叢集內控制層支援的功能
本頁說明 Cloud Service Mesh1.27.1 支援的功能 (搭配叢內控制層)。如要查看代管控制層支援的 Cloud Service Mesh 1.27.1 功能,請參閱「代管控制層」。
支援的版本
Cloud Service Mesh 支援服務遵循 GKE Enterprise 版本支援政策。
如果是採用 TRAFFIC_DIRECTOR 控制層實作的代管 Cloud Service Mesh,Google 一律會支援這個控制層。
如果是採用 ISTIOD 控制層實作的代管 Cloud Service Mesh,Google 支援各發布管道提供的最新 Cloud Service Mesh 版本。
如果是自行安裝的叢集內 Cloud Service Mesh,Google 支援 Cloud Service Mesh 的目前版本和前兩個次要版本 (n-2)。
下表列出叢集內自行安裝的 Cloud Service Mesh 支援版本,以及各版本最早的終止支援 (EOL) 日期。
| 發布版本 | 發布日期 | 最早的服務終止日期 |
|---|---|---|
| 1.27 | 2025 年 9 月 23 日 | 2026 年 6 月 23 日 |
| 1.26 | 2025 年 7 月 16 日 | 2026 年 4 月 16 日 |
| 1.25 | 2025 年 4 月 4 日 | 2026 年 1 月 4 日 |
如果使用的 Cloud Service Mesh 版本不受支援,請升級至 Cloud Service Mesh 1.25 以上版本。如要瞭解如何升級,請參閱「升級 Cloud Service Mesh」。
下表列出不支援的 Cloud Service Mesh 版本,以及生命週期終止 (EOL) 日期。
| 發布版本 | 發布日期 | 服務終止日期 |
|---|---|---|
| 1.24 | 2025 年 1 月 16 日 | 不支援 (2025 年 10 月 15 日) |
| 1.23 | 2024 年 9 月 19 日 | 不支援 (2025 年 7 月 16 日) |
| 1.22 | 2024 年 7 月 25 日 | 不支援 (2025 年 5 月 21 日) |
| 1.21 | 2024 年 6 月 4 日 | 不支援 (2025 年 4 月 16 日) |
| 1.20 | 2024 年 2 月 8 日 | 不支援 (2024 年 11 月 12 日) |
| 1.19 | 2023 年 10 月 31 日 | 不再支援 (2024 年 7 月 31 日) |
| 1.18 | 2023 年 8 月 3 日 | 不支援 (2024 年 6 月 4 日) |
| 1.17 | 2023 年 4 月 4 日 | 不支援 (2024 年 2 月 8 日) |
| 1.16 | 2023 年 2 月 21 日 | 不支援 (2023 年 12 月 11 日) |
| 1.15 | 2022 年 10 月 25 日 | 不支援 (2023 年 8 月 4 日) |
| 1.14 | 2022 年 7 月 20 日 | 不支援 (2023 年 4 月 20 日) |
| 1.13 | 2022 年 3 月 30 日 | 不支援 (2023 年 2 月 8 日) |
| 1.12 | 2021 年 12 月 9 日 | 不支援 (2022 年 10 月 25 日) |
| 1.11 | 2021 年 10 月 6 日 | 不支援 (2022 年 7 月 20 日) |
| 1.10 | 2021 年 6 月 24 日 | 不支援 (2022 年 3 月 30 日) |
| 1.9 | 2021 年 3 月 4 日 | 不支援 (2021 年 12 月 14 日) |
| 1.8 | 2020 年 12 月 15 日 | 不支援 (2021 年 12 月 14 日) |
| 1.7 | 2020 年 11 月 3 日 | 不支援 (2021 年 12 月 14 日) |
| 1.6 | 2020 年 6 月 30 日 | 不支援 (2021 年 3 月 30 日) |
| 1.5 | 2020 年 5 月 20 日 | 不支援 (2021 年 2 月 17 日) |
| 1.4 | 2019 年 12 月 20 日 | 不支援 (2020 年 9 月 18 日) |
如要進一步瞭解支援政策,請參閱「取得支援」一文。
平台差異
支援的平台支援的功能有所不同。
「其他 GKE Enterprise 叢集」欄是指 Google Cloud以外的叢集,例如:
Google Distributed Cloud:
- 適用於 VMware 的 Google Distributed Cloud (僅限軟體)
- 適用於裸機的 Google Distributed Cloud (僅限軟體)
本頁面使用 Google Distributed Cloud,因為 Google Distributed Cloud (僅限軟體) for VMware 和 Google Distributed Cloud (僅限軟體) for Bare Metal 均提供相同的支援服務,且特定平台之間存在差異。
在其他公有雲中執行 GKE Enterprise:
GKE 附加叢集:已向機群註冊的第三方 Kubernetes 叢集。Cloud Service Mesh 支援下列叢集類型:
- Amazon EKS 叢集
- Microsoft AKS 叢集
在下列資料表中:
- :表示這項功能預設為啟用。
- *:表示平台支援這項功能,且可以啟用,如「啟用選用功能」或功能表格中連結的功能指南所述。
- 相容:表示功能或第三方工具可與 Cloud Service Mesh 整合或搭配使用,但 Google Cloud 支援團隊不提供完整支援,且沒有功能指南。
- :表示功能無法使用,或 Cloud Service Mesh 1.27.1不支援該功能。
Google Cloud支援服務完全支援預設和選用功能。如果表格中未明確列出某項功能,我們會盡力提供支援。
基礎映像檔
| 功能 | GKE 叢集 Google Cloud | 其他 GKE Enterprise 叢集 |
|---|---|---|
| Distroless Proxy 映像檔 |
安全性
憑證發布/輪替機制
| 功能 | GKE 叢集 Google Cloud | 其他 GKE Enterprise 叢集 |
|---|---|---|
| 管理工作負載憑證 | ||
| 在 ingress 和 egress 閘道上管理外部憑證。 |
支援憑證授權單位 (CA)
| 功能 | GKE 叢集 Google Cloud | 地端 GKE Enterprise 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|---|
| Cloud Service Mesh 憑證授權單位 | |||
| 憑證授權單位服務 | * | * | |
| Istio CA (舊稱 Citadel) | * | * | |
| 插入自己的 CA 憑證 | 由憑證授權單位服務和 Istio 憑證授權單位支援 | 由憑證授權單位服務和 Istio 憑證授權單位支援 | Istio CA 支援 |
Cloud Service Mesh 安全性功能
除了支援 Istio 安全防護功能,Cloud Service Mesh 還提供更多功能,協助您保護應用程式。
| 功能 | GKE 叢集 Google Cloud | 分散式雲端 | GKE Multi-cloud | 其他 GKE Enterprise 叢集 |
|---|---|---|---|---|
| 整合 IAP | ||||
| 使用者驗證 | ||||
| 稽核政策 (預覽版) | * | |||
| 模擬測試模式 | ||||
| 拒絕記錄 |
授權政策
| 功能 | GKE 叢集 Google Cloud | 其他 GKE Enterprise 叢集 |
|---|---|---|
| 授權 v1beta1 政策 | ||
| 建立路徑範本 |
驗證政策
同類應用程式驗證
| 功能 | GKE 叢集 Google Cloud | 其他 GKE Enterprise 叢集 |
|---|---|---|
| 自動 mTLS | ||
| mTLS 寬容模式 |
如要瞭解如何啟用 mTLS STRICT 模式,請參閱「設定傳輸層安全防護」。
要求驗證
| 功能 | GKE 叢集 Google Cloud | 其他 GKE Enterprise 叢集 |
|---|---|---|
| JWT 驗證 (附註 1) |
注意:
- 第三方 JWT 預設為啟用。
遙測
指標
| 功能 | GKE 叢集 Google Cloud | 地端 GKE Enterprise 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|---|
