderungen an den Dateien im anthos-service-mesh
-Repository vornehmen müssen, können Sie --option
verwenden. Das Skript ruft die Datei von GitHub ab. Sie können aber auch die Overlay-Datei ändern und die Änderungen mit der Option --custom_overlay
an asmcli
übergeben.
Zertifizierungsstelle wählen
Je nach Anwendungsfall und Plattform können Sie eine der folgenden Optionen als Zertifizierungsstelle (Certificate Authority, CA) für die Ausstellung von mTLS-Zertifikaten (Mutual TLS) auswählen:
Dieser Abschnitt bietet allgemeine Informationen zu diesen CA-Optionen und ihren Anwendungsfällen.
Mesh CA
Sofern Sie keine benutzerdefinierte Zertifizierungsstelle benötigen, empfehlen wir aus folgenden Gründen, die Cloud Service Mesh-Zertifizierungsstelle zu verwenden:
- Die Cloud Service Mesh-Zertifizierungsstelle ist ein zuverlässiger und skalierbarer Dienst, der für dynamisch skalierte Arbeitslasten optimiert ist.
- Mit der Cloud Service Mesh-Zertifizierungsstelle verwaltet Google die Sicherheit und Verfügbarkeit des CA-Back-Ends.
- Mit der Cloud Service Mesh-Zertifizierungsstelle können Sie sich für alle Cluster auf eine einzige Root of Trust verlassen.
Zertifikate der Cloud Service Mesh-Zertifizierungsstelle enthalten die folgenden Daten zu den Diensten Ihrer Anwendung:
- Die Google Cloud-Projekt-ID
- Der GKE-Namespace
- Der Name des GKE-Dienstkontos
CA-Dienst
Neben der Cloud Service Mesh-Zertifizierungsstelle können Sie Cloud Service Mesh auch für die Verwendung des Certificate Authority Service konfigurieren. Dieser Leitfaden bietet eine Möglichkeit zur Integration in CA Service, die für die folgenden Anwendungsfälle empfohlen wird:
- Wenn Sie unterschiedliche CAs benötigen, um Arbeitslastzertifikate auf unterschiedlichen Clustern zu signieren.
- Wenn Sie Ihre Signaturschlüssel in einem verwalteten HSM sichern müssen.
- Wenn Sie in einer stark regulierten Branche tätig sind und der Compliance unterliegen.
- Wenn Sie Ihre Cloud Service Mesh-Zertifizierungsstelle mit einem benutzerdefinierten Unternehmensstammzertifikat verketten möchten, um Arbeitslast-Zertifikate zu signieren.
Die Kosten für die Cloud Service Mesh-Zertifizierungsstelle sind im Preis für Cloud Service Mesh inbegriffen. CA Service ist nicht im Basispreis für Cloud Service Mesh enthalten und wird separat in Rechnung gestellt. Darüber hinaus enthält CA Service ein explizites SLA, die Cloud Service Mesh-Zertifizierungsstelle jedoch nicht.
Istio CA
Wir empfehlen die Verwendung von Istio CA, wenn Sie folgende Kriterien erfüllen:
- Ihr Mesh-Netzwerk verwendet bereits Istio CA und Sie benötigen die von der Cloud Service Mesh-Zertifizierungsstelle oder dem CA Service aktivierten Vorteile nicht.
- Sie benötigen eine benutzerdefinierte Stamm-CA.
- Sie haben Arbeitslasten außerhalb von Google Cloud, in denen ein von Google Cloud verwalteter CA-Dienst nicht akzeptabel ist.
Gateway-Konfiguration vorbereiten
Cloud Service Mesh bietet Ihnen die Möglichkeit, Gateways als Teil Ihres Service Mesh bereitzustellen und zu verwalten. Ein Gateway beschreibt einen Load-Balancer, der am Rand des Mesh-Netzwerks arbeitet und eingehende oder ausgehende HTTP/TCP-Verbindungen empfängt. Gateways sind Envoy-Proxys, die Ihnen eine detaillierte Kontrolle über den in das Mesh-Netzwerk eingehenden und ausgehenden Traffic ermöglichen.
asmcli
installiert das istio-ingressgateway
nicht. Wir empfehlen, die Steuerungsebene und die Gateways separat bereitzustellen und zu verwalten. Weitere Informationen finden Sie unter Gateways installieren und aktualisieren.