Tetap teratur dengan koleksi
Simpan dan kategorikan konten berdasarkan preferensi Anda.
Fitur yang didukung menggunakan Istio API (bidang kontrol terkelola)
Halaman ini menjelaskan fitur dan batasan yang didukung untuk Cloud Service Mesh menggunakan TRAFFIC_DIRECTOR atau ISTIOD sebagai platform kontrol dan perbedaan antara setiap implementasi. Perhatikan bahwa ini bukan opsi yang dapat Anda
pilih. Penerapan ISTIOD hanya tersedia untuk pengguna yang sudah ada.
Penginstalan baru menggunakan implementasi TRAFFIC_DIRECTOR jika memungkinkan.
Migrasi dan upgrade hanya didukung dari Cloud Service Mesh dalam cluster
versi 1.9+ yang diinstal dengan Mesh CA. Penginstalan dengan CA Istio (sebelumnya
dikenal sebagai Citadel) harus
bermigrasi ke CA Mesh terlebih dahulu.
Skala dibatasi hingga 1.000 layanan dan 5.000 beban kerja per cluster.
Hanya opsi deployment multi-utama untuk multi-cluster yang didukung:
opsi deployment utama-jarak jauh untuk multi-cluster tidak didukung.
istioctl ps tidak didukung. Sebagai gantinya, Anda dapat menggunakan
perintah gcloud beta container fleet mesh debug seperti yang dijelaskan dalam
Pemecahan Masalah.
API yang tidak didukung:
EnvoyFilter API
WasmPlugin API
IstioOperator API
Kubernetes Ingress API
Anda dapat menggunakan platform kontrol terkelola tanpa langganan GKE Enterprise, tetapi elemen dan fitur UI tertentu di konsol Google Cloud hanya tersedia untuk pelanggan GKE Enterprise. Untuk mengetahui informasi tentang apa yang tersedia
untuk pelanggan dan non-pelanggan, lihat
Perbedaan UI GKE Enterprise dan Cloud Service Mesh.
Selama proses penyediaan untuk bidang kontrol terkelola,
CRD Istio yang sesuai dengan saluran yang dipilih akan diinstal di
cluster yang ditentukan. Jika ada CRD Istio yang ada di cluster, CRD tersebut akan
ditimpa.
Cloud Service Mesh Terkelola hanya mendukung domain DNS default .cluster.local.
Penginstalan baru Cloud Service Mesh terkelola mengambil JWKS hanya menggunakan
Envoy, kecuali jika fleet berisi cluster lain yang perilakunya
tidak diaktifkan. Opsi ini setara dengan opsi Istio
PILOT_JWT_ENABLE_REMOTE_JWKS=envoy. Dibandingkan dengan penginstalan yang tidak memiliki kondisi VPCSC_GA_SUPPORTED (lihat di bawah), Anda mungkin memerlukan konfigurasi tambahan untuk konfigurasi ServiceEntry dan DestinationRule. Untuk mengetahui contohnya, lihat
requestauthn-with-se.yaml.tmpl.
Anda dapat menentukan apakah mode operasi saat ini setara dengan
PILOT_JWT_ENABLE_REMOTE_JWKS=envoy dengan menentukan apakah Kontrol Layanan
VPC didukung untuk platform
kontrol (yaitu kondisi VPCSC_GA_SUPPORTED ditampilkan).
Perbedaan bidang kontrol
Ada perbedaan dalam fitur yang didukung antara implementasi bidang kontrol ISTIOD dan TRAFFIC_DIRECTOR. Untuk memeriksa implementasi yang Anda gunakan, lihat
Mengidentifikasi implementasi bidang kontrol.
– menunjukkan bahwa fitur tersedia dan
diaktifkan secara default.
† - menunjukkan bahwa API fitur mungkin
memiliki perbedaan di antara berbagai platform.
* – menunjukkan bahwa fitur didukung untuk
platform dan dapat diaktifkan, seperti yang dijelaskan dalam
Mengaktifkan fitur opsional
atau panduan fitur yang ditautkan dalam tabel fitur.
§ – menunjukkan bahwa fitur
didukung oleh daftar yang diizinkan. Pengguna sebelumnya dari Anthos Service Mesh terkelola secara otomatis diizinkan di tingkat organisasi.
Hubungi Dukungan untuk meminta akses
atau memeriksa status daftar yang diizinkan.
– menunjukkan bahwa fitur tidak
tersedia atau tidak didukung.
Fitur default dan opsional didukung sepenuhnya oleh Dukungan Google Cloud. Fitur yang tidak tercantum secara eksplisit dalam tabel akan menerima dukungan
sebisa mungkin.
Yang menentukan penerapan bidang kontrol
Saat Anda menyediakan Cloud Service Mesh terkelola untuk pertama kalinya di fleet, kami
akan menentukan implementasi bidang kontrol yang akan digunakan. Implementasi yang sama
digunakan untuk semua cluster yang menyediakan Cloud Service Mesh terkelola di fleet tersebut.
Flotte baru yang melakukan aktivasi ke Cloud Service Mesh terkelola menerima implementasi bidang kontrol TRAFFIC_DIRECTOR, dengan pengecualian tertentu:
Jika Anda adalah pengguna Cloud Service Mesh terkelola yang sudah ada, Anda akan menerima implementasi bidang kontrol ISTIOD saat mengaktifkan fleet baru di Organisasi Google Cloudyang sama ke Cloud Service Mesh terkelola, hingga setidaknya 30 Juni 2024.
Jika Anda adalah salah satu pengguna tersebut, Anda dapat menghubungi Dukungan untuk menyesuaikan perilaku ini.
Pengguna yang penggunaannya saat ini tidak kompatibel dengan penerapan TRAFFIC_DIRECTOR tanpa perubahan akan terus menerima penerapan ISTIOD hingga 8 September 2024. (Pengguna ini menerima Pengumuman
Layanan.)
Jika ada cluster di fleet Anda yang menggunakan Layanan Otoritas Sertifikasi saat Anda menyediakan Cloud Service Mesh terkelola, Anda akan menerima penerapan bidang kontrol ISTIOD.
Jika ada GKE di cluster Google Cloud di fleet Anda yang berisi bidang kontrol Cloud Service Mesh dalam cluster saat Anda menyediakan Cloud Service Mesh terkelola, Anda akan menerima implementasi bidang kontrol ISTIOD.
Jika ada cluster di fleet Anda yang menggunakan GKE Sandbox, saat menyediakan Cloud Service Mesh terkelola, Anda akan menerima implementasi bidang kontrol ISTIOD.
Fitur yang didukung bidang kontrol terkelola
Menginstal, mengupgrade, dan melakukan rollback
Fitur
Terkelola (TD)
Dikelola (istiod)
Penginstalan di cluster GKE menggunakan API fitur fleet
Upgrade dari versi ASM 1.9 yang menggunakan CA Mesh
Upgrade langsung (skip-level) dari versi Cloud Service Mesh sebelum 1.9 (lihat catatan untuk upgrade tidak langsung)
Upgrade langsung (skip-level) dari Istio OSS (lihat catatan untuk upgrade tidak langsung)
Upgrade langsung (skip-level) dari add-on Istio-on-GKE (lihat catatan untuk upgrade tidak langsung)
Lingkungan di luar Google Cloud (GKE Enterprise on-premise, GKE Enterprise di cloud publik lainnya, Amazon EKS, Microsoft AKS, atau cluster Kubernetes lainnya)
Konfigurasi multi-utama berarti konfigurasi harus direplikasi di semua cluster.
Konfigurasi utama-jarak jauh berarti satu cluster berisi konfigurasi dan dianggap sebagai sumber tepercaya.
Cloud Service Mesh menggunakan definisi jaringan yang disederhanakan berdasarkan konektivitas
umum. Instance workload berada di jaringan yang sama jika dapat
berkomunikasi secara langsung, tanpa gateway.
† Cloud Service Mesh dengan bidang kontrol terkelola (TD) hanya mendukung
jenis image distroless. Anda tidak dapat mengubahnya.
Perhatikan bahwa image distroless memiliki biner minimal, sehingga Anda tidak dapat menjalankan perintah
biasa seperti bash atau curl karena tidak ada dalam image distroless.
Namun, Anda dapat menggunakan penampung sementara untuk dilampirkan ke Pod workload yang sedang berjalan agar dapat memeriksanya dan menjalankan perintah kustom. Misalnya, lihat
Mengumpulkan log Cloud Service Mesh.
† Bidang kontrol TRAFFIC_DIRECTOR mendukung subset Istio telemetry API
yang digunakan untuk mengonfigurasi log akses dan
pelacakan. Bidang kontrol TRAFFIC_DIRECTOR tidak mendukung konfigurasi frekuensi sampling rekaman aktivitas.
Meskipun TCP adalah protokol yang didukung untuk jaringan dan metrik TCP
dikumpulkan, metrik tersebut tidak dilaporkan. Metrik hanya ditampilkan untuk layanan HTTP di konsol Google Cloud.
Layanan yang dikonfigurasi dengan kemampuan Lapisan 7 untuk
protokol berikut tidak didukung: WebSocket, MongoDB, Redis, Kafka,
Cassandra, RabbitMQ, Cloud SQL. Anda mungkin dapat membuat protokol berfungsi dengan
menggunakan dukungan byte stream TCP. Jika aliran byte TCP tidak dapat mendukung protokol
(misalnya, Kafka mengirim alamat pengalihan dalam balasan khusus protokol dan
pengalihan ini tidak kompatibel dengan logika pemilihan rute Cloud Service Mesh), protokol tidak didukung.
† IPv6 tersedia sebagai fitur jaringan stack ganda pratinjau. Di gRPC tanpa proxy, fitur dualstack hanya didukung di gRPC 1.66.1 atau yang lebih baru dalam C++ dan Python atau gRPC Node.js v1.12. Jika Anda mencoba mengonfigurasi fitur stack ganda dengan versi gRPC yang tidak mendukung stack ganda, klien hanya akan menggunakan alamat pertama yang dikirim oleh Traffic Director.
Deployment Envoy
Fitur
Terkelola (TD)
Dikelola (istiod)
Sidecar
Gateway masuk
Keluar langsung dari sidecar
Traffic keluar menggunakan gateway keluar
*
*
Dukungan CRD
Fitur
Terkelola (TD)
Dikelola (istiod)
Resource sidecar
Resource entri layanan
Persentase, injeksi error, pencocokan jalur, pengalihan, percobaan ulang, penulisan ulang,
waktu tunggu habis, percobaan ulang, pencerminan, manipulasi header, dan aturan pemilihan rute CORS
Selain itu, penerapan bidang kontrol TRAFFIC_DIRECTOR mengharuskan
aturan tujuan yang menentukan subset berada di namespace dan cluster yang sama dengan
layanan Kubernetes atau ServiceEntry.
Sidecar
Fitur
Terkelola (TD)
Dikelola (istiod)
Sidecar v1beta1
†
† Implementasi platform kontrol TRAFFIC_DIRECTOR tidak mendukung kolom dan nilai berikut dalam kolom:
Kolom ingress
Kolom egress.port
Kolom egress.bind
Kolom egress.captureMode
Kolom inboundConnectionPool
MeshConfig
Fitur
Terkelola (TD)
Dikelola (istiod)
LocalityLB
§
ExtensionProviders
§
CACert
ImageType - distroless
§
OutboundTrafficPolicy
§
defaultProviders.accessLogging
defaultProviders.tracing
defaultConfig.tracing.stackdriver
§
accessLogFile
§
ProxyConfig
Fitur
Terkelola (TD)
Dikelola (istiod)
Proxy DNS (ISTIO_META_DNS_CAPTURE, ISTIO_META_DNS_AUTO_ALLOCATE)
[[["Mudah dipahami","easyToUnderstand","thumb-up"],["Memecahkan masalah saya","solvedMyProblem","thumb-up"],["Lainnya","otherUp","thumb-up"]],[["Sulit dipahami","hardToUnderstand","thumb-down"],["Informasi atau kode contoh salah","incorrectInformationOrSampleCode","thumb-down"],["Informasi/contoh yang saya butuhkan tidak ada","missingTheInformationSamplesINeed","thumb-down"],["Masalah terjemahan","translationIssue","thumb-down"],["Lainnya","otherDown","thumb-down"]],["Terakhir diperbarui pada 2025-01-24 UTC."],[],[]]