Voraussetzungen für Cloud Service Mesh
Auf dieser Seite werden die Voraussetzungen und Anforderungen für die Installation von Cloud Service Mesh beschrieben, z. B. die GKE Enterprise-Lizenzierung, Cluster- und Flottenanforderungen sowie allgemeine Anforderungen.
Cloud-Projekt
Hinweise:
Wählen Sie ein Google Cloud-Projekt aus oder erstellen Sie eines.
Prüfen Sie, ob die Abrechnung aktiviert ist für Ihr Projekt.
GKE Enterprise-Lizenzierung
GKE
Cloud Service Mesh ist mit GKE Enterprise oder als eigenständiger Dienst verfügbar.
Die Abrechnung erfolgt über Google APIs. Aktivieren Sie die GKE Enterprise API nicht in Ihrem Projekt, wenn Sie Cloud Service Mesh als eigenständigen Dienst verwenden möchten.
Die asmcli aktiviert alle anderen erforderlichen Google APIs für Sie. Informationen zu den Preisen von Cloud Service Mesh finden Sie unter Preise.
- GKE Enterprise-Abonnenten müssen die GKE Enterprise API aktivieren.
Wenn Sie kein GKE Enterprise-Abonnent sind, können Sie trotzdem Cloud Service Mesh installieren. Bestimmte UI-Elemente und Features in der Google Cloud Console sind jedoch nur für GKE Enterprise-Abonnenten verfügbar. Informationen dazu, welche Funktionen Abonnenten und Nicht-Abonnenten zur Verfügung stehen, finden Sie unter Unterschiede zwischen GKE Enterprise und Cloud Service Mesh in der Benutzeroberfläche.
Wenn Sie die GKE Enterprise API aktiviert haben, jedoch Cloud Service Mesh als eigenständigen Dienst verwenden möchten, deaktivieren Sie die GKE Enterprise API.
Außerhalb von Google Cloud
Um Cloud Service Mesh lokal, in GKE in AWS, in Amazon EKS oder bei Microsoft AKS zu installieren, müssen Sie ein GKE Enterprise-Kunde sein. GKE Enterprise-Kunden werden die Gebühren für Cloud Service Mesh nicht separat in Rechnung gestellt, da diese bereits in den Kosten für GKE Enterprise enthalten sind. Weitere Informationen finden Sie unter siehe den Leitfaden zu den Preisen von GKE Enterprise.
Allgemeine Voraussetzungen
Für die Aufnahme in das Service Mesh müssen Dienstports benannt werden und der Name muss das Protokoll des Ports in der folgenden Syntax enthalten:
name: protocol[-suffix], wobei die eckigen Klammern ein optionales Suffix angeben, das mit einem Bindestrich beginnen muss. Weitere Informationen finden Sie unter Dienstports benennen.Wenn Sie in Ihrer Organisation einen Dienstperimeter erstellt haben, müssen Sie möglicherweise den Dienst für die Cloud Service Mesh-Zertifizierungsstelle dem Perimeter hinzufügen. Weitere Informationen finden Sie unter Cloud Service Mesh-Zertifizierungsstelle einem Dienstperimeter hinzufügen.
Wenn Sie die standardmäßigen Ressourcenlimits für den
istio-proxySidecar-Container ändern möchten, müssen die neuen Werte größer als die Standardwerte sein, um Ereignisse aufgrund von Speicherplatzmangel zu vermeiden.Mit einem Google Cloud Projekt kann nur ein Mesh verknüpft sein.
Clusteranforderungen
GKE
Prüfen Sie, ob Ihre Clusterversion unter Unterstützte Plattformen aufgeführt ist.
Ihr GKE-Cluster muss die folgenden Anforderungen erfüllen:
Der GKE-Cluster muss Standard sein. Autopilot-Cluster werden nur mit verwalteten Cloud Service Mesh unterstützt.
Ein Maschinentyp mit mindestens vier vCPUs, z. B.
e2-standard-4. Wenn der Maschinentyp für Ihren Cluster nicht mindestens vier vCPUs hat, ändern Sie den Maschinentyp, wie unter Arbeitslasten zu anderen Maschinentypen migrieren beschrieben.Die Mindestanzahl an Knoten hängt vom Maschinentyp ab. Cloud Service Mesh erfordert mindestens acht vCPUs. Wenn der Maschinentyp vier vCPUs hat, muss der Cluster mindestens zwei Knoten haben. Hat der Maschinentyp acht vCPUs, benötigt der Cluster nur einen Knoten. Informationen zum Hinzufügen von Knoten finden Sie unter Größe eines Clusters anpassen.
