תכונות נתמכות במישור הבקרה בתוך האשכול
בדף הזה מתוארות תכונות שנתמכות ב-Cloud Service Mesh (1.28.2 ) עם מישור בקרה בתוך האשכול. כדי לראות את התכונות הנתמכות של Cloud Service Mesh 1.28.2 עם מישור בקרה מנוהל, אפשר לעיין במאמר בנושא מישור בקרה מנוהל.
גרסאות נתמכות
התמיכה ב-Cloud Service Mesh מתבססת על מדיניות התמיכה בגרסאות של GKE Enterprise.
ב-managed Cloud Service Mesh, Google תומכת בגרסאות הנוכחיות של Cloud Service Mesh שזמינות בכל ערוץ הפצה.
במקרה של Cloud Service Mesh בהתקנה עצמית בתוך אשכול, Google תומכת בגרסה הנוכחית ובשתי הגרסאות המשניות הקודמות (n-2) של Cloud Service Mesh.
בטבלה הבאה מוצגות הגרסאות הנתמכות של Cloud Service Mesh שמותקן עצמאית באשכול והתאריך המוקדם ביותר לסוף חיי המוצר (EOL) בגרסה.
| גרסת הפצה | תאריך הפצה | התאריך המוקדם ביותר לסוף חיי המוצר |
|---|---|---|
| 1.20 | 8 בפברואר 2024 | 8 בנובמבר 2024 |
| 1.19 | 31 באוקטובר 2023 | 31 ביולי 2024 |
| 1.18 | 3 באוגוסט 2023 | 1 ביוני 2024 |
אם אתם משתמשים בגרסה לא נתמכת של Cloud Service Mesh, אתם צריכים לשדרג ל-Cloud Service Mesh 1.26 או לגרסה מאוחרת יותר. מידע על שדרוג זמין במאמר שדרוג Cloud Service Mesh.
בטבלה הבאה מוצגות הגרסאות הלא נתמכות של Cloud Service Mesh ותאריך סוף חיי המוצר (EOL) שלהן.
| גרסת הפצה | תאריך הפצה | תאריך סוף חיי המוצר |
|---|---|---|
| 1.17 | 4 באפריל 2023 | לא נתמך (8 בפברואר 2024) |
| 1.16 | 21 בפברואר 2023 | לא נתמך (11 בדצמבר 2023) |
| 1.15 | 25 באוקטובר 2022 | לא נתמך (4 באוגוסט 2023) |
| 1.14 | 20 ביולי 2022 | לא נתמך (20 באפריל 2023) |
| 1.13 | 30 במרץ 2022 | לא נתמך (8 בפברואר 2023) |
| 1.12 | 9 בדצמבר 2021 | לא נתמך (25 באוקטובר 2022) |
| 1.11 | 6 באוקטובר 2021 | לא נתמך (20 ביולי 2022) |
| 1.10 | 24 ביוני 2021 | לא נתמך (30 במרץ 2022) |
| 1.9 | 4 במרץ 2021 | לא נתמך (14 בדצמבר 2021) |
| 1.8 | 15 בדצמבר 2020 | לא נתמך (14 בדצמבר 2021) |
| 1.7 | 3 בנובמבר 2020 | לא נתמך (14 בדצמבר 2021) |
| 1.6 | 30 ביוני 2020 | לא נתמך (30 במרץ 2021) |
| 1.5 | 20 במאי 2020 | לא נתמך (17 בפברואר 2021) |
| 1.4 | 20 בדצמבר 2019 | לא נתמך (18 בספטמבר 2020) |
מידע נוסף על מדיניות התמיכה שלנו זמין במאמר בנושא קבלת תמיכה.
הבדלים בין הפלטפורמות
יש הבדלים בתכונות הנתמכות בין הפלטפורמות הנתמכות.
העמודות Other GKE Enterprise clusters מתייחסות לאשכולות שנמצאים מחוץ ל- Google Cloud, לדוגמה:
Google Distributed Cloud:
- Google Distributed Cloud (תוכנה בלבד) ל-VMware
- Google Distributed Cloud (תוכנה בלבד) לשרת פיזי
בדף הזה נעשה שימוש ב-Google Distributed Cloud במקרים שבהם אותה תמיכה זמינה גם ב-Google Distributed Cloud (תוכנה בלבד) ל-VMware וגם ב-Google Distributed Cloud (תוכנה בלבד) לשרת פיזי, וגם בפלטפורמה הספציפית שבה יש הבדלים בין הפלטפורמות.
