Cloud Service Mesh y Traffic Director ahora son Cloud Service Mesh. Para obtener más información, consulta la información general sobre Cloud Service Mesh.

Esta página se ha traducido con Cloud Translation API.

Planificar una instalación

En esta página se proporciona información para ayudarte a planificar una nueva instalación de Cloud Service Mesh en el clúster para cargas de trabajo de Kubernetes Google Cloud.

Personalizar el plano de control

Las funciones que admite Cloud Service Mesh varían en función de la plataforma. Te recomendamos que consultes las funciones admitidas para saber cuáles son compatibles con tu plataforma. Algunas funciones están habilitadas de forma predeterminada, mientras que otras se pueden habilitar opcionalmente creando un archivo de superposición IstioOperator. Cuando ejecutas asmcli install, puedes personalizar el plano de control especificando la opción --custom_overlay con el archivo de superposición. Te recomendamos que guardes los archivos de superposición en tu sistema de control de versiones.

El directorio asmcli de GitHub contiene muchos archivos de superposición. Estos archivos contienen personalizaciones comunes de la configuración predeterminada. Puedes usar estos archivos tal cual o hacerles los cambios que necesites. Algunos de los archivos son necesarios para habilitar funciones opcionales de Cloud Service Mesh. El paquete anthos-service-mesh se descarga cuando ejecutas asmcli para validar tu proyecto y tu clúster.

Cuando instalas Cloud Service Mesh con asmcli install, puedes especificar uno o varios archivos de superposición con --option o --custom_overlay. Si no necesitas hacer ningún cambio en los archivos del anthos-service-meshrepositorio, puedes usar --option y la secuencia de comandos obtendrá el archivo de GitHub por ti. De lo contrario, puedes hacer cambios en el archivo de superposición y, a continuación, usar la opción --custom_overlay para pasarlo a asmcli.

Elegir una autoridad de certificación

En función de tu caso práctico y tu plataforma, puedes elegir una de las siguientes opciones como autoridad de certificación (CA) para emitir certificados de TLS mutuo (mTLS):

En esta sección se ofrece información general sobre cada una de estas opciones de CA y sus casos prácticos.

Mesh CA

A menos que necesites una AC personalizada, te recomendamos que utilices la autoridad de certificación de Cloud Service Mesh por los siguientes motivos:

La autoridad de certificación de Cloud Service Mesh es un servicio altamente fiable y escalable que está optimizado para cargas de trabajo escaladas dinámicamente.
Con la autoridad de certificación de Cloud Service Mesh, Google gestiona la seguridad y la disponibilidad del backend de la CA.
La autoridad de certificación de Cloud Service Mesh te permite confiar en una única raíz de confianza en todos los clústeres.

Los certificados de la autoridad de certificación de Cloud Service Mesh incluyen los siguientes datos sobre los servicios de tu aplicación:

El Google Cloud ID del proyecto
Espacio de nombres de GKE
Nombre de la cuenta de servicio de GKE

Servicio de autoridades de certificación

Nota sobre la plataforma: El servicio de CA solo se admite en las siguientes plataformas: clústeres de GKE en Google Cloud, Google Distributed Cloud (solo software) para VMware y Distributed Cloud. Si ejecutas asmcli install y especificas --ca gcp_cas en otras plataformas, la instalación se completará correctamente, pero tus cargas de trabajo no se iniciarán.

Además de la autoridad de certificación de Cloud Service Mesh, puedes configurar Cloud Service Mesh para que use el Servicio de Autoridades de Certificación. En esta guía se explica cómo integrar el Servicio de Autoridades de Certificación, lo que se recomienda en los siguientes casos prácticos:

Si necesitas que diferentes autoridades de certificación firmen certificados de carga de trabajo en diferentes clústeres.
Si necesitas crear una copia de seguridad de tus claves de firma en un Cloud HSM.
Si trabajas en un sector muy regulado y estás sujeto a cumplimiento.
Si quieres encadenar tu AC de Cloud Service Mesh a un certificado raíz de empresa personalizado para firmar certificados de carga de trabajo.

El coste de la autoridad de certificación de Cloud Service Mesh está incluido en los precios de Cloud Service Mesh. El servicio de CA no está incluido en el precio base de Cloud Service Mesh y se cobra por separado. Además, el Servicio de Autoridades de Certificación incluye un acuerdo de nivel de servicio explícito, pero la autoridad de certificación de Cloud Service Mesh no.

CA de Istio

Te recomendamos que uses Istio CA si cumples los siguientes criterios:

Tu malla ya usa Istio CA y no necesitas las ventajas que ofrecen la autoridad de certificación de Cloud Service Mesh o el servicio de CA.
Necesitas una CA raíz personalizada.
Tienes cargas de trabajoGoogle Cloud sin conexiónGoogle Clouden las que no se puede usar un servicio de AC gestionado porGoogle Cloud .

Preparar la configuración de la pasarela

Cloud Service Mesh te ofrece la opción de desplegar y gestionar gateways como parte de tu malla de servicios. Una pasarela describe un balanceador de carga que opera en el perímetro de la malla y recibe conexiones HTTP o TCP entrantes o salientes. Las pasarelas son proxies de Envoy que te ofrecen un control pormenorizado del tráfico que entra y sale de la malla.

asmcli no instala istio-ingressgateway. Te recomendamos que despliegues y gestiones el plano de control y las pasarelas por separado. Para obtener más información, consulta el artículo sobre cómo instalar y actualizar gateways.

Siguientes pasos

Instalar herramientas dependientes y validar el clúster