Configurazione del progetto e del cluster GKE in autonomia
<0x0 Google Cloud Per saperne di più, consulta la panoramica di Cloud Service Mesh.Quando installi Cloud Service Mesh utilizzando
asmcli, può
configurare il progetto e il cluster GKE su Google Cloud per
te se includi il flag --enable_all o i flag di attivazione più granulari.
Se preferisci eseguire la configurazione autonomamente anziché far apportare le modifiche a asmcli, segui i passaggi descritti in questa pagina.
Se hai già installato una versione precedente di Cloud Service Mesh, non devi apportare modifiche al progetto o al cluster prima di utilizzare asmcli per eseguire l'upgrade all'ultima versione di Cloud Service Mesh.
Per impostazione predefinita, asmcli non installa istio-ingressgateway. Ti
consigliamo di eseguire il deployment e la gestione del control plane e dei gateway separatamente.
Cloud Service Mesh supporta l'iniezione automatica per i deployment del gateway, il che semplifica gli upgrade di Cloud Service Mesh. Dopo l'upgrade di Cloud Service Mesh, riavvia i gateway proprio come i servizi per recuperare la nuova configurazione del control plane. Per ulteriori informazioni, vedi
Installazione e upgrade dei gateway.
Prima di iniziare
- Esamina i prerequisiti e i requisiti
- Pianifica l'installazione o l'upgrade
- Installare gli strumenti richiesti
Configura il progetto
Recupera l'ID e il numero del progetto in cui è stato creato il cluster.
gcloud
Esegui questo comando:
gcloud projects listConsole
Vai alla pagina Dashboard nella console Google Cloud .
Fai clic sull'elenco a discesa nella parte superiore della pagina. Nella finestra Seleziona da visualizzata, seleziona il tuo progetto.
L'ID e il numero del progetto vengono visualizzati nella scheda Informazioni sul progetto della dashboard.
Crea le seguenti variabili di ambiente:
Imposta il pool di workload utilizzando l'ID progetto:
export WORKLOAD_POOL=PROJECT_ID.svc.id.googImposta l'ID mesh utilizzando il numero di progetto:
export MESH_ID="proj-PROJECT_NUMBER"
Imposta i ruoli IAM (Identity and Access Management) richiesti. Se sei un proprietario del progetto, disponi di tutte le autorizzazioni necessarie per completare l'installazione. Se non sei un proprietario del progetto, devi chiedere a qualcuno che lo sia di concederti i seguenti ruoli IAM specifici. Nel comando seguente, sostituisci
PROJECT_IDcon l'ID progetto del passaggio precedente eGCP_EMAIL_ADDRESScon l'account che utilizzi per accedere a Google Cloud.ROLES=( 'roles/servicemanagement.admin' \ 'roles/serviceusage.serviceUsageAdmin' \ 'roles/meshconfig.admin' \ 'roles/compute.admin' \ 'roles/container.admin' \ 'roles/resourcemanager.projectIamAdmin' \ 'roles/iam.serviceAccountAdmin' \ 'roles/iam.serviceAccountKeyAdmin' \ 'roles/gkehub.admin') for role in "${ROLES[@]}" do gcloud projects add-iam-policy-binding PROJECT_ID \ --member "user:GCP_EMAIL_ADDRESS" \ --role="$role" doneSe includi il flag
--enable_allo--enable_gcp_iam_rolesquando eseguiasmcli, vengono impostati i ruoli IAM richiesti.Abilita le API Google richieste:
gcloud services enable \ --project=PROJECT_ID \ mesh.googleapis.comOltre a
mesh.googleapis.com, questo comando abilita anche le seguenti API:API Finalità Può essere disattivato meshconfig.googleapis.comCloud Service Mesh utilizza l'API Mesh Configuration per trasmettere i dati di configurazione dalla mesh a Google Cloud. Inoltre, l'abilitazione dell'API Mesh Configuration ti consente di accedere alle pagine di Cloud Service Mesh nella console Google Cloud e di utilizzare la Certificate Authority di Cloud Service Mesh. No meshca.googleapis.comRelativo all'autorità di certificazione Cloud Service Mesh utilizzata da Cloud Service Mesh gestito. No container.googleapis.comObbligatorio per creare cluster Google Kubernetes Engine (GKE). No gkehub.googleapis.comObbligatorio per gestire la mesh come flotta. No monitoring.googleapis.comObbligatorio per acquisire la telemetria per i carichi di lavoro mesh. No stackdriver.googleapis.comObbligatorio per utilizzare la UI dei servizi. No opsconfigmonitoring.googleapis.comObbligatorio per utilizzare l'interfaccia utente dei servizi per i cluster off-Google Cloud . No connectgateway.googleapis.comObbligatorio per consentire al control plane di Cloud Service Mesh gestito di accedere ai carichi di lavoro del mesh. Sì* trafficdirector.googleapis.comConsente un control plane gestito altamente disponibile e scalabile. Sì* networkservices.googleapis.comConsente un control plane gestito altamente disponibile e scalabile. Sì* networksecurity.googleapis.comConsente un control plane gestito altamente disponibile e scalabile. Sì* L'abilitazione delle API può richiedere un minuto o più. Quando le API sono abilitate, visualizzi un output simile al seguente:
Operation "operations/acf.601db672-88e6-4f98-8ceb-aa3b5725533c" finished successfully.