GKE Enterprise בעננים ציבוריים אחרים:
אשכולות GKE מצורפים – אשכולות Kubernetes של צד שלישי שנרשמו ב-Fleet. יש תמיכה ב-Cloud Service Mesh בסוגי האשכולות הבאים:
- אשכולות Amazon EKS
- אשכולות Microsoft AKS
בטבלאות הבאות:
- – מציין שהתכונה מופעלת כברירת מחדל.
- * – מציין שהתכונה נתמכת בפלטפורמה וניתן להפעיל אותה, כמו שמתואר במאמר הפעלת תכונות אופציונליות או במדריך התכונות שמקושר בטבלת התכונות.
- תואם – מציין שהתכונה או הכלי של צד שלישי ישתלבו או יעבדו עם Cloud Service Mesh, אבל לא נתמכים באופן מלא על ידי Google Cloud Support, ואין מדריך לתכונה.
- – מציין שהתכונה לא זמינה או שלא נתמכת ב-Cloud Service Mesh 1.28.2.
התכונות שמוגדרות כברירת מחדל והתכונות האופציונליות נתמכות באופן מלא על ידי Google Cloud התמיכה. תכונות שלא מופיעות במפורש בטבלאות מקבלות תמיכה במידת האפשר.
אבטחה
מנגנונים להפצה או לרוטציה של אישורים
| תכונה | אשכולות GKE ב- Google Cloud | אשכולות אחרים של GKE Enterprise |
|---|---|---|
| ניהול אישורים של עומסי עבודה | ||
| ניהול אישורים חיצוניים בשערי ingress ו-egress. |
תמיכה ברשות אישורים (CA)
| תכונה | אשכולות GKE ב- Google Cloud | אשכולות GKE Enterprise מקומיים | אשכולות אחרים של GKE Enterprise |
|---|---|---|---|
| רשות אישורים (CA) של Cloud Service Mesh | |||
| Certificate Authority Service | * | * | |
| Istio CA (לשעבר Citadel) | * | * | |
| חיבור אישורי CA משלכם | יש תמיכה בשירות CA וב-Istio CA | יש תמיכה בשירות CA וב-Istio CA | נתמך על ידי Istio CA |
אמצעי האבטחה של Anthos Service Mesh
בנוסף לתמיכה בתכונות האבטחה של Istio, Cloud Service Mesh מספק עוד יכולות שיעזרו לכם לאבטח את האפליקציות.
| תכונה | אשכולות GKE ב- Google Cloud | Distributed Cloud | GKE Multi-cloud | אשכולות אחרים של GKE Enterprise |
|---|---|---|---|---|
| IAP integration | ||||
| אימות משתמשי קצה | ||||
| מדיניות ביקורת (תצוגה מקדימה) | * | |||
| מצב הרצה יבשה | ||||
| רישום ביומן של דחיות |
מדיניות הרשאות
| תכונה | אשכולות GKE ב- Google Cloud | אשכולות אחרים של GKE Enterprise |
|---|---|---|
| מדיניות הרשאות v1beta1 |
מדיניות אימות
אימות בחיבור ישיר
| תכונה | אשכולות GKE ב- Google Cloud | אשכולות אחרים של GKE Enterprise |
|---|---|---|
| mTLS אוטומטי | ||
| מצב mTLS PERMISSIVE |
מידע על הפעלת מצב mTLS STRICT זמין במאמר בנושא הגדרת אבטחת תעבורה.
בקשת אימות
| תכונה | אשכולות GKE ב- Google Cloud | אשכולות אחרים של GKE Enterprise |
|---|---|---|
| אימות JWT (הערה 1) |
הערות:
- האפשרות 'JWT של צד שלישי' מופעלת כברירת מחדל.
תמונות בסיסיות
| תכונה | אשכולות GKE ב- Google Cloud | אשכולות אחרים של GKE Enterprise |
|---|---|---|
| תמונת proxy ללא הפצה |
Telemetry
מדדים
| תכונה | אשכולות GKE ב- Google Cloud | אשכולות GKE Enterprise מקומיים | אשכולות אחרים של GKE Enterprise |
|---|---|---|---|
| Cloud Monitoring (מדדי HTTP בשרת proxy) | |||
| Cloud Monitoring (מדדים של TCP בשרת proxy) | |||
| Istio Telemetry API | |||
| מתאמים או קצה עורפי בהתאמה אישית, בתוך התהליך או מחוצה לו | |||
| קצה עורפי שרירותי לטלמטריה ולרישום ביומן | |||
| ייצוא מדדים של Prometheus ללוחות בקרה של Prometheus, Grafana ו-Kiali שהותקנו על ידי הלקוח | תואם | תואם | תואם |
| השירות המנוהל של Google Cloud ל-Prometheus, לא כולל לוח הבקרה של Cloud Service Mesh | |||
| תרשים הטופולוגיה במסוף Google Cloud לא משתמש יותר בשירות הטלמטריה Mesh כמקור הנתונים שלו. למרות שמקור הנתונים של תרשים הטופולוגיה השתנה, ממשק המשתמש נשאר זהה. | |||
רישום ביומן של בקשות משרת proxy
| תכונה | אשכולות GKE ב- Google Cloud | אשכולות GKE Enterprise מקומיים | אשכולות אחרים של GKE Enterprise |
|---|---|---|---|
| יומני תעבורת נתונים | |||
| יומני גישה | * | * | * |
סקיצה
| תכונה | אשכולות GKE ב- Google Cloud | אשכולות GKE Enterprise מקומיים | אשכולות אחרים של GKE Enterprise |
|---|---|---|---|
| Cloud Trace | * | * | |
| מעקב ב-Jaeger (מאפשר שימוש ב-Jaeger בניהול הלקוח) | תואם | תואם | תואם |
| מעקב ב-Zipkin (מאפשר שימוש ב-Zipkin בניהול הלקוח) | תואם | תואם | תואם |
Networking
מנגנון ליירוט או להפניה מחדש של תנועת גולשים
| תכונה | אשכולות GKE ב- Google Cloud | אשכולות אחרים של GKE Enterprise |
|---|---|---|
שימוש מסורתי ב-iptables באמצעות קונטיינרים של init עם CAP_NET_ADMIN |
||
| ממשק רשת של קונטיינר (CNI) | * | * |
תמיכה בפרוטוקולים
אין תמיכה בשירותים שמוגדרים עם יכולות של שכבה 7 עבור הפרוטוקולים הבאים: WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ, Cloud SQL. יכול להיות שאפשר להשתמש בפרוטוקול באמצעות תמיכה בזרם בייטים של TCP. אם אי אפשר להשתמש בזרם הבייטים של TCP כדי לתמוך בפרוטוקול (לדוגמה, אם Kafka שולח כתובת הפניה אוטומטית בתשובה ספציפית לפרוטוקול, וההפניה האוטומטית הזו לא תואמת ללוגיקת הניתוב של Cloud Service Mesh), הפרוטוקול לא נתמך.
| תכונה | אשכולות GKE ב- Google Cloud | אשכולות אחרים של GKE Enterprise |
|---|---|---|
| IPv4 | ||
| HTTP/1.1 | ||
| HTTP/2 | ||
| זרמי בייטים של TCP (הערה 1) | ||
| gRPC | ||
| IPv6 |
הערות:
- למרות ש-TCP הוא פרוטוקול נתמך לרשתות, מדדי TCP לא נאספים ולא מדווחים. המדדים מוצגים רק לשירותי HTTP ב Google Cloud מסוף.
פריסות של Envoy
| תכונה | אשכולות GKE ב- Google Cloud | אשכולות אחרים של GKE Enterprise |
|---|---|---|
| Sidecars | ||
| שער תעבורת נתונים נכנסת (Ingress) | ||
| יציאה ישירה מ-sidecars | ||
| תעבורת נתונים יוצאת (egress) באמצעות שערים לתעבורת נתונים יוצאת | * | * |
תמיכה ב-CRD
| תכונה | אשכולות GKE ב- Google Cloud | אשכולות אחרים של GKE Enterprise |
|---|---|---|
| תמיכה ב-Istio API (חריגים מפורטים בהמשך) | ||
| מסנני Envoy בהתאמה אישית |
מאזן עומסים ל-Istio ingress gateway
| תכונה | אשכולות GKE ב- Google Cloud | אשכולות אחרים של GKE Enterprise |
|---|---|---|
| מאזן עומסים חיצוני של צד שלישי | ||
| Google Cloud מאזן עומסים פנימי | * | לא נתמך. הקישורים שבהמשך יכולים לעזור. |
למידע על הגדרת מאזני עומסים, אפשר לעיין במאמרים הבאים:
- הגדרת מאזן העומסים ל-Google Distributed Cloud
- GKE ב-AWS: יצירת מאזן עומסים
- חשיפת שער כניסה באמצעות מאזן עומסים חיצוני
Kubernetes Gateway API (תצוגה מקדימה)
ב-Cloud Service Mesh גרסה 1.20, Kubernetes Gateway API זמין כגרסת טרום-השקה ציבורית.
| תכונה | אשכולות GKE ב- Google Cloud | אשכולות אחרים של GKE Enterprise |
|---|---|---|
| תעבורת נתונים נכנסת (Ingress) | ||
שער עם class: istio |
||
HttpRoute באמצעות parentRef |
||
| תנועה ברשת Mesh | ||
הגדרת CRD של Istio באמצעות השדה targetRefכולל AuthorizationPolicy, RequestAuthentication, Telemetry ו-WasmPlugin |
אם אתם משתמשים באשכולות מצורפים של Microsoft AKS או באשכולות GKE ב-Azure, אתם צריכים להגדיר את ההערה הבאה למשאב השער כדי להגדיר בדיקות תקינות ב-TCP:
service.beta.kubernetes.io/port_80_health-probe_protocol: tcp
אחרת, תנועת HTTP לא תתקבל.
דרישות לגרסת טרום-השקה של Kubernetes Gateway API
הדרישות לגרסת הטרום-השקה של Kubernetes Gateway API הן:
שימוש בהתנהגות ברירת המחדל של פריסות אוטומטיות עבור שערים.
משתמשים ב-
HttpRouteCRD להגדרות ניתוב. ל-HttpRouteצריך להיותparentRefשמפנה לשער.אל תשתמשו ב-CR של Istio Gateway וב-CR של Kubernetes Gateway API באותו אשכול.
כללי מדיניות לאיזון עומסים
| תכונה | אשכולות GKE ב- Google Cloud | אשכולות אחרים של GKE Enterprise |
|---|---|---|
| סדר אקראי | ||
| הכי פחות חיבורים | ||
| אקראי | ||
| מצב Passthrough | ||
| גיבוב עקבי | ||
| רשות מוניציפאלית |
מידע נוסף על מדיניות איזון עומסים זמין במאמר בנושא כללי יעד.
תמיכה באשכולות מרובים
בפריסות מרובות של אשכולות GKE בפרויקטים שונים, כל האשכולות צריכים להיות בענן וירטואלי פרטי (VPC) משותף.
רשת
| תכונה | אשכולות GKE ב- Google Cloud | אשכולות GKE Enterprise מקומיים | GKE ב-AWS | GKE ב-Azure | אשכולות מצורפים |
|---|---|---|---|---|---|
| רשת אחת | |||||
| רשתות מרובות |
הערות:
- בשלב הזה, באשכולות מצורפים יש תמיכה רק ברשתות מרובות אשכולות שפועלות בפלטפורמה אחת (Microsoft AKS, Amazon EKS).
מודל הפריסה
| תכונה | אשכולות GKE ב- Google Cloud | אשכולות GKE Enterprise מקומיים | GKE Enterprise בעננים ציבוריים אחרים | אשכולות מצורפים |
|---|---|---|---|---|
| צבעים ראשוניים מרובים | ||||
| Primary-remote |
הערות לגבי טרמינולוגיה:
קלאסטר ראשי הוא קלאסטר עם מישור בקרה. לרשת אחת יכולים להיות יותר מאשכול ראשי אחד כדי להבטיח זמינות גבוהה או כדי להפחית את זמן האחזור. בתיעוד של Istio 1.7, פריסה עם כמה ראשיים נקראת מישור בקרה משוכפל.
אשכול מרוחק הוא אשכול שמתחבר למישור בקרה שנמצא מחוץ לאשכול. אשכול מרוחק יכול להתחבר למישור בקרה שפועל באשכול ראשי או למישור בקרה חיצוני.
Cloud Service Mesh משתמש בהגדרה פשוטה של רשת שמבוססת על קישוריות כללית. מופעי עומס עבודה נמצאים באותה רשת אם הם יכולים לתקשר ישירות, בלי שער.
ממשק משתמש
| תכונה | אשכולות GKE ב- Google Cloud | Google Distributed Cloud | Google Distributed Cloud | אשכולות אחרים של GKE Enterprise |
|---|---|---|---|---|
| לוחות בקרה של Cloud Service Mesh במסוף Google Cloud | * | * | * | |
| Cloud Monitoring | * | |||
| Cloud Logging | * | |||
| Cloud Trace | * |
הערה: באשכולות מקומיים נדרשת GKE Enterprise בגרסה 1.11 ואילך. מידע נוסף על שדרוג זמין במאמרים שדרוג Google Distributed Cloud או שדרוג Google Distributed Cloud.