Anthos Service Mesh e Traffic Director sono ora Cloud Service Mesh. Per saperne di più, consulta la panoramica di Cloud Service Mesh.

Pianifica un'installazione

Questa pagina fornisce informazioni per aiutarti a pianificare una nuova installazione di Cloud Service Mesh in-cluster per i workload Kubernetes all'esterno di Google Cloud.

Personalizza il control plane

Le funzionalità supportate da Cloud Service Mesh variano a seconda della piattaforma. Ti consigliamo di consultare le funzionalità supportate per scoprire quali possono essere usate sulla tua piattaforma. Alcune funzionalità sono abilitate per impostazione predefinita, mentre altre possono essere abilitate facoltativamente creando un file di overlay IstioOperator. Quando esegui asmcli install, puoi personalizzare il control plane specificando l'opzione --custom_overlay con il file di overlay. Come best practice, ti consigliamo di salvare i file di overlay nel sistema di controllo delle versioni.

La directory asmcli in GitHub contiene molti file di overlay che contengono personalizzazioni comuni alla configurazione predefinita. Puoi utilizzare questi file così come sono oppure apportare ulteriori modifiche in base alle tue esigenze. Alcuni file sono necessari per abilitare le funzionalità facoltative di Cloud Service Mesh. Il pacchetto anthos-service-mesh viene scaricato quando esegui asmcli per convalidare il progetto e il cluster.

Quando installi Cloud Service Mesh utilizzando asmcli install, puoi specificare uno o più file di overlay con --option o --custom_overlay. Se non devi apportare modifiche ai file nel repository anthos-service-mesh, puoi utilizzare --option e lo script recupera il file da GitHub per te. In caso contrario, puoi apportare modifiche al file di overlay e quindi utilizzare l'opzione --custom_overlay per passarlo a asmcli.

Scegli un'autorità di certificazione

A seconda del caso d'uso e della piattaforma, puoi scegliere una delle seguenti opzioni come autorità di certificazione (CA) per l'emissione di certificati mutual TLS (mTLS):

Questa sezione fornisce informazioni generali su ciascuna di queste opzioni di CA e sui relativi casi d'uso.

CA mesh

A meno che tu non richieda un'autorità di certificazione personalizzata, ti consigliamo di utilizzare l'autorità di certificazione Cloud Service Mesh per i seguenti motivi:

L'autorità di certificazione Cloud Service Mesh è un servizio altamente affidabile e scalabile ottimizzato per i workload scalati dinamicamente.
Con l'autorità di certificazione Cloud Service Mesh, Google gestisce la sicurezza e la disponibilità del backend CA.
L'autorità di certificazione Cloud Service Mesh ti consente di affidarti a una singola radice di attendibilità in tutti i cluster.

I certificati dell'autorità di certificazione Cloud Service Mesh includono i seguenti dati sui servizi della tua applicazione:

L'ID progetto Google Cloud
Lo spazio dei nomi GKE
Il nome del service account GKE

Certificate Authority Service

Nota sulla piattaforma: Certificate Authority Service è supportato solo sulle seguenti piattaforme: cluster GKE su Google Cloud, Google Distributed Cloud (solo software) per VMware e Distributed Cloud. Se esegui asmcli install e specifichi --ca gcp_cas su altre piattaforme, l'installazione sembra riuscita, ma i workload non verranno avviati.

Oltre all'autorità di certificazione Cloud Service Mesh, puoi configurare Cloud Service Mesh in modo che utilizzi Certificate Authority Service. Questa guida ti offre l'opportunità di stabilire l'integrazione con Certificate Authority Service, il che è consigliato per i seguenti casi d'uso:

Se hai bisogno di autorità di certificazione diverse per firmare i certificati dei workload su cluster diversi.
Se devi eseguire il backup delle chiavi di firma in un Cloud HSM.
Se operi in un settore altamente regolamentato e sei soggetto a conformità.
Se vuoi concatenare la CA Cloud Service Mesh a un certificato radice aziendale personalizzato per firmare i certificati dei workload.

Il costo dell'autorità di certificazione Cloud Service Mesh è incluso nei prezzi di Cloud Service Mesh. Certificate Authority Service non è incluso nel prezzo base di Cloud Service Mesh e viene addebitato separatamente. Inoltre, Certificate Authority Service include uno SLA esplicito, mentre l'autorità di certificazione Cloud Service Mesh non lo include.

Istio CA

Ti consigliamo di utilizzare Istio CA se soddisfi i seguenti criteri:

Il tuo mesh utilizza già Istio CA e non hai bisogno dei vantaggi offerti dall'autorità di certificazione Cloud Service Mesh o da Certificate Authority Service.
È necessaria una CA radice personalizzata.
Hai workload esterni aGoogle Cloud in cui un servizio CA gestito da Google Cloudnon è accettabile.

Prepara la configurazione del gateway

Cloud Service Mesh ti offre la possibilità di eseguire il deployment dei gateway e di gestirli all'interno del mesh di servizi. Un gateway descrive un bilanciatore del carico che opera al limite del mesh e riceve connessioni HTTP/TCP in entrata o in uscita. I gateway sono proxy Envoy che offrono un controllo granulare sul traffico in entrata e in uscita dal mesh.

asmcli non installa istio-ingressgateway. Ti consigliamo di eseguire il deployment e gestire separatamente il control plane e i gateway. Per ulteriori informazioni, consulta Installazione e upgrade dei gateway.

Passaggi successivi

Installa gli strumenti dipendenti e convalida il cluster