Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Unterstützte Features, die Istio APIs verwenden (verwaltete Steuerungsebene)
Auf dieser Seite werden die unterstützten Funktionen und Einschränkungen für
Cloud Service Mesh mit TRAFFIC_DIRECTOR oder ISTIOD als Steuerungsebene und dem
Unterschiede zwischen den einzelnen Implementierungen. Beachten Sie, dass dies keine Optionen sind,
auswählen. Die ISTIOD-Implementierung ist nur für bestehende Nutzer verfügbar.
Für Neuinstallationen wird nach Möglichkeit die TRAFFIC_DIRECTOR-Implementierung verwendet.
Migrationen und Upgrades werden nur vom Cloud Service Mesh im Cluster unterstützt
Version 1.9 oder höher mit Mesh CA installiert. Installationen mit Istio CA (ehemals Citadel) müssen zuerst zu Mesh CA migriert werden.
Die Skalierung ist auf 1.000 Dienste und 5.000 Arbeitslasten pro Cluster beschränkt.
Nur die Multi-Primary-Bereitstellungsoption für Multi-Cluster wird unterstützt, die Primary-Remote-Bereitstellungsoption für Multi-Cluster nicht.
istioctl ps wird nicht unterstützt. Stattdessen können Sie die Methode
gcloud beta container fleet mesh debug-Befehle, wie in
Fehlerbehebung.
Nicht unterstützte APIs:
EnvoyFilter API
WasmPlugin API
IstioOperator API
Kubernetes Ingress API
Sie können die verwaltete Steuerungsebene
ohne GKE Enterprise-Abo verwenden,
Bestimmte UI-Elemente und -Funktionen in der Google Cloud Console sind jedoch
an GKE Enterprise-Abonnenten. Informationen zu den verfügbaren
für Abonnenten und Nichtabonnenten, siehe
Unterschiede zwischen der GKE Enterprise- und Cloud Service Mesh-UI
Während des Bereitstellungsprozesses für eine verwaltete Steuerungsebene werden Istio-CRDs, die dem ausgewählten Kanal entsprechen, im angegebenen Cluster installiert. Wenn im Cluster bereits Istio-CRDs vorhanden sind, werden diese überschrieben.
Managed Cloud Service Mesh unterstützt nur die DNS-Standarddomain .cluster.local.
Seit dem 14. November 2023 werden Neuinstallationen von Managed Cloud Service Mesh auf dem
rapid-Releasekanal ruft JWKS nur mit Envoys ab. Dies entspricht
die Istio-Option PILOT_JWT_ENABLE_REMOTE_JWKS=envoy. Im Vergleich zu Installationen auf
Reguläre und stabile Release-Versionen oder Installationen auf der
schnelle Release-Version vor dem 14. November 2023 veröffentlicht wurde, benötigen Sie möglicherweise zusätzliche
ServiceEntry- und DestinationRule-Konfigurationen. Ein Beispiel finden Sie in der
requestauthn-with-se.yaml.tmpl
Unterschiede der Steuerungsebene
Zwischen ISTIOD und TRAFFIC_DIRECTOR gibt es Unterschiede bei den unterstützten Funktionen
Implementierungen der Steuerungsebene. Informationen dazu, welche Implementierung Sie verwenden, finden Sie unter
Implementierung der Steuerungsebene identifizieren
– gibt an, dass das Feature verfügbar und standardmäßig aktiviert ist.
†: Gibt an, dass Funktions-APIs möglicherweise
Unterschiede zwischen verschiedenen Plattformen.
*: Gibt an, dass die Funktion unterstützt wird für
und kann wie im Artikel
Optionale Features aktivieren
oder in der Funktionsübersicht, die in der Funktionstabelle verlinkt ist.
§: Gibt an, dass das Element in
die von der Zulassungsliste unterstützt werden. Frühere Nutzer des verwalteten Anthos Service Mesh sind
automatisch auf Organisationsebene auf die Zulassungsliste gesetzt.
Wenden Sie sich an den Google Cloud-Support, um Zugriff anzufordern.
oder um den Status der Zulassungsliste zu prüfen.
– gibt an, dass das Feature nicht verfügbar ist oder nicht unterstützt wird.
Die standardmäßigen und optionalen Features werden vom Google Cloud-Support vollständig unterstützt. Features, die nicht explizit in den Tabellen aufgeführt sind, erhalten bestmöglichen Support.
