Provisionar o Cloud Service Mesh gerenciado em um cluster do GKE no console do Google Cloud

O Cloud Service Mesh é a oferta de malha de serviço do Google baseada no Istio de código aberto. O atributo Cloud Service Mesh na IU do GKE permite que os usuários provisionem facilmente o Cloud Service Mesh gerenciado em um novo cluster ou em um cluster atual do GKE. Com o Cloud Service Mesh gerenciado, o Google hospeda e gerencia o plano de controle e, opcionalmente, o plano de dados para a malha, além de processar os upgrades, o escalonamento e a segurança de maneira compatível com versões anteriores.

O Cloud Service Mesh oferece uma maneira uniforme de conectar, gerenciar e proteger microsserviços. Ele é compatível com o gerenciamento de fluxos de tráfego entre serviços, aplicando políticas de acesso e agregando dados de telemetria, tudo sem exigir alterações no código de microsserviço. O Cloud Service Mesh também fornece um conjunto de recursos de gerenciamento para simplificar o gerenciamento do ciclo de vida da malha.

Configure o controle de acesso do Istio, as regras de roteamento e demais recursos usando uma API personalizada do Kubernetes, seja o kubectl ou a ferramenta de linha de comando do Istio, o istioctl, que fornece validação extra.

Para mais informações, consulte Cloud Service Mesh.

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Kubernetes Engine API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Kubernetes Engine API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.

    Provisionar o Cloud Service Mesh

    As etapas necessárias para provisionar o Cloud Service Mesh dependem se você criou um novo cluster do GKE ou se provisionou o Cloud Service Mesh em um cluster atual do GKE.

    Criar um cluster do GKE com o Cloud Service Mesh

    Para seguir as instruções detalhadas da tarefa diretamente no console do Google Cloud , clique em Orientações:

    Orientações

    1. Acesse a página do Google Kubernetes Engine no console do Google Cloud .

      Acessar o Google Kubernetes Engine

    2. Clique em Criar.

    3. Clique em Configurar ao lado da sua opção preferida entre o GKE Standard e o Autopilot do GKE.

    Padrão

    Na seção Princípios básicos do cluster, conclua o seguinte:

    1. Insira o Nome do cluster.

    2. Em Tipo de local, selecione Regional e selecione a região pretendida para o cluster.

    3. No painel de navegação, em Cluster, clique em Recursos.

    4. Na seção Cloud Service Mesh, marque a caixa ao lado de Ativar Cloud Service Mesh.

      Depois de marcar a caixa, uma tela com detalhes dos requisitos será exibida. Os requisitos incluem:

      • Cloud Monitoring ativado no cluster.
      • O Cloud Service Mesh usa o Cloud Monitoring para fornecer telemetria e registros automaticamente.
      • Identidade da carga de trabalho ativada no cluster.
      • O Cloud Service Mesh usa a Identidade da carga de trabalho para fornecer acesso seguro a APIs e recursos necessários do Google.

      • Para proteger, monitorar e gerenciar a malha de serviço, a API mesh.googleapis.com será ativada (caso ainda não tenha sido).

      • O cluster será registrado na frota do projeto, e o recurso de frota do Cloud Service Mesh será ativado.

      • O plano de controle gerenciado é provisionado e configurado para usar uma revisão correspondente ao canal do GKE instalado no cluster.

    5. Clique em Fazer alterações para ativar os requisitos automaticamente.

    6. Clique em Criar.

    Piloto automático

    Na seção Princípios básicos do cluster, conclua o seguinte:

    1. Insira o Nome do cluster.

    2. Selecione a Região do cluster.

    3. Expanda o menu suspenso da seção Opções avançadas.

    4. Na seção Cloud Service Mesh, marque a caixa ao lado de Ativar Cloud Service Mesh.

      Depois de marcar a caixa, uma tela com detalhes dos requisitos será exibida. Os requisitos incluem:

    5. Clique em Fazer alterações para ativar os requisitos automaticamente.

    6. Clique em Criar.

    Provisionar o Cloud Service Mesh em um cluster atual do GKE

    1. Acesse a página do Google Kubernetes Engine no console do Google Cloud .

      Acessar o Google Kubernetes Engine

    2. Selecione o cluster em que você quer provisionar o Cloud Service Mesh.

    3. Na seção Atributos, clique no botão de edição ao lado do Cloud Service Mesh.

      Depois de clicar no botão de edição, uma tela detalhando os requisitos vai aparecer. Os requisitos incluem:

      • Cloud Monitoring ativado no cluster.

        • O Cloud Service Mesh usa o Cloud Monitoring para fornecer telemetria e registros automaticamente.

      • Identidade da carga de trabalho ativada no cluster.

        • O Cloud Service Mesh usa a Identidade da carga de trabalho para fornecer acesso seguro a APIs e recursos necessários do Google.

      • Para proteger, monitorar e gerenciar a malha de serviço, a API mesh.googleapis.com será ativada (caso ainda não tenha sido).

      • O cluster será registrado na frota do projeto, e o atributo da frota do Cloud Service Mesh será ativado (se ainda não estiver).

      • O plano de controle gerenciado é provisionado e configurado para usar uma revisão correspondente ao canal do GKE instalado no cluster.

    4. Clique em Fazer alterações para ativar os requisitos automaticamente.

    Próximas etapas

    Ativar o Cloud Service Mesh no cluster é apenas a primeira etapa. Para aproveitar ao máximo o recurso da malha de serviço, conclua as seguintes tarefas:

    1. Obrigatório: injete proxies sidecar para melhorar a segurança de rede, a confiabilidade e a observabilidade.

    2. Altamente recomendável: implante gateways para gerenciar o tráfego de entrada e saída.

    3. Altamente recomendável: configure a segurança de transporte para proteger sua malha.

    4. Opcional: ative o plano de dados gerenciados para fazer upgrade automático dos proxies.

    Solução de problemas

    Para resolver problemas ao provisionar o Cloud Service Mesh, consulte Como resolver problemas de ativação do Cloud Service Mesh pelo console do Google Cloud .

    A seguir