Funciones compatibles con las APIs de Istio (plano de control administrado)
En esta página, se describen las funciones y limitaciones admitidas para Cloud Service Mesh con TRAFFIC_DIRECTOR o ISTIOD como plano de control, y las diferencias entre cada implementación. Ten en cuenta que estas no son opciones que puedes elegir. La implementación de ISTIOD solo está disponible para los usuarios existentes.
Las instalaciones nuevas usan la implementación de TRAFFIC_DIRECTOR cuando es posible.
Para obtener una lista de las funciones admitidas de Cloud Service Mesh para un plano de control en el clúster, consulta Uso de las APIs de Istio (plano de control istiod en el clúster).
Si no sabes qué plano de control de Cloud Service Mesh usas, puedes verificar tu implementación del plano de control siguiendo las instrucciones en Cómo identificar la implementación del plano de control.
Limitaciones
Se aplica la siguiente limitación:
- Los clústeres de GKE deben estar en una de las regiones admitidas.
- La versión de GKE debe ser una versión compatible.
- Solo se admiten las plataformas que se mencionan en Entornos.
- No se admite cambiar los canales de versiones.
- No se admiten las migraciones de Cloud Service Mesh administrado con
asmclia Cloud Service Mesh con la API de Fleet. Del mismo modo, no se admite el aprovisionamiento de Cloud Service Mesh administrado con la API de Fleet de--management manuala--management automatic. - Las migraciones y actualizaciones solo son compatibles con las versiones 1.9 y posteriores de Cloud Service Mesh en el clúster instaladas con la CA de Mesh. Las instalaciones con la CA de Istio (antes conocida como Citadel) primero se deben migrar a la CA de Mesh.
- Los límites de escala se describen en esta guía.
- Solo se admite la opción de implementación de varias instancias para varios clústeres; no se admite la opción de implementación principal remota para varios clústeres.
istioctl psno es compatible. En su lugar, puedes usar los comandos degcloud beta container fleet mesh debugcomo se describe en Solución de problemas.APIs no admitidas:
API de
EnvoyFilterAPI de
WasmPluginAPI de
IstioOperatorAPI de
Kubernetes Ingress
Para obtener una lista de los campos de API no compatibles, consulta APIs de Istio no compatibles en Managed Cloud Service Mesh.
Puedes usar el plano de control administrado sin una suscripción a GKE Enterprise, pero ciertos elementos de la IU y las funciones de la consola de Google Cloud solo están disponibles para los suscriptores de GKE Enterprise. Si quieres obtener información sobre lo que está disponible para suscriptores y no suscriptores, consulta las diferencias en la IU de GKE Enterprise y Cloud Service Mesh.
Durante el proceso de aprovisionamiento de un plano de control administrado, las CRD de Istio correspondientes al canal seleccionado se instalan en el clúster especificado. Si hay CRD de Istio existentes en el clúster, se reemplazarán.
Cloud Service Mesh administrado solo admite el dominio DNS predeterminado
.cluster.local.Las nuevas instalaciones de Cloud Service Mesh administrado recuperan JWKS solo con Envoys, a menos que la flota contenga otros clústeres para los que ese comportamiento no esté habilitado. Esto equivale a la opción
PILOT_JWT_ENABLE_REMOTE_JWKS=envoyde Istio. En comparación con las instalaciones que no tienen la condición VPCSC_GA_SUPPORTED (consulta a continuación), es posible que necesites una configuración adicional para las configuraciones deServiceEntryyDestinationRule. Para ver un ejemplo, consultarequestauthn-with-se.yaml.tmpl. Para determinar si el modo de operación actual es equivalente aPILOT_JWT_ENABLE_REMOTE_JWKS=envoy, debes determinar si se admiten los Controles del servicio de VPC para el plano de control (es decir, si se muestra la condición VPCSC_GA_SUPPORTED).El plano de datos administrado solo se admite para cargas de trabajo sin sidecars adicionales (aparte del sidecar de Cloud Service Mesh).
Diferencias del plano de control
Existen diferencias en las funciones compatibles entre las implementaciones del plano de control de ISTIOD y TRAFFIC_DIRECTOR. Para verificar qué implementación usas, consulta Cómo identificar la implementación del plano de control.
- : Indica que la función está disponible y habilitada de forma predeterminada.
- †: Indica que las APIs de funciones pueden tener diferencias entre las distintas plataformas.
- *: Indica que la función es compatible con la plataforma y se puede habilitar, como se describe en Habilita funciones opcionales o la guía de función vinculada en la tabla de funciones.
- §: Indica que la función se admite con una lista de entidades permitidas. Los usuarios anteriores de Anthos Service Mesh administrado se incluyen automáticamente en la lista de entidades permitidas a nivel de la organización. Comunícate con el equipo de Google Cloud asistencia para solicitar acceso o verificar el estado de tu lista de entidades permitidas.
- : Indica que la función no está disponible o no se admite.
Las funciones predeterminadas y opcionales tienen una compatibilidad total con la asistencia de Google Cloud. Las funciones que no aparecen en las tablas de manera explícita reciben la mejor asistencia posible.
Qué determina la implementación del plano de control
Cuando aprovisionas Cloud Service Mesh administrado por primera vez en una flota, determinamos qué implementación del plano de control se usará. La misma implementación se usa para todos los clústeres que aprovisionan Cloud Service Mesh administrado en esa flota.
Las flotas nuevas que se incorporan a Cloud Service Mesh administrado reciben la implementación del plano de control TRAFFIC_DIRECTOR, con algunas excepciones:
- Si ya eres usuario de Cloud Service Mesh administrado, recibirás la implementación del plano de control de
ISTIODcuando incorpores una flota nueva en la misma organización de Google Clouda Cloud Service Mesh administrado, al menos hasta el 30 de junio de 2024. Si eres uno de estos usuarios, puedes comunicarte con el equipo de asistencia al cliente para ajustar este comportamiento. Los usuarios cuyo uso existente no sea compatible con la implementación deTRAFFIC_DIRECTORsin cambios seguirán recibiendo la implementación deISTIODhasta el 8 de septiembre de 2024. (Estos usuarios recibieron un Anuncio de Servicio). - Si algún clúster de GKE en Google Cloud de tu flota contiene un plano de control de Cloud Service Mesh en el clúster cuando aprovisionas Cloud Service Mesh administrado, recibirás la implementación del plano de control de
ISTIOD. - Si algún clúster de tu flota usa GKE Sandbox, cuando aprovisiones Cloud Service Mesh administrado, recibirás la implementación del plano de control de
ISTIOD.
Funciones compatibles del plano de control administrado
Instalación, actualización y reversión
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| Instalación en clústeres de GKE mediante la API de la función de flota | ||
| Actualizaciones de las versiones de ASM 1.9 que usan CA de Mesh | ||
| Actualizaciones directas (nivel de omisión) de las versiones de Cloud Service Mesh anteriores a 1.9 (consulta las notas para las actualizaciones indirectas) | ||
| Actualizaciones directas (nivel de omisión) de Istio OSS (consulta las notas para las actualizaciones indirectas) | ||
| Actualizaciones directas (nivel de omisión) del complemento Istio-on-GKE (consulta las notas para las actualizaciones indirectas) | ||
| Habilita funciones opcionales |
Entornos
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| Versiones de GKE disponibles actualmente en los canales de versiones, en una de las regiones admitidas | ||
| Versiones de GKE disponibles actualmente en los canales de versiones, en una de las regiones admitidas, clústeres de Autopilot de GKE | ||
| Entornos fuera de Google Cloud (GKE Enterprise on-premises, GKE Enterprise en otras nubes públicas, Amazon EKS, Microsoft AKS o cualquier otro clúster de Kubernetes) |
Escala
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| 1,000 servicios y 5,000 cargas de trabajo por clúster | ||
| 50 puertos de servicio sin interfaz gráfica por malla y 36 Pods por puerto de servicio sin interfaz gráfica |
Entorno de plataforma
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| Una sola red | ||
| Varias redes | ||
| Un solo proyecto | ||
| Varios proyectos con VPC compartida |
Implementación de varios clústeres
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| Principales múltiples | ||
| Control principal | ||
| Descubrimiento de extremos de varios clústeres con la API declarativa | ||
| Descubrimiento de extremos de varios clústeres con secretos remotos | ||
| Descubrimiento de extremos de varios clústeres con una API declarativa y una topología simple |
Notas sobre la terminología
- Una configuración de varias instancias principales significa que la configuración se debe replicar en todos los clústeres.
- Una configuración principal remota significa que un solo clúster contiene la configuración y se considera la fuente de información.
- Cloud Service Mesh usa una definición simplificada de la red basada en la conectividad general. Las instancias de carga de trabajo están en la misma red si pueden comunicarse de forma directa, sin una puerta de enlace.
- La topología simple para el descubrimiento de extremos de varios clústeres significa que cada clúster de la flota participa o no en el descubrimiento de extremos. Las topologías complejas que no se admiten incluyen (a) el descubrimiento de extremos unidireccional (p.ej., el clúster A puede descubrir extremos en el clúster B, pero no al revés) y (b) las redes de descubrimiento de extremos separadas (p.ej., los clústeres A y B pueden descubrir los extremos del otro, los clústeres C y D pueden descubrir los extremos del otro, pero A/B y C/D no pueden descubrir los extremos del otro).
Imágenes base
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| Imagen de proxy distroless | † |
† Cloud Service Mesh con un plano de control administrado (TD) solo admite el tipo de imagen distroless. No puedes cambiarlo.
Ten en cuenta que las imágenes de Distroless tienen archivos binarios mínimos, por lo que no puedes ejecutar los comandos habituales, como bash o curl, porque no están presentes en la imagen de Distroless. Sin embargo, puedes usar contenedores efímeros para adjuntarlos a un Pod de carga de trabajo en ejecución y, así, poder inspeccionarlo y ejecutar comandos personalizados. Por ejemplo, consulta Cómo recopilar registros de Cloud Service Mesh.
Seguridad
Controles del servicio de VPC
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| Controles del servicio de VPC |
Mecanismos de distribución y rotación de certificados
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| Administración de certificados de cargas de trabajo | ||
| Administración de certificados externos en puertas de enlace de entrada y salida. |
Compatibilidad con autoridad certificada (CA)
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| Autoridad certificadora de Cloud Service Mesh | ||
| Certificate Authority Service | ||
| CA de Istio | ||
| Integración con CA personalizadas |
Funciones de seguridad
Además de admitir funciones de seguridad de Istio, Cloud Service Mesh proporciona aún más capacidades para ayudarte a proteger tus aplicaciones.
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| Integración de IAP | ||
| Autenticación del usuario final | ||
| Modo de ejecución de prueba | ||
| Registro de denegación | ||
| Políticas de auditoría (no admitidas) |
Política de autorización
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| Política de autorización de v1beta1 | ||
| Política de autorización PERSONALIZADA | § |
Autenticación entre pares
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| Auto-mTLS | ||
| Modo PERMISSIVE de mTLS | ||
| Modo STRICT de mTLS | * | * |
| Modo DISABLE de mTLS |
Autenticación de solicitudes
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| Autenticación de JWT (Nota 1) | ||
| Enrutamiento basado en reclamaciones de JWT | ||
| Copia la reclamación de JWT en los encabezados |
Notas:
- JWT de terceros está habilitado de forma predeterminada.
- Agrega el FQDN o el nombre de host completo en JWKSURI cuando definas la API de RequestAuthentication.
- El plano de control administrado exige que Envoy recupere JWKS cuando se especifica el URI de JWKS.
Telemetría
Métricas
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| Cloud Monitoring (métricas en el proxy de HTTP) | ||
| Cloud Monitoring (métricas en el proxy de TCP) | ||
| Exportación de métricas de Prometheus a Grafana (solo métricas de Envoy) | * | * |
| Exportación de métricas de Prometheus a Kiali | ||
| Google Cloud Managed Service para Prometheus, sin incluir el panel de Cloud Service Mesh | * | * |
| API de Istio Telemetry | † | |
| Adaptadores y backends personalizados, dentro o fuera del proceso | ||
| Telemetría arbitraria y backends de registro |
† El plano de control de TRAFFIC_DIRECTOR admite un subconjunto de la API de telemetría de Istio que se usa para configurar los registros de acceso y el registro de seguimiento. El plano de control de TRAFFIC_DIRECTOR no admite la configuración de la tasa de muestreo de seguimiento.
Registro de solicitudes de proxy
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| Registros de tráfico | ||
| Registros de acceso | * | * |
Trace
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| Cloud Trace | * | * |
| Seguimiento de Jaeger (permite el uso de Jaeger administrado por el cliente) | Compatible | |
| Seguimiento de Zipkin (permite el uso de Zipkin administrado por el cliente) | Compatible |
Redes
Mecanismos de intercepción y redireccionamiento de tráfico
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
Uso de iptables con contenedores init con CAP_NET_ADMIN |
† | |
| Interfaz de red de contenedor (CNI) de Istio | ||
| Sidecar de caja blanca |
† Recomendamos enfáticamente usar la interfaz de red de contenedor (CNI) en lugar de los contenedores init.
Compatibilidad con protocolos
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| IPv4 | ||
| HTTP/1.1 | ||
| HTTP/2 | ||
| Transmisiones de bytes de TCP (Nota 1) | ||
| gRPC | ||
| IPv6 | † |
Notas:
- A pesar de que TCP es un protocolo que se admite para las redes y se recopilan las métricas de TCP, estas no se informan. Las métricas solo se muestran para los servicios HTTP en la consola de Google Cloud .
- No se admiten los servicios configurados con funciones de la capa 7 para los siguientes protocolos: WebSocket, MongoDB, Redis, MySQL, Kafka, Cassandra, RabbitMQ y Cloud SQL. Es posible que puedas hacer que el protocolo funcione mediante la compatibilidad con la transmisión de bytes de TCP. Si la transmisión de bytes de TCP no admite el protocolo (por ejemplo, Kafka envía una dirección de redireccionamiento en una respuesta específica del protocolo, y este redireccionamiento no es compatible con la lógica de enrutamiento de Cloud Service Mesh), el protocolo no es compatible. Si bien los puertos de la puerta de enlace se pueden crear con los protocolos de Mongo, MySQL y Redis, la malla trata el tráfico resultante como TCP estándar, sin un control específico del protocolo.
- † En gRPC sin proxy, las funciones de doble pila de IPv6 solo se admiten en gRPC 1.66.1 o versiones posteriores en C++ y Python, gRPC Go v1.71 y gRPC Node.js v1.12. Si intentas configurar funciones de doble pila con una versión de gRPC que no admite doble pila, los clientes usarán solo la primera dirección que envíe Traffic Director.
Implementaciones de Envoy
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| Sidecars | ||
| Puerta de enlace de entrada | ||
| Salida directa desde sidecars | ||
| Salida mediante puertas de enlace de salida | * | * |
Compatibilidad con CRD
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| Recurso de sidecar | ||
| Recurso de entrada del servicio | ||
| Porcentajes, inserción de errores, coincidencias de rutas de acceso, redireccionamientos, reintentos, reescrituras, tiempo de espera, reintentos, duplicaciones, manipulación de encabezados y reglas de enrutamiento de CORS | ||
| API de`EnvoyFilter` | § | |
| API de`WasmPlugin` | ||
| Operador de Istio |
Balanceador de cargas para la puerta de enlace de entrada de Istio
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| Balanceador de cargas externo de terceros | ||
| Google Cloud Balanceador de cargas interno | * | * |
Puerta de enlace de Cloud Service Mesh
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| Puerta de enlace de Cloud Service Mesh |
API de Kubernetes Gateway
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| API de Kubernetes Gateway |
Políticas de balanceo de cargas
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| Round robin | ||
| Conexiones mínimas | ||
| Aleatorio | ||
| Transferencia | ||
| Hash coherente | ||
| Localidad | ||
| GCPTrafficDistributionPolicy | ||
| GCPBackendPolicy |
Entrada de servicio
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| ServiceEntry v1beta1 | † |
† La implementación del plano de control de TRAFFIC_DIRECTOR no admite los siguientes campos ni valores en los campos:
- Campo
workloadSelector - Campo
endpoints[].network - Campo
endpoints[].locality - Campo
endpoints[].weight - Campo
endpoints[].serviceAccount - Valor de
DNS_ROUND_ROBINen el camporesolution - Valor de
MESH_INTERNALen el campolocation - Dirección del socket de dominio Unix en el campo
endpoints[].address - Campo
subjectAltNames - Dos o más entradas de
endpoints[]si el camporesolutiontiene el valorDNS
Regla de destino
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| DestinationRule v1beta1 | † |
† La implementación del plano de control de TRAFFIC_DIRECTOR no admite los siguientes campos.
- Campo
trafficPolicy.loadBalancer.localityLbSetting - Campo
trafficPolicy.tunnel - Campo
trafficPolicy.tls.credentialName - Campo
trafficPolicy.portLevelSettings[].tls.credentialName
Además, la implementación del plano de control de TRAFFIC_DIRECTOR requiere que la regla de destino que define los subconjuntos esté en el mismo espacio de nombres y clúster que el servicio de Kubernetes o ServiceEntry.
Sidecar
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| Sidecar v1beta1 | † |
† La implementación del plano de control de TRAFFIC_DIRECTOR no admite los siguientes campos ni valores en los campos:
- Campo
ingress - Campo
egress.port - Campo
egress.bind - Campo
egress.captureMode - Campo
inboundConnectionPool
Proxy de DNS
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
Resolución de nombres de Service en todos los clústeres |
† | |
Resolución de nombres de ServiceEntry en un clúster |
† | |
Resolución de nombres de sin interfaz gráfica Service |
||
| Asignación automática de direcciones |
† Se requiere la versión 1.21.5-asm.39 o una posterior del sidecar.
MeshConfig
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| DiscoverySelectors | ||
| clusterLocal | ||
| LocalityLB | § | |
| ExtensionProviders | § | |
| CACert | ||
| ImageType: Distroless | § | |
| OutboundTrafficPolicy | § | |
| defaultProviders.accessLogging | ||
| defaultProviders.tracing | ||
| defaultConfig.tracing.stackdriver | § | |
| accessLogFile | § |
ProxyConfig
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| Compatibilidad con HTTP/1.0 (ISTIO_META_NETWORK) | ||
| Selección de imágenes (imagen base o sin distro) | † | |
| Archivo adicional nativo de Kubernetes (ENABLE_NATIVE_SIDECARS) |
† Se usa una imagen sin distribución para la inserción.
Regiones
Los clústeres de GKE deben estar en una de las siguientes regiones o en cualquier zona de las siguientes regiones.
| Región | Ubicación |
|---|---|
africa-south1 |
Johannesburgo |
asia-east1 |
Taiwán |
asia-east2 |
Hong Kong |
asia-northeast1 |
Tokio, Japón |
asia-northeast2 |
Osaka, Japón |
asia-northeast3 |
Corea del Sur |
asia-south1 |
Bombay, India |
asia-south2 |
Delhi, India |
asia-southeast1 |
Singapur |
asia-southeast2 |
Yakarta |
australia-southeast1 |
Sídney, Australia |
australia-southeast2 |
Melbourne, Australia |
europe-central2 |
Polonia |
europe-north1 |
Finlandia |
europe-southwest1 |
España |
europe-west1 |
Bélgica |
europe-west2 |
Inglaterra |
europe-west3 |
Fráncfort, Alemania |
europe-west4 |
Países Bajos |
europe-west6 |
Suiza |
europe-west8 |
Milán, Italia |
europe-west9 |
Francia |
europe-west10 |
Berlín, Alemania |
europe-west12 |
Turín, Italia |
me-central1 |
Doha |
me-central2 |
Dammam, Arabia Saudita |
me-west1 |
Tel Aviv |
northamerica-northeast1 |
Montreal, Canadá |
northamerica-northeast2 |
Toronto, Canadá |
southamerica-east1 |
Brasil |
southamerica-west1 |
Chile |
us-central1 |
Iowa |
us-east1 |
Carolina del Sur |
us-east4 |
Virginia del Norte |
us-east5 |
Ohio |
us-south1 |
Dallas |
us-west1 |
Oregón |
us-west2 |
Los Ángeles |
us-west3 |
Salt Lake City |
us-west4 |
Las Vegas |
Interfaz de usuario
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
| Paneles de Cloud Service Mesh en la consola de Google Cloud | ||
| Cloud Monitoring | ||
| Cloud Logging |
Herramientas
| Función | Administrada (TD) | Administrado (istiod) |
|---|---|---|
Herramienta de gcloud beta container fleet mesh debug |