Wie wird die Implementierung der Steuerungsebene bestimmt?
Wenn Sie ein verwaltetes Cloud Service Mesh zum ersten Mal in einer Flotte bereitstellen,
um zu ermitteln, welche
Implementierung der Steuerungsebene verwendet werden soll. Die gleiche Implementierung
wird für alle Cluster verwendet, die das verwaltete Cloud Service Mesh in dieser Flotte bereitstellen.
Neue Flotten, die in das verwaltete Cloud Service Mesh aufgenommen werden, erhalten das
Implementierung der TRAFFIC_DIRECTOR-Steuerungsebene mit bestimmten Ausnahmen:
Wenn Sie bereits Nutzer eines verwalteten Cloud Service Mesh sind, erhalten Sie das ISTIOD
Implementierung der Steuerungsebene, wenn Sie eine neue Flotte in derselben Google Cloud einrichten
Organisation zum verwalteten Cloud Service Mesh, bis mindestens 30. Juni 2024.
Wenn Sie einer dieser Nutzer sind, können Sie sich an den Support wenden, um dieses Verhalten zu optimieren.
Nutzer, deren aktuelle Nutzung nicht mit TRAFFIC_DIRECTOR kompatibel ist
Implementierung ohne Änderungen erhält weiterhin den ISTIOD
Implementierung bis zum 8. September 2024. (Diese Nutzer haben einen Dienst erhalten,
Announcement.)
Wenn ein Cluster in Ihrer Flotte beim Bereitstellen verwalteter Cluster Certificate Authority Service verwendet
Cloud Service Mesh erhalten Sie die Implementierung der ISTIOD-Steuerungsebene.
Wenn ein Cluster in Ihrer Flotte ein clusterinternes Cloud Service Mesh enthält
Steuerungsebene, wenn Sie
das verwaltete Cloud Service Mesh bereitstellen,
die Implementierung der ISTIOD-Steuerungsebene abrufen.
Wenn ein Cluster in Ihrer Flotte
GKE Sandbox
Wenn Sie das verwaltete Cloud Service Mesh bereitstellen, erhalten Sie das ISTIOD
Implementierung der Steuerungsebene.
Implementierung der Steuerungsebene identifizieren
Führen Sie den folgenden Befehl aus, um die Implementierung der Steuerungsebene zu identifizieren:
Wenn Sie Cloud Service Mesh mit Google Cloud APIs verwenden (siehe
Informationen zu Cloud Service Mesh, klicken Sie auf diesen Befehl,
funktioniert nicht.
Umgebungen außerhalb von Google Cloud (GKE Enterprise lokal,
GKE Enterprise in anderen öffentlichen Clouds, Amazon EKS, Microsoft AKS,
oder anderen Kubernetes-Clustern)
Skalieren
Feature
Verwaltet (TD)
Verwaltet (istiod)
1.000 Dienste und 5.000 Arbeitslasten pro Cluster
50 ServicePorts pro Mesh und 36 Pods pro ServicePort
Erkennung von Multi-Cluster-Endpunkten mit Remote-Secrets
Hinweise zur Terminologie
Eine multiprimäre Konfiguration bedeutet, dass die Konfiguration repliziert werden muss
in allen Clustern.
Eine Primär-Remote-Konfiguration bedeutet, dass ein einzelner Cluster
Konfiguration und gilt als "Source of Truth".
Das Cloud Service Mesh verwendet eine vereinfachte Netzwerkdefinition
Konnektivität haben. Arbeitslastinstanzen befinden sich im selben Netzwerk, wenn sie ohne Gateway direkt kommunizieren können.
† Cloud Service Mesh mit einer verwalteten Steuerungsebene (TD) unterstützt nur
Distroless-Image-Typ. Sie können ihn nicht ändern.
Beachten Sie, dass distroless-Images nur minimale Binärdateien haben, sodass Sie die üblichen
wie bash oder curl, da sie im distroless-Image nicht vorhanden sind.
Sie können jedoch sitzungsspezifische Container verwenden, um sie an einen ausgeführten Arbeitslast-Pod anzuhängen,
und benutzerdefinierte Befehle ausführen. Siehe zum Beispiel
Cloud Service Mesh-Logs erfassen
Integration in benutzerdefinierte Zertifizierungsstellen
Sicherheitsfunktionen
Zusätzlich zu den Istio-Sicherheitsfunktionen
unterstützt Cloud Service Mesh
bietet noch mehