Questa guida descrive come configurare Cloud Service Mesh gestito su una Cluster Autopilot di Google Kubernetes Engine (GKE). Cloud Service Mesh è un mesh di servizi completamente gestiti basato su Istio.
Questo tutorial mostra come configurare un mesh di servizi pronto per la produzione in esecuzione su un singolo cluster GKE Autopilot con impostazioni predefinite. Ti consigliamo di consultare anche la versione Guida al provisioning di Cloud Service Mesh quando progetti il tuo ambiente.
Vantaggi dell'esecuzione di Cloud Service Mesh gestito con GKE Autopilot
Quando usi GKE in modalità Autopilot, Google gestisce per configurare e gestire il cluster automaticamente. Modalità Autopilot semplifica l'esperienza di gestione di un cluster e ti consente di concentrarti diverse applicazioni. Allo stesso modo, Cloud Service Mesh gestito è un servizio mesh di servizi di cui puoi eseguire il provisioning seguendo alcuni passaggi.
- Esegui il provisioning di Cloud Service Mesh gestito utilizzando
API Fleet, senza la necessità
per gli strumenti lato client come
istioctl
. - Cloud Service Mesh inserisce automaticamente i proxy sidecar nei carichi di lavoro senza dover concedere privilegi elevati ai container.
- Puoi visualizzare dashboard avanzate per la tua rete mesh e i tuoi servizi senza alcun bisogno configurazione aggiuntiva e poi utilizzare queste metriche per configurare il livello di servizio (SLO) e avvisi per monitorare l'integrità delle tue applicazioni
- L'upgrade del piano di controllo Cloud Service Mesh gestito viene eseguito automaticamente a assicurati di avere a disposizione le patch e le funzionalità di sicurezza più recenti
- Il piano dati gestito di Cloud Service Mesh esegue automaticamente l'upgrade del file collaterale nei tuoi carichi di lavoro, in modo che non sia necessario riavviare i servizi quando sono disponibili upgrade del proxy e patch di sicurezza
- Cloud Service Mesh è un prodotto supportato e può essere configurato utilizzando le API Istio open source standard. Consulta: funzionalità supportate.
Obiettivi
- Crea un cluster GKE Autopilot
- Esegui il provisioning di Cloud Service Mesh gestito utilizzando l'API Fleet
- Esegui il deployment dei gateway mesh in entrata in uno spazio dei nomi dedicato
- Deployment di un'applicazione di esempio
- Configurare Cloud Service Mesh per applicare il protocollo TLS reciproco rigoroso (mTLS) autenticazione per le comunicazioni tra servizi
- Visualizzare le dashboard di Cloud Service Mesh e verificare che i servizi si connettano mTLS
Costi
In questo documento vengono utilizzati i seguenti componenti fatturabili di Google Cloud:
Per generare una stima dei costi basata sull'utilizzo previsto,
utilizza il Calcolatore prezzi.
Una volta completate le attività descritte in questo documento, puoi evitare la fatturazione continua eliminando le risorse che hai creato. Per ulteriori informazioni, consulta la pagina Pulizia.
Prima di iniziare
Cloud Shell è preinstallato con il software di cui hai bisogno
per questo tutorial, inclusi
kubectl
,
gcloud CLI, Helm,
e Terraform. Se non utilizzi Cloud Shell, devi
installare gcloud CLI.
- Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Create or select a Google Cloud project.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_ID
with a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_ID
with your Google Cloud project name.
-
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Create or select a Google Cloud project.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_ID
with a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_ID
with your Google Cloud project name.
-
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Grant roles to your user account. Run the following command once for each of the following IAM roles:
roles/container.containerAdmin, roles/gkehub.admin, roles/serviceusage.serviceUsageAdmin
gcloud projects add-iam-policy-binding PROJECT_ID --member="USER_IDENTIFIER" --role=ROLE
- Replace
PROJECT_ID
with your project ID. -
Replace
USER_IDENTIFIER
with the identifier for your user account. For example,user:[email protected]
. - Replace
ROLE
with each individual role.