| Cloud Monitoring (Proxy 內 HTTP 指標) | |||
| Cloud Monitoring (Proxy 內 TCP 指標) | |||
| Istio Telemetry API | |||
| 自訂配接器/後端 (無論是否在程序中) | |||
| 任意遙測和記錄後端 | |||
| 匯出 Prometheus 指標 至客戶安裝的 Prometheus、Grafana 和 Kiali 資訊主頁 | 相容 | 相容 | 相容 |
| Google Cloud Managed Service for Prometheus,但不包括 Cloud Service Mesh 資訊主頁 | |||
| Google Cloud 控制台中的拓撲圖不再使用網格遙測服務做為資料來源。雖然拓撲圖的資料來源已變更,但使用者介面維持不變。 | |||
Proxy 要求記錄
| 功能 | GKE 叢集 Google Cloud | 地端 GKE Enterprise 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|---|
| 流量記錄檔 | |||
| 存取記錄 | * | * | * |
追蹤
| 功能 | GKE 叢集 Google Cloud | 地端 GKE Enterprise 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|---|
| Cloud Trace | * | * | |
| Jaeger 追蹤 (可使用客戶管理的 Jaeger) | 相容 | 相容 | 相容 |
| Zipkin 追蹤 (可使用客戶管理的 Zipkin) | 相容 | 相容 | 相容 |
網路
目的地規則
| 功能 | GKE 叢集 Google Cloud | 其他 GKE Enterprise 叢集 |
|---|---|---|
| credentialName |
流量攔截/重新導向機制
| 功能 | GKE 叢集 Google Cloud | 其他 GKE Enterprise 叢集 |
|---|---|---|
傳統使用 iptables 搭配 init
容器與 CAP_NET_ADMIN |
||
| 容器網路介面 (CNI) | * | * |
通訊協定支援
系統不支援使用第 7 層功能設定的下列通訊協定服務:WebSocket、MongoDB、Redis、Kafka、Cassandra、RabbitMQ、Cloud SQL。您或許可以透過 TCP 位元組串流支援,讓通訊協定正常運作。如果 TCP 位元組串流無法支援通訊協定 (例如 Kafka 在通訊協定專屬回覆中傳送重新導向位址,而這個重新導向與 Cloud Service Mesh 的路由邏輯不相容),則系統不支援該通訊協定。
| 功能 | GKE 叢集 Google Cloud | 其他 GKE Enterprise 叢集 |
|---|---|---|
| IPv4 | ||
| HTTP/1.1 | ||
| HTTP/2 | ||
| TCP 位元組串流 (附註 1) | ||
| gRPC | ||
| IPv6 | ||
| Istio DualStack |
注意:
- 雖然 TCP 是網路支援的通訊協定,但系統不會收集或回報 TCP 指標。只有 Google Cloud 主控台中的 HTTP 服務會顯示指標。
Envoy 部署作業
| 功能 | GKE 叢集 Google Cloud | 其他 GKE Enterprise 叢集 |
|---|---|---|
| 補充資訊 | ||
| 輸入閘道 | ||
| 直接從 Sidecar 輸出 | ||
| 使用輸出閘道輸出 | * | * |
系統不支援自訂 Envoy 設定的 sidecar.istio.io/bootstrapOverride 註解。
CRD 支援
| 功能 | GKE 叢集 Google Cloud | 其他 GKE Enterprise 叢集 |
|---|---|---|
| Istio API 支援 (以下例外狀況) | ||
| 自訂 Envoy 篩選器 |
Istio Ingress 閘道的負載平衡器
| 功能 | GKE 叢集 Google Cloud | 其他 GKE Enterprise 叢集 |
|---|---|---|
| 第三方外部負載平衡器 | ||
| Google Cloud 內部負載平衡器 | * | 不支援。請參閱下方連結。 |