GKE Workload Identity ist erforderlich. Wir empfehlen, Workload Identity zu aktivieren, bevor Sie Cloud Service Mesh installieren. Wenn Sie Workload Identity aktivieren, ändert sich die Art und Weise, wie Aufrufe Ihrer Arbeitslasten an Google APIs gesichert werden. Weitere Informationen hierzu finden Sie unter Einschränkungen bei Workload Identity. Der GKE-Metadatenserver muss nicht auf vorhandenen Knotenpools aktiviert werden.
Es wird empfohlen, den Cluster in einer Release-Version zu registrieren. Dies ist jedoch optional. Wir empfehlen, sich für die Release-Version „Regular“ zu registrieren, da andere Versionen möglicherweise auf einer GKE-Version basieren, die mit Cloud Service Mesh nicht unterstützt wird 1.28.7. Weitere Informationen finden Sie unter Unterstützte Plattformen. Folgen Sie der Anleitung unter Vorhandenen Cluster in einer Release-Version registrieren , wenn Sie eine statische GKE-Version haben.
Wenn Sie Cloud Service Mesh in einem privaten Cluster installieren, müssen Sie Port 15017 in der Firewall öffnen, damit die Webhooks verwendet werden, die für die automatische Sidecar-Einfügung und Konfigurations validierung verwendet werden. Weitere Informationen finden Sie unter Port auf einem privaten Cluster öffnen.
Prüfen Sie, ob der Clientcomputer, auf dem Sie Cloud Service Mesh installieren, eine Netzwerkverbindung zum API-Server hat.
Für Windows Server-Arbeitslasten wird Cloud Service Mesh nicht unterstützt. Wenn Ihr Cluster sowohl Linux- als auch Windows Server-Knotenpools hat, können Sie Cloud Service Mesh installieren und auf Ihren Linux-Arbeitslasten verwenden.
- Nach der Bereitstellung von Cloud Service Mesh müssen Sie sich an den Support wenden, bevor Sie die IP-Rotation oder die Rotation von Zertifikatsanmeldedaten initiieren.
Außerhalb Google Cloud
Achten Sie darauf, dass der Nutzercluster, auf dem Sie Cloud Service Mesh installieren, mindestens 4 vCPUs, 15 GB Arbeitsspeicher und 4 Knoten hat.
Prüfen Sie, ob Ihre Clusterversion unter Unterstützte Plattformen aufgeführt ist.
Prüfen Sie, ob der Clientcomputer, auf dem Sie Cloud Service Mesh installieren, eine Netzwerkverbindung zum API-Server hat.
Wenn Sie Sidecars in Anwendungs-Pods bereitstellen, in denen keine direkte Verbindung zu Zertifizierungsstellen-Diensten (z. B.
meshca.googleapis.comundprivateca.googleapis.com) verfügbar ist, müssen Sie einen explizitenCONNECT-basierten HTTPS-Proxy konfigurieren.Bei öffentlichen Clustern mit festgelegten Firewallregeln für ausgehenden Traffic, die implizite Regeln blockieren, müssen Sie HTTP/HTTPS- und DNS-Regeln konfiguriert haben, um öffentliche Google APIs zu erreichen.
Flottenanforderungen
Bei Cloud Service Mesh 1.11 und höher müssen alle Cluster bei einer
Flotteregistriert sein und
Flotten-Workload Identity
muss aktiviert sein. Sie können entweder
die Cluster
selbst einrichten oder die Cluster mit asmcli registrieren lassen, solange sie
die folgenden Anforderungen erfüllen:
GKE: (gilt für clusterinternes und verwaltetes Cloud Service Mesh) Aktivieren Sie GKE Workload Identity in Ihrem Google Kubernetes Engine-Cluster, falls noch nicht aktiviert. Außerdem müssen Sie den Cluster mit Workload Identity für Flotten registrieren.
GKE-Cluster außerhalb Google Cloud: (gilt für clusterinternes Cloud Service Mesh) Google Distributed Cloud, Google Distributed Cloud, GKE in AWS und GKE in Azure werden automatisch in Ihrer Projektflotte zur Cluster-Erstellungszeit registriert. Ab GKE Enterprise 1.8 aktivieren alle diese Clustertypen Workload Identity der Flotte automatisch, wenn sie registriert werden. Vorhandene registrierte Cluster werden bei der Aktualisierung auf GKE Enterprise 1.8 so aktualisiert, dass Workload Identity der Flotte verwendet wird.
Amazon EKS-Cluster: (gilt für clusterinternes Cloud Service Mesh) Der Cluster muss einen öffentlichen IAM-OIDC-Identitätsanbieter haben. Folgen Sie der Anleitung unter IAM-OIDC-Anbieter für Ihren Cluster erstellen um zu prüfen, ob ein Anbieter vorhanden ist, und erstellen Sie bei Bedarf einen Anbieter.
Wenn Sie asmcli install ausführen, geben Sie die Projekt-ID
des
Flottenhostprojekts an.
asmcli registriert den Cluster, falls er noch nicht registriert wurde.