Se includi il flag
--enable_allo--enable_apisquando eseguiasmcli, le API richieste vengono abilitate automaticamente.
Configurazione del cluster
Se includi il flag --enable_all o uno dei flag di attivazione più granulari, asmcli configura il cluster per te.
Imposta la zona o la regione predefinita per Google Cloud CLI. Se non imposti il valore predefinito qui, assicurati di specificare l'opzione
--zoneo--regionnei comandigcloud container clustersdi questa pagina.Se hai un cluster a zona singola, imposta la zona predefinita:
gcloud config set compute/zone CLUSTER_LOCATIONSe hai un cluster regionale, imposta la regione predefinita:
gcloud config set compute/region CLUSTER_LOCATION
Imposta l'
mesh_idetichetta sul cluster. Se il cluster ha etichette esistenti che vuoi conservare, devi includerle quando aggiungi l'etichettamesh_id.Per verificare se il cluster ha etichette esistenti:
gcloud container clusters describe CLUSTER_NAME \ --project PROJECT_IDCerca il campo
resourceLabelsnell'output. Ogni etichetta viene memorizzata su una riga separata nel camporesourceLabels, ad esempio:resourceLabels: csm: '' env: dev release: stable
Per comodità, puoi aggiungere le etichette a una variabile di ambiente. Nel seguente, sostituisci
YOUR_EXISTING_LABELScon un elenco separato da virgole delle etichette esistenti nel cluster nel formatoKEY=VALUE, ad esempio:env=dev,release=stableexport EXISTING_LABELS="YOUR_EXISTING_LABELS"Imposta l'etichetta
mesh_id:Se il cluster ha etichette esistenti che vuoi conservare, aggiorna il cluster con
mesh_ide le etichette esistenti:gcloud container clusters update CLUSTER_NAME \ --project PROJECT_ID \ --update-labels=mesh_id=${MESH_ID},${EXISTING_LABELS}Se il cluster non ha etichette esistenti, aggiornalo con solo l'etichetta
mesh_id:gcloud container clusters update CLUSTER_NAME \ --project=PROJECT_ID \ --update-labels=mesh_id=${MESH_ID}
Abilita Workload Identity:
gcloud container clusters update CLUSTER_NAME \ --project=PROJECT_ID \ --workload-pool=${WORKLOAD_POOL}L'attivazione di Workload Identity può richiedere fino a 10-15 minuti.
Inizializza il progetto per prepararlo all'installazione. Tra le altre cose, questo comando crea un account di servizio per consentire ai componenti del data plane, ad esempio il proxy sidecar, di accedere in modo sicuro ai dati e alle risorse del tuo progetto. Nel comando seguente, sostituisci
FLEET_PROJECT_IDcon il progetto host del parco risorse:curl --request POST \ --header "Authorization: Bearer $(gcloud auth print-access-token)" \ --header "Content-Type: application/json" \ --data '{"workloadIdentityPools":["FLEET_PROJECT_ID.hub.id.goog","FLEET_PROJECT_ID.svc.id.goog","PROJECT_ID.svc.id.goog"]}' \ "https://meshconfig.googleapis.com/v1alpha1/projects/PROJECT_ID:initialize"Il comando risponde con parentesi graffe vuote:
{}Abilita Cloud Monitoring e Cloud Logging su GKE:
gcloud container clusters update CLUSTER_NAME \ --project=PROJECT_ID \ --enable-stackdriver-kubernetes
Il progetto e il cluster sono ora pronti per una nuova installazione utilizzando asmcli.