如要瞭解如何設定負載平衡器,請參閱下列文章:
Kubernetes Gateway API (預先發布版)
在 Cloud Service Mesh 1.20 版中,Kubernetes Gateway API 以公開搶先版的形式提供。
| 功能 | GKE 叢集 Google Cloud | 其他 GKE Enterprise 叢集 |
|---|---|---|
| Ingress | ||
使用 class: istio 閘道 |
||
使用 parentRef 的 HttpRoute |
||
| 網狀網路流量 | ||
使用 targetRef 欄位設定 Istio CRD,包括 AuthorizationPolicy、RequestAuthentication、Telemetry 和 WasmPlugin |
如果您使用 Microsoft AKS 附加叢集或 Azure 上的 GKE 叢集,必須為閘道資源設定下列註解,才能透過 TCP 設定健康狀態檢查:
service.beta.kubernetes.io/port_80_health-probe_protocol: tcp
否則系統不會接受 HTTP 流量。
Kubernetes Gateway API 搶先版需求條件
Kubernetes Gateway API 搶先版有下列規定:
使用閘道的預設自動部署行為。
使用
HttpRouteCRD 進行路由設定。HttpRoute必須有指向閘道的parentRef。請勿在同一叢集上使用 Istio Gateway CR 和 Kubernetes Gateway API CR。
負載平衡政策
| 功能 | GKE 叢集 Google Cloud | 其他 GKE Enterprise 叢集 |
|---|---|---|
| 循環制 | ||
| 連線數最少 | ||
| 隨機 | ||
| 透視 | ||
| 一致的雜湊 | ||
| 縣市 |
如要進一步瞭解負載平衡政策,請參閱目的地規則。
資料層
| 功能 | GKE 叢集 Google Cloud | 其他 GKE Enterprise 叢集 |
|---|---|---|
| Sidecar | ||
| 氛圍 |
多叢集支援
如要在不同專案中部署多個主要 GKE 叢集,所有叢集都必須位於共用虛擬私有雲 (VPC) 中。
網路
| 功能 | GKE 叢集 Google Cloud | 地端 GKE Enterprise 叢集 | GKE on AWS | GKE on Azure | 附加的叢集 |
|---|---|---|---|---|---|
| 單一網路 | |||||
| 多網路 |
注意:
- 如果是附加叢集,目前僅支援跨單一平台 (Microsoft AKS、Amazon EKS) 的多叢集網格。
部署模式
| 功能 | GKE 叢集 Google Cloud | 地端 GKE Enterprise 叢集 | 在其他公用雲端中使用 GKE Enterprise | 附加的叢集 |
|---|---|---|---|---|
| 多重主要版本 | ||||
| Primary-remote |
術語注意事項:
主要叢集是指具有控制層的叢集。單一網格可有多個主要叢集,以提高可用性或縮短延遲時間。在 Istio 1.7 說明文件中,多重主要部署作業稱為「複製的控制層」。
遠端叢集是指連線至叢集外部控制層的叢集。遠端叢集可以連線至主要叢集執行的控制層,或連線至外部控制層。
Cloud Service Mesh 會根據一般連線功能,簡化網路定義。如果工作負載執行個體能夠直接通訊,不需透過閘道,就表示這些執行個體位於同一個網路上。
使用者介面
| 功能 | GKE 叢集 Google Cloud | Google Distributed Cloud | 其他 GKE Enterprise 叢集 |
|---|---|---|---|
| Google Cloud 控制台中的 Cloud Service Mesh 資訊主頁 | * | * | |
| Cloud Monitoring | * | ||
| Cloud Logging | * | ||
| Cloud Trace | * |
注意:地端叢集必須使用 GKE Enterprise 1.11 以上版本。 如要進一步瞭解如何升級,請參閱升級 Google Distributed Cloud (僅限軟體) for VMware 或升級 Google Distributed Cloud (僅限軟體) for Bare Metal。