Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
Funciones compatibles con las APIs de Istio (plano de control administrado)
En esta página, se describen las funciones y limitaciones admitidas para Cloud Service Mesh con TRAFFIC_DIRECTOR o ISTIOD como plano de control, y las diferencias entre cada implementación. Ten en cuenta que estas no son opciones que puedes elegir. La implementación de ISTIOD solo está disponible para los usuarios existentes.
Las instalaciones nuevas usan la implementación de TRAFFIC_DIRECTOR cuando es posible.
Las migraciones y actualizaciones solo son compatibles con las versiones 1.9 y posteriores de Cloud Service Mesh en el clúster instaladas con la CA de Mesh. Las instalaciones con la CA de Istio (antes conocida como Citadel) primero se deben migrar a la CA de Mesh.
El escalamiento se limita a 1,000 servicios y 5,000 cargas de trabajo por clúster.
Solo se admite la opción de implementación de varias instancias para varios clústeres; no se admite la opción de implementación principal remota para varios clústeres.
istioctl ps no es compatible. En su lugar, puedes usar los comandos de gcloud beta container fleet mesh debug como se describe en Solución de problemas.
APIs no admitidas:
API EnvoyFilter
API WasmPlugin
API IstioOperator
API Kubernetes Ingress
Puedes usar el plano de control administrado sin una suscripción a GKE Enterprise, pero ciertos elementos de la IU y las funciones de la consola de Google Cloud solo están disponibles para los suscriptores de GKE Enterprise. Si quieres obtener información sobre lo que está disponible para suscriptores y no suscriptores, consulta las diferencias en la IU de GKE Enterprise y Cloud Service Mesh.
Durante el proceso de aprovisionamiento de un plano de control administrado, las CRD de Istio correspondientes al canal seleccionado se instalan en el clúster especificado. Si hay CRD de Istio existentes en el clúster, se reemplazarán.
Cloud Service Mesh administrado solo admite el dominio DNS predeterminado .cluster.local.
Las nuevas instalaciones de Cloud Service Mesh administrado recuperan JWKS solo con proxies de Envoy, a menos que la flota contenga otros clústeres para los que ese comportamiento no esté habilitado. Esto equivale a la opción PILOT_JWT_ENABLE_REMOTE_JWKS=envoy de Istio. En comparación con las instalaciones que no tienen la condición VPCSC_GA_SUPPORTED (consulta a continuación), es posible que necesites una configuración adicional para las configuraciones de ServiceEntry y DestinationRule. Para ver un ejemplo, consulta requestauthn-with-se.yaml.tmpl.
Para determinar si el modo de operación actual es equivalente a PILOT_JWT_ENABLE_REMOTE_JWKS=envoy, debes determinar si se admiten los Controles del servicio de VPC para el plano de control (es decir, si se muestra la condición VPCSC_GA_SUPPORTED).
Diferencias del plano de control
Existen diferencias en las funciones compatibles entre las implementaciones del plano de control de ISTIOD y TRAFFIC_DIRECTOR. Para verificar qué implementación usas, consulta Cómo identificar la implementación del plano de control.
: Indica que la función está disponible y habilitada de forma predeterminada.
†: Indica que las APIs de funciones pueden tener diferencias entre las distintas plataformas.
*: Indica que la función es compatible con la plataforma y se puede habilitar, como se describe en Habilita funciones opcionales o la guía de función vinculada en la tabla de funciones.
§: Indica que la función se admite con una lista de entidades permitidas. Los usuarios anteriores de Anthos Service Mesh administrado se incluyen automáticamente en la lista de entidades permitidas a nivel de la organización.
Comunícate con el Google Cloud equipo de asistencia para solicitar acceso o verificar el estado de tu lista de entidades permitidas.
: Indica que la función no está disponible o no se admite.
Las funciones predeterminadas y opcionales tienen una compatibilidad total con la asistencia de Google Cloud. Las funciones que no aparecen en las tablas de manera explícita reciben la mejor asistencia posible.
Qué determina la implementación del plano de control
Cuando aprovisionas Cloud Service Mesh administrado por primera vez en una flota, determinamos qué implementación del plano de control se usará. La misma implementación se usa para todos los clústeres que aprovisionan Cloud Service Mesh administrado en esa flota.
Las flotas nuevas que se incorporan a Cloud Service Mesh administrado reciben la implementación del plano de control TRAFFIC_DIRECTOR, con ciertas excepciones:
Si ya eres usuario de Cloud Service Mesh administrado, recibirás la implementación del plano de control de ISTIOD cuando incorpores una flota nueva en la misma organización de Google Clouda Cloud Service Mesh administrado, al menos hasta el 30 de junio de 2024.
Si eres uno de estos usuarios, puedes comunicarte con el equipo de asistencia al cliente para ajustar este comportamiento.
Los usuarios cuyo uso existente no sea compatible con la implementación de TRAFFIC_DIRECTOR sin cambios seguirán recibiendo la implementación de ISTIOD hasta el 8 de septiembre de 2024. (Estos usuarios recibieron un Anuncio de Servicio).
Si algún clúster de tu flota usa Certificate Authority Service cuando aprovisionas Cloud Service Mesh administrado, recibirás la implementación del plano de control ISTIOD.
Si algún clúster de GKE en Google Cloud de tu flota contiene un plano de control de Cloud Service Mesh en el clúster cuando aprovisionas Cloud Service Mesh administrado, recibirás la implementación del plano de control de ISTIOD.
Si algún clúster de tu flota usa GKE Sandbox, cuando aprovisiones Cloud Service Mesh administrado, recibirás la implementación del plano de control de ISTIOD.
Funciones compatibles del plano de control administrado
Instalación, actualización y reversión
Función
Administrado (TD)
Administrado (istiod)
Instalación en clústeres de GKE mediante la API de la función de flota
Actualizaciones de las versiones de ASM 1.9 que usan CA de Mesh
Actualizaciones directas (nivel de omisión) de las versiones de Cloud Service Mesh anteriores a 1.9 (consulta las notas para las actualizaciones indirectas)
Actualizaciones directas (nivel de omisión) de Istio OSS (consulta las notas para las actualizaciones indirectas)
Actualizaciones directas (nivel de omisión) del complemento Istio-on-GKE (consulta las notas para las actualizaciones indirectas)
Entornos fuera de Google Cloud (GKE Enterprise on-premises, GKE Enterprise en otras nubes públicas, Amazon EKS, Microsoft AKS o cualquier otro clúster de Kubernetes)
Escala
Función
Administrado (TD)
Administrado (istiod)
1,000 servicios y 5,000 cargas de trabajo por clúster
Descubrimiento de extremos de varios clústeres con la API declarativa
Descubrimiento de extremos de varios clústeres con secretos remotos
Notas sobre la terminología
Una configuración de varias instancias significa que la configuración se debe replicar en todos los clústeres.
Una configuración principal remota significa que un clúster único contiene la configuración y que se considera la fuente de información.
Cloud Service Mesh usa una definición simplificada de la red basada en la conectividad general. Las instancias de carga de trabajo están en la misma red si pueden comunicarse de forma directa, sin una puerta de enlace.
† Cloud Service Mesh con un plano de control administrado (TD) solo admite el tipo de imagen distroless. No puedes cambiarlo.
Ten en cuenta que las imágenes de Distroless tienen archivos binarios mínimos, por lo que no puedes ejecutar los comandos habituales, como bash o curl, porque no están presentes en la imagen de Distroless.
Sin embargo, puedes usar contenedores efímeros para adjuntarlos a un Pod de carga de trabajo en ejecución y, así, poder inspeccionarlo y ejecutar comandos personalizados. Por ejemplo, consulta Cómo recopilar registros de Cloud Service Mesh.
Adaptadores y backends personalizados, dentro o fuera del proceso
Telemetría arbitraria y backends de registro
† El plano de control de TRAFFIC_DIRECTOR admite un subconjunto de la API de telemetría de Istio que se usa para configurar los registros de acceso y el seguimiento. El plano de control de TRAFFIC_DIRECTOR no admite la configuración de la tasa de muestreo de seguimiento.
A pesar de que TCP es un protocolo que se admite para las redes y se recopilan las métricas de TCP, estas no se informan. Las métricas solo se muestran para los servicios HTTP en la consola de Google Cloud .
No se admiten los servicios configurados con funciones de la capa 7 para los siguientes protocolos: WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ y Cloud SQL. Es posible que puedas hacer que el protocolo funcione mediante la compatibilidad con la transmisión de bytes de TCP. Si la transmisión de bytes de TCP no admite el protocolo (por ejemplo, Kafka envía una dirección de redireccionamiento en una respuesta específica del protocolo, y este redireccionamiento no es compatible con la lógica de enrutamiento de Cloud Service Mesh), el protocolo no es compatible.
† IPv6 está disponible como función de redes de pila doble en versión preliminar. En gRPC sin proxy, las funciones de doble pila solo se admiten en gRPC 1.66.1 o versiones posteriores en C++ y Python o gRPC Node.js v1.12. Si intentas configurar funciones de pila dual con una versión de gRPC que no admite pila dual, los clientes usarán solo la primera dirección que envíe Traffic Director.
Implementaciones de Envoy
Función
Administrado (TD)
Administrado (istiod)
Sidecars
Puerta de enlace de entrada
Salida directa desde sidecars
Salida mediante puertas de enlace de salida
*
*
Compatibilidad con CRD
Función
Administrado (TD)
Administrado (istiod)
Recurso de sidecar
Recurso de entrada del servicio
Porcentajes, inserción de errores, coincidencias de rutas de acceso, redireccionamientos, reintentos, reescrituras, tiempo de espera, reintentos, duplicaciones, manipulación de encabezados y reglas de enrutamiento de CORS
Balanceador de cargas para la puerta de enlace de entrada de Istio
Función
Administrado (TD)
Administrado (istiod)
Balanceador de cargas externo de terceros
Google Cloud Balanceador de cargas interno
*
*
Puerta de enlace de Cloud Service Mesh
Función
Administrado (TD)
Administrado (istiod)
Puerta de enlace de Cloud Service Mesh
API de Kubernetes Gateway
Función
Administrado (TD)
Administrado (istiod)
API de Kubernetes Gateway
Políticas de balanceo de cargas
Función
Administrado (TD)
Administrado (istiod)
Round robin
Conexiones mínimas
Aleatorio
Transferencia
Hash coherente
Localidad
GCPTrafficDistributionPolicy
GCPBackendPolicy
Entrada de servicio
Función
Administrado (TD)
Administrado (istiod)
ServiceEntry v1beta1
†
† La implementación del plano de control de TRAFFIC_DIRECTOR no admite los siguientes campos ni valores en los campos:
Campo workloadSelector
Campo endpoints[].network
Campo endpoints[].locality
Campo endpoints[].weight
Campo endpoints[].serviceAccount
Valor de DNS_ROUND_ROBIN en el campo resolution
Valor de MESH_INTERNAL en el campo location
Dirección del socket de dominio Unix en el campo endpoints[].address
Campo subjectAltNames
Regla de destino
Función
Administrado (TD)
Administrado (istiod)
DestinationRule v1beta1
†
† La implementación del plano de control de TRAFFIC_DIRECTOR no admite los siguientes campos.
Campo trafficPolicy.loadBalancer.localityLbSetting
Campo trafficPolicy.tunnel
Campo trafficPolicy.tls.credentialName
Campo trafficPolicy.portLevelSettings[].tls.credentialName
Además, la implementación del plano de control de TRAFFIC_DIRECTOR requiere que la regla de destino que define los subconjuntos esté en el mismo espacio de nombres y clúster que el servicio de Kubernetes o ServiceEntry.
Sidecar
Función
Administrado (TD)
Administrado (istiod)
Sidecar v1beta1
†
† La implementación del plano de control de TRAFFIC_DIRECTOR no admite los siguientes campos ni valores en los campos:
Campo ingress
Campo egress.port
Campo egress.bind
Campo egress.captureMode
Campo inboundConnectionPool
MeshConfig
Función
Administrado (TD)
Administrado (istiod)
LocalityLB
§
ExtensionProviders
§
CACert
ImageType: Distroless
§
OutboundTrafficPolicy
§
defaultProviders.accessLogging
defaultProviders.tracing
defaultConfig.tracing.stackdriver
§
accessLogFile
§
ProxyConfig
Función
Administrado (TD)
Administrado (istiod)
Proxy de DNS (ISTIO_META_DNS_CAPTURE, ISTIO_META_DNS_AUTO_ALLOCATE)
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-10-20 (UTC)"],[],[]]