- Replace
Configura l'ambiente
Puoi configurare il tuo ambiente utilizzando gcloud CLI o Terraform.
gcloud
Imposta le variabili di ambiente:
PROJECT_ID=PROJECT_ID gcloud config set project ${PROJECT_ID}
Abilita l'API Mesh:
gcloud services enable mesh.googleapis.com
L'abilitazione di mesh.googleapis.com abilita le seguenti API:
API Finalità Può essere disattivato meshconfig.googleapis.com
Cloud Service Mesh utilizza l'API di configurazione mesh per inoltrare di configurazione automatica dal mesh a Google Cloud. Inoltre, l'abilitazione dell'API Mesh Configuration ti consente di accedere ai alle pagine Cloud Service Mesh nella console Google Cloud e per utilizzare dell'autorità di certificazione Cloud Service Mesh. No meshca.googleapis.com
Contenuti correlati all'autorità di certificazione Cloud Service Mesh utilizzata da Cloud Service Mesh gestito. No container.googleapis.com
Necessaria per creare cluster Google Kubernetes Engine (GKE). No gkehub.googleapis.com
Necessaria per gestire la rete mesh come flotta. No monitoring.googleapis.com
Necessaria per acquisire dati di telemetria per i carichi di lavoro mesh. No stackdriver.googleapis.com
Necessaria per utilizzare l'UI dei Servizi. No opsconfigmonitoring.googleapis.com
Richiesta per utilizzare l'interfaccia utente dei servizi al di fuori di Google Cloud cluster. No connectgateway.googleapis.com
Obbligatorio per il piano di controllo Cloud Service Mesh gestito possono accedere ai carichi di lavoro mesh. Sì* trafficdirector.googleapis.com
Abilita un piano di controllo gestito scalabile e a disponibilità elevata. Sì* networkservices.googleapis.com
Abilita un piano di controllo gestito scalabile e a disponibilità elevata. Sì* networksecurity.googleapis.com
Abilita un piano di controllo gestito scalabile e a disponibilità elevata. Sì*
Terraform
gcloud config set project PROJECT_ID
GOOGLE_CLOUD_PROJECT=$(gcloud config get-value project)
export GOOGLE_CLOUD_PROJECT
Crea un cluster GKE
Crea un cluster GKE in modalità Autopilot.
gcloud
Crea un cluster, registrato come membro di un parco risorse:
gcloud container clusters create-auto asm-cluster \ --location="us-central1" \ --enable-fleet
Verifica che il cluster sia registrato nel parco risorse:
gcloud container fleet memberships list
L'output è simile al seguente:
NAME: asm-cluster EXTERNAL_ID: LOCATION: us-central1
Prendi nota del nome dell'appartenenza, perché ti serve per configurare Cloud Service Mesh.
Terraform
Per creare un cluster GKE, puoi utilizzare google_container_cluster
risorsa. Hai impostato il blocco fleet
in modo che
viene aggiunto a un parco risorse quando viene creato.
Per scoprire come applicare o rimuovere una configurazione Terraform, consulta: Comandi Terraform di base.
Esegui il provisioning del mesh di servizi Cloud gestito
Esegui il provisioning di Cloud Service Mesh gestito utilizzando la funzionalità servicemesh
nella
l'abbonamento al parco risorse per il tuo cluster.
gcloud
Abilita la funzionalità del parco risorse Cloud Service Mesh sul progetto:
gcloud container fleet mesh enable
Abilita la gestione automatica del mesh:
gcloud container fleet mesh update \ --management=automatic \ --memberships=MEMBERSHIP_NAME \ --location=us-central1
Sostituisci
MEMBERSHIP_NAME
con l'abbonamento indicato quando hai verificato che il cluster è registrato nell'istanza parco risorse.
Terraform
Per abilitare l'API mesh, puoi utilizzare la risorsa google_project_service
.
Utilizzi la google_gke_hub_feature
e
google_gke_hub_feature_membership
per configurare Cloud Service Mesh gestito sul tuo cluster.
Per scoprire come applicare o rimuovere una configurazione Terraform, consulta: Comandi Terraform di base.
Verifica che il piano di controllo sia attivo
Attendi fino a quando controlPlaneManagement.state
non è ACTIVE
. Questo potrebbe
possono richiedere fino a 15 minuti.
watch -n 30 gcloud container fleet mesh describe
L'output è simile a questo:
membershipSpecs:
projects/746296320118/locations/us-central1/memberships/asm-cluster:
mesh:
management: MANAGEMENT_AUTOMATIC
membershipStates:
projects/746296320118/locations/us-central1/memberships/asm-cluster:
servicemesh:
controlPlaneManagement:
details:
- code: REVISION_READY
details: 'Ready: asm-managed'
state: ACTIVE
dataPlaneManagement:
details:
- code: PROVISIONING
details: Service is provisioning.
state: PROVISIONING
state:
code: OK
description: 'Revision(s) ready for use: asm-managed.'
La sezione dataPlaneManagement
rimane nello stato PROVISIONING
fino a quando
esegui il deployment del gateway in entrata, perché i cluster Autopilot non
dei nodi fino al deployment di un carico di lavoro.
Esegui il deployment di un gateway mesh in entrata
In questa sezione eseguirai il deployment di un gateway mesh in entrata per gestire il traffico in entrata per l'applicazione di esempio. Un gateway in entrata è un bilanciatore del carico che opera al perimetro della rete mesh, riceve connessioni HTTP/TCP in entrata o in uscita.
Esegui il deployment del gateway in uno spazio dei nomi dedicato ed etichetti il deployment in assicurati che il gateway possa essere gestito in modo sicuro e aggiornato automaticamente dal piano di controllo Cloud Service Mesh.
Scarica le credenziali per accedere al cluster:
gcloud container clusters get-credentials asm-cluster --location=us-central1
Crea uno spazio dei nomi per il deployment del gateway:
kubectl create namespace bank-gateways
Aggiungi un'etichetta allo spazio dei nomi in modo che il piano di controllo Cloud Service Mesh venga automaticamente inserisce la configurazione del gateway nel deployment.
kubectl label namespace bank-gateways istio-injection=enabled
Esegui il deployment del gateway in entrata nello spazio dei nomi:
Helm
helm repo add istio https://istio-release.storage.googleapis.com/charts helm repo update helm install --wait --namespace bank-gateways \ --set resources.requests.cpu=250m \ --set resources.requests.memory=512Mi \ --set resources.requests.ephemeral-storage=1Gi \ --set resources.limits.cpu=250m \ --set resources.limits.memory=512Mi \ --set resources.limits.ephemeral-storage=1Gi \ istio-ingressgateway istio/gateway
kubectl
kubectl apply -n bank-gateways \ -k https://github.com/GoogleCloudPlatform/anthos-service-mesh-packages/tree/main/samples/gateways/istio-ingressgateway kubectl -n bank-gateway wait "deployment/istio-ingressgateway" \ --for=condition=available --timeout=240s
Assicurati di impostare richieste di risorse adeguate quando esegui il deployment in un nell'ambiente di produzione. GKE Autopilot prende in considerazione solo valori delle risorse impostati in
requests
e non inlimits
. Il progetto Istio pubblica informazioni su prestazioni e scalabilità.
Esegui il deployment dell'applicazione di esempio
Crea uno spazio dei nomi Kubernetes per il deployment:
kubectl create namespace bank-sample
Aggiungi un'etichetta allo spazio dei nomi in modo che Cloud Service Mesh esegua automaticamente inserisce proxy sidecar nei pod di esempio:
kubectl label namespace bank-sample istio-injection=enabled
Esegui il deployment dell'applicazione di esempio:
git clone https://github.com/GoogleCloudPlatform/bank-of-anthos.git kubectl apply -n bank-sample -f bank-of-anthos/extras/jwt/jwt-secret.yaml kubectl apply -n bank-sample -f bank-of-anthos/kubernetes-manifests/
Attendi che l'applicazione sia pronta. L'operazione richiederà alcuni minuti.
watch kubectl -n bank-sample get pods
Quando l'applicazione è pronta, l'output è simile al seguente:
NAME READY STATUS RESTARTS AGE accounts-db-0 2/2 Running 0 2m16s balancereader-5c695f78f5-x4wlz 2/2 Running 0 3m8s contacts-557fc79c5-5d7fg 2/2 Running 0 3m7s frontend-7dd589c5d7-b4cgq 2/2 Running 0 3m7s ledger-db-0 2/2 Running 0 3m6s ledgerwriter-6497f5cf9b-25c6x 2/2 Running 0 3m5s loadgenerator-57f6896fd6-lx5df 2/2 Running 0 3m5s transactionhistory-6c498965f-tl2sk 2/2 Running 0 3m4s userservice-95f44b65b-mlk2p 2/2 Running 0 3m4s
Crea risorse Istio
Gateway
eVirtualService
per esporre dietro il gateway in entrata:kubectl apply -n bank-sample -f bank-of-anthos/extras/istio/frontend-ingress.yaml
Ottieni un link all'applicazione di esempio:
INGRESS_HOST=$(kubectl -n bank-gateways get service istio-ingressgateway \ -o jsonpath='{.status.loadBalancer.ingress[0].ip}') echo "http://$INGRESS_HOST"
In un browser, segui il link per aprire l'applicazione di esempio. Accedi con nome utente e password predefiniti per visualizzare l'applicazione.
Forza l'applicazione di TLS reciproci
Assicurati che sia attivata la modalità TLS reciproco (mTLS) STRICT. Applica un valore predefinito
Criterio PeerAuthentication
per il mesh nello spazio dei nomi del sistema Istio.
Salva il seguente manifest come
mesh-peer-authn.yaml
:apiVersion: "security.istio.io/v1beta1" kind: "PeerAuthentication" metadata: name: "default" namespace: "istio-system" spec: mtls: mode: STRICT
Applica il manifest al cluster:
kubectl apply -f mesh-peer-authn.yaml
Puoi eseguire l'override di questa configurazione creando PeerAuthentication
risorse
in spazi dei nomi specifici.
Esplora le dashboard di Cloud Service Mesh
Nella console Google Cloud, vai a Cloud Service Mesh per visualizzare dashboard per la tua rete mesh:
Seleziona il progetto dall'elenco a discesa sulla barra dei menu.
Viene visualizzata una tabella panoramica con tutti i microservizi nel tuo mesh e una visualizzazione grafica delle connessioni tra i microservizi. Per per ogni microservizio, la tabella mostra tre "indicatori aurei":
- Traffico - richieste al secondo
- Tasso di errori - una percentuale
- Latenza: millisecondi
Queste metriche si basano sul traffico effettivo gestito dalla di microservizi. Il traffico di prova costante viene inviato automaticamente Servizio
frontend
di un clientloadgenerator
di cui è stato eseguito il deployment nell'ambito di dell'applicazione di esempio. Cloud Service Mesh invia automaticamente le metriche, log e (facoltativamente) analisi di Google Cloud Observability.Fai clic sul servizio
frontend
nella tabella per vedere una dashboard di panoramica per il servizio. Vedi metriche aggiuntive per il servizio e una visualizzazione dei dati e connessioni in uscita. Puoi anche creare un oggetto livello di servizio (SLO) per il monitoraggio e gli avvisi sul servizio.
Verifica che mTLS sia abilitato
Fai clic sul link per la sicurezza.
nel riquadro per vedere una panoramica della sicurezza per il servizio frontend
.
La tabella e la visualizzazione mostrano un'icona lucchetto verde per ogni richiesta in entrata
e in uscita tra microservizi. Questa icona indica che
utilizza mTLS per l'autenticazione e la crittografia.
Esegui la pulizia
Per evitare che al tuo Account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.
Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate. in questo tutorial:
Elimina il progetto
Elimina un progetto Google Cloud:
gcloud projects delete PROJECT_ID
Elimina le singole risorse
Se hai utilizzato un progetto esistente e non vuoi eliminarlo, elimina il alle singole risorse.
gcloud
Elimina l'applicazione e i gateway di esempio:
kubectl delete namespace bank-sample kubectl delete namespace bank-gateways
Elimina il cluster GKE:
gcloud container clusters delete --region us-central1 asm-cluster --quiet
Terraform
Elimina le risorse che hai creato con Terraform:
terraform destroy