Désinstaller Cloud Service Mesh
Cette page explique comment désinstaller Cloud Service Mesh si vous utilisez les API Istio. Si vous utilisez des API Compute Engine, aucune étape n'est nécessaire. Consultez la présentation de Cloud Service Mesh pour comprendre les différences.
Désinstaller Cloud Service Mesh
Exécutez les commandes suivantes pour désinstaller tous les composants de Cloud Service Mesh. Ces commandes suppriment l'espace de noms istio-system
et toutes les définitions de ressources personnalisées (CRD, Custom Resource Definition), y compris celles que vous avez appliquées.
Pour éviter toute interruption du trafic de l'application, procédez comme suit :
- Revenez aux règles mTLS STRICT en PERMISSIVE.
- Supprimez toute règle AuthorizationPolicy susceptible de bloquer le trafic.
Désactivez la gestion automatique sur ce cluster (que vous l'ayez appliquée directement ou à l'aide de la configuration par défaut du parc):
gcloud container fleet mesh update \ --management manual \ --memberships MEMBERSHIP_NAME \ --project FLEET_PROJECT_ID \ --location MEMBERSHIP_LOCATION
Remplacez les éléments suivants :
- MEMBERSHIP_NAME est le nom d'appartenance répertorié après avoir vérifié que votre cluster était enregistré dans le parc.
- MEMBERSHIP_LOCATION correspond à l'emplacement de votre adhésion (une région ou
global
).
Si l'injection side-car automatique sur vos espaces de noms est activée, désactivez-la. Exécutez la commande suivante pour afficher les libellés d'espace de noms :
kubectl get namespace YOUR_NAMESPACE --show-labels
Le résultat ressemble à ce qui suit :
NAME STATUS AGE LABELS demo Active 4d17h istio.io/rev=asm-181-5
Si l'élément
istio.io/rev=
apparaît dans le résultat sous la colonneLABELS
, supprimez-le :kubectl label namespace YOUR_NAMESPACE istio.io/rev-
Si l'élément
istio-injection
apparaît dans le résultat sous la colonneLABELS
, supprimez-le :kubectl label namespace YOUR_NAMESPACE istio-injection-
Si vous ne voyez aucun des libellés
istio.io/rev
ouistio-injection
, l'injection automatique n'était pas activée sur l'espace de noms.Redémarrez vos charges de travail comportant des side-cars injectés pour supprimer les proxys.
Si vous utilisez Cloud Service Mesh géré, vérifiez l'implémentation du plan de contrôle que vous avez dans votre cluster. Cela vous aidera à supprimer les ressources pertinentes lors des étapes suivantes.
Si vous utilisez Cloud Service Mesh géré, supprimez toutes les ressources
controlplanerevision
du cluster:kubectl delete controlplanerevision asm-managed asm-managed-rapid asm-managed-stable -n istio-system --ignore-not-found=true
Supprimez les webhooks de votre cluster, s'ils existent.
Cloud Service Mesh intégré au cluster
Supprimez
validatingwebhooksconfiguration
etmutatingwebhookconfiguration
.kubectl delete validatingwebhookconfiguration,mutatingwebhookconfiguration -l operator.istio.io/component=Pilot
Cloud Service Mesh géré
A. Supprimez
validatingwebhooksconfiguration
.kubectl delete validatingwebhookconfiguration istiod-istio-system-mcp
B. Supprimez tous les
mutatingwebhookconfiguration
.kubectl delete mutatingwebhookconfiguration istiod-RELEASE_CHANNEL
Une fois que toutes les charges de travail sont accessibles et qu'aucun proxy n'est observé, vous pouvez supprimer le plan de contrôle au sein du cluster en toute sécurité pour arrêter la facturation.
Pour supprimer le plan de contrôle au sein du cluster, exécutez la commande suivante:
istioctl uninstall --purge
S'il n'y a pas d'autres plans de contrôle, vous pouvez supprimer l'espace de noms
istio-system
pour vous débarrasser de toutes les ressources Cloud Service Mesh. Sinon, supprimez les services correspondant aux révisions de Cloud Service Mesh. Cela permet d'éviter la suppression de ressources partagées, telles que les CRD.Supprimez les espaces de noms
istio-system
etasm-system
:kubectl delete namespace istio-system asm-system --ignore-not-found=true
Vérifiez si les suppressions ont réussi :
kubectl get ns
L'état
Terminating
et le résultat ci-dessous doivent s'afficher dans la sortie. Sinon, vous devrez peut-être supprimer manuellement toutes les ressources restantes dans les espaces de noms, puis réessayer.NAME STATUS AGE istio-system Terminating 71m asm-system Terminating 71m
Si vous allez supprimer vos clusters ou si vous les avez déjà supprimés, assurez-vous que chacun d'eux est désenregistré de votre parc.
Si vous avez activé la configuration par défaut de la flotte Cloud Service Mesh gérée et que vous souhaitez la désactiver pour les futurs clusters, désactivez-la. Vous pouvez ignorer cette étape si vous ne désinstallez que d'un seul cluster.
gcloud container hub mesh disable --fleet-default-member-config --project FLEET_PROJECT_ID
où FLEET_PROJECT_ID est l'ID de votre projet hôte de parc.
Si vous avez activé Cloud Service Mesh géré, vérifiez et supprimez les ressources gérées si elles présentent les éléments suivants:
Supprimez le déploiement
mdp-controller
:kubectl delete deployment mdp-controller -n kube-system
Si vous disposez de l'implémentation du plan de contrôle
TRAFFIC_DIRECTOR
, nettoyez les ressources de vérification de l'état transparente. Normalement, ils sont supprimés automatiquement, mais vous pouvez vous assurer qu'ils sont nettoyés en procédant comme suit:Supprimez le DaemonSet
snk
.kubectl delete daemonset snk -n kube-system
Supprimez la règle de pare-feu.
gcloud compute firewall-rules delete gke-csm-thc-FIRST_8_CHARS_OF_CLUSTER_ID
Remplacez les éléments suivants :
- FIRST_8_CHARS_OF_CLUSTER_ID correspond aux huit premiers caractères de l'ID de votre cluster.
Vérifiez si le ConfigMap
istio-cni-plugin-config
est présent:kubectl get configmap istio-cni-plugin-config -n kube-system
Si elle est présente, supprimez le ConfigMap
istio-cni-plugin-config
:kubectl delete configmap istio-cni-plugin-config -n kube-system
Supprimez le DaemonSet
istio-cni-node
:kubectl delete daemonset istio-cni-node -n kube-system
Si vous désinstallez Cloud Service Mesh géré et que vous conservez votre cluster, contactez l'assistance pour vous assurer que toutes les ressources Google Cloud sont nettoyées. L'espace de noms
istio-system
et les mappages de configuration peuvent également continuer à être recréés si vous ne suivez pas cette étape.
Une fois ces étapes terminées, tous les composants Cloud Service Mesh, y compris les proxys, les autorités de certification du cluster, ainsi que les rôles et les liaisons RBAC, sont systématiquement supprimés du cluster. Au cours du processus d'installation, un compte de service appartenant à Google reçoit les autorisations nécessaires pour établir les ressources de service mesh dans le cluster. Ces instructions de désinstallation ne révoquent pas ces autorisations, ce qui permet de réactiver facilement Cloud Service Mesh à l'avenir.