Panduan ini menjelaskan cara mendowngrade Anthos Service Mesh dari 1.5.10 ke 1.4.10 di GKE di VMware.
Proses deploy ulang komponen bidang kontrol Anthos Service Mesh memerlukan waktu sekitar 5 hingga 10 menit. Selain itu, Anda perlu memasukkan proxy file bantuan baru di semua beban kerja agar diupdate ke versi Anthos Service Mesh saat ini. Waktu yang diperlukan untuk memperbarui proxy file bantuan bergantung pada banyak faktor, seperti jumlah pod, jumlah node, setelan penskalaan deployment, anggaran gangguan pod, dan setelan konfigurasi lainnya. Perkiraan kasar dari waktu yang diperlukan untuk memperbarui proxy file bantuan adalah 100 pod per menit.
Ringkasan downgrade
Bagian ini menguraikan langkah-langkah yang Anda lakukan untuk mendowngrade Anthos Service Mesh.
Tinjau Fitur yang didukung dan panduan ini untuk memahami fitur-fitur dan proses downgrade.
Jika mengaktifkan fitur opsional saat menginstal Anthos Service Mesh versi sebelumnya, Anda harus mengaktifkan fitur yang sama saat melakukan downgrade. Anda mengaktifkan fitur opsional dengan menambahkan tanda
--set values
atau dengan menentukan tanda-f
dengan file YAML saat menjalankan perintahistioctl apply
.Jika mendowngrade dari Anthos Service Mesh 1.5.10 menjadi 1.4.10 dan mengaktifkan fitur opsional dalam file YAML, Anda harus mengonversi YAML dari IstioOperator API menjadi IstioControlPlane API.
Menjadwalkan periode nonaktif. Proses downgrade dapat memerlukan waktu hingga 1 jam, bergantung pada skala cluster. Perhatikan bahwa hal ini tidak termasuk waktu yang Anda perlukan untuk men-deploy ulang beban kerja untuk memperbarui proxy file bantuan.
Menyiapkan lingkungan Anda
Di komputer lokal, instal dan inisialisasi Google Cloud CLI.
Jika Anda sudah menginstal gcloud CLI:
Lakukan autentikasi dengan gcloud CLI:
gcloud auth login
Update komponen:
gcloud components update
Instal
kubectl
:gcloud components install kubectl
Dapatkan project ID project tempat cluster dibuat:
gcloud
gcloud projects list
Konsol
Di konsol Google Cloud, buka halaman Dasbor:
Klik menu drop-down Select from di bagian atas halaman. Di jendela Select from yang muncul, pilih project Anda. Project ID ditampilkan di kartu Project info di Dasbor project.
Tetapkan project ID default untuk Google Cloud CLI:
gcloud config set project PROJECT_ID
Menetapkan kredensial dan izin
-
Pastikan Anda memiliki
kubectl
untuk cluster pengguna GKE di VMware tempat Anda ingin menginstal Anthos Service Mesh. Perlu diperhatikan bahwa Anda hanya dapat menginstal Anthos Service Mesh di cluster pengguna, bukan di cluster admin. -
Berikan izin admin cluster kepada pengguna saat ini. Anda memerlukan izin berikut agar dapat membuat aturan role-based access control (RBAC) yang diperlukan untuk Anthos Service Mesh:
kubectl create clusterrolebinding cluster-admin-binding \ --clusterrole=cluster-admin \ --user="$(gcloud config get-value core/account)"
Jika melihat error
"cluster-admin-binding" already exists
, Anda dapat mengabaikannya dengan aman dan melanjutkan dengan binding admin cluster yang ada.
Mendownload file penginstalan
-
Download file penginstalan Anthos Service Mesh ke direktori kerja Anda saat ini:
curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.4.10-asm.18-linux.tar.gz
-
Download file tanda tangan dan gunakan
openssl
untuk memverifikasi tanda tangan:curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.4.10-asm.18-linux.tar.gz.1.sig openssl dgst -verify - -signature istio-1.4.10-asm.18-linux.tar.gz.1.sig istio-1.4.10-asm.18-linux.tar.gz <<'EOF' -----BEGIN PUBLIC KEY----- MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw== -----END PUBLIC KEY----- EOF
Output yang diharapkan adalah:
Verified OK
-
Ekstrak konten file ke lokasi mana saja di sistem file Anda. Misalnya, untuk mengekstrak konten ke direktori kerja saat ini:
tar xzf istio-1.4.10-asm.18-linux.tar.gz
Perintah ini membuat direktori penginstalan di direktori kerja saat ini bernama
istio-1.4.10-asm.18
yang berisi:- Aplikasi contoh di
samples
- Alat berikut di direktori
bin
:istioctl
: Anda menggunakanistioctl
untuk menginstal Anthos Service Mesh.asmctl
: Anda menggunakanasmctl
untuk membantu memvalidasi konfigurasi keamanan setelah menginstal Anthos Service Mesh. (Saat ini,asmctl
tidak didukung di GKE di VMware.)
- Aplikasi contoh di
-
Download file penginstalan Anthos Service Mesh ke direktori kerja Anda saat ini:
curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.4.10-asm.18-osx.tar.gz
-
Download file tanda tangan dan gunakan
openssl
untuk memverifikasi tanda tangan:curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.4.10-asm.18-osx.tar.gz.1.sig openssl dgst -sha256 -verify /dev/stdin -signature istio-1.4.10-asm.18-osx.tar.gz.1.sig istio-1.4.10-asm.18-osx.tar.gz <<'EOF' -----BEGIN PUBLIC KEY----- MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw== -----END PUBLIC KEY----- EOF
Output yang diharapkan adalah:
Verified OK
-
Ekstrak konten file ke lokasi mana saja di sistem file Anda. Misalnya, untuk mengekstrak konten ke direktori kerja saat ini:
tar xzf istio-1.4.10-asm.18-osx.tar.gz
Perintah ini membuat direktori penginstalan di direktori kerja saat ini bernama
istio-1.4.10-asm.18
yang berisi:- Aplikasi contoh di
samples
- Alat berikut di direktori
bin
:istioctl
: Anda menggunakanistioctl
untuk menginstal Anthos Service Mesh.asmctl
: Anda menggunakanasmctl
untuk membantu memvalidasi konfigurasi keamanan setelah menginstal Anthos Service Mesh. (Saat ini,asmctl
tidak didukung di GKE di VMware.)
- Aplikasi contoh di
-
Download file penginstalan Anthos Service Mesh ke direktori kerja Anda saat ini:
curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.4.10-asm.18-win.zip
-
Download file tanda tangan dan gunakan
openssl
untuk memverifikasi tanda tangan:curl -LO https://storage.googleapis.com/gke-release/asm/istio-1.4.10-asm.18-win.zip.1.sig openssl dgst -verify - -signature istio-1.4.10-asm.18-win.zip.1.sig istio-1.4.10-asm.18-win.zip <<'EOF' -----BEGIN PUBLIC KEY----- MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZrGCUaJJr1H8a36sG4UUoXvlXvZ wQfk16sxprI2gOJ2vFFggdq3ixF2h4qNBt0kI7ciDhgpwS8t+/960IsIgw== -----END PUBLIC KEY----- EOF
Output yang diharapkan adalah:
Verified OK
-
Ekstrak konten file ke lokasi mana saja di sistem file Anda. Misalnya, untuk mengekstrak konten ke direktori kerja saat ini:
tar xzf istio-1.4.10-asm.18-win.zip
Perintah ini membuat direktori penginstalan di direktori kerja saat ini bernama
istio-1.4.10-asm.18
yang berisi:- Aplikasi contoh di
samples
- Alat berikut di direktori
bin
:istioctl
: Anda menggunakanistioctl
untuk menginstal Anthos Service Mesh.asmctl
: Anda menggunakanasmctl
untuk membantu memvalidasi konfigurasi keamanan setelah menginstal Anthos Service Mesh. (Saat ini,asmctl
tidak didukung di GKE di VMware.)
- Aplikasi contoh di
-
Pastikan Anda berada di direktori utama penginstalan Anthos Service Mesh.
cd istio-1.4.10-asm.18
-
Untuk memudahkan, tambahkan alat di direktori
/bin
ke PATH Anda:export PATH=$PWD/bin:$PATH
Linux
Mac OS
Windows
Mendowngrade Anthos Service Mesh
Bagian ini menjelaskan cara mendowngrade Anthos Service Mesh dan mengaktifkan fitur Default yang didukung yang tercantum di halaman Fitur yang didukung. Untuk mengetahui informasi tentang cara mengaktifkan fitur Opsional yang didukung, lihat Mengaktifkan fitur opsional.
Untuk menginstal Anthos Service Mesh:
Pilih salah satu perintah berikut untuk mengonfigurasi Anthos Service Mesh dalam mode autentikasi
PERMISSIVE
mutual TLS (mTLS) atau mode mTLS STRICT
.
mTLS PERMISSIF
istioctl manifest apply --set profile=asm-onprem
mTLS KETAT
istioctl manifest apply --set profile=asm-onprem \ --set values.global.mtls.enabled=true
Memeriksa komponen bidang kontrol
Proses downgrade memerlukan penginstalan ulang komponen bidang kontrol, yang memerlukan
waktu sekitar 5 hingga 10 menit. Komponen bidang kontrol lama
dihentikan, lalu dihapus saat komponen baru diinstal. Anda dapat memeriksa progresnya dengan melihat nilai di kolom AGE
beban kerja.
kubectl get pod -n istio-system
Contoh output
NAME READY STATUS RESTARTS AGE
istio-citadel-64f6d7c7c7-jtmw7 1/1 Running 0 38s
istio-galley-6b4878d445-c4rtt 1/2 Running 0 37s
istio-ingressgateway-7866c5c88f-llp28 0/1 Running 0 37s
istio-ingressgateway-7866c5c88f-m9sck 1/1 Terminating 0 25m
istio-pilot-7f4fdcb89c-r98jl 1/2 Running 0 37s
istio-sidecar-injector-65cbd565b9-q4wm9 1/1 Running 0 37s
promsd-78dfdf7c7d-2bhr6 2/2 Running 1 37s
Dalam contoh ini, ada dua instance istio-ingressgateway
. Instance
dengan 25m
di kolom AGE
sedang dihentikan. Semua komponen lainnya
sudah diinstal.
Memperbarui proxy file bantuan
Setiap beban kerja yang berjalan di cluster sebelum Anda mendowngrade Anthos Service Mesh harus memasukkan atau mengupdate proxy sidecar agar memiliki versi Anthos Service Mesh saat ini.
Dengan injeksi file bantuan otomatis, Anda dapat memperbarui file bantuan untuk pod yang ada dengan memulai ulang pod. Cara Anda memulai ulang pod bergantung pada apakah pod dibuat sebagai bagian dari Deployment.
Jika Anda menggunakan Deployment, mulai ulang Deployment, yang akan memulai ulang semua Pod dengan file bantuan:
kubectl rollout restart YOUR_DEPLOYMENT -n YOUR_NAMESPACE
Jika Anda tidak menggunakan Deployment, hapus Pod, lalu Pod akan otomatis dibuat ulang dengan file bantuan:
kubectl delete pod -n YOUR_NAMESPACE --all
Pastikan semua Pod di namespace memiliki file bantuan yang dimasukkan:
kubectl get pod -n YOUR_NAMESPACE --all
Pada contoh output dari perintah sebelumnya berikut, perhatikan bahwa kolom
READY
menunjukkan bahwa ada dua penampung untuk setiap beban kerja: penampung utama dan container untuk proxy sidecar.NAME READY STATUS RESTARTS AGE YOUR_WORKLOAD 2/2 Running 0 20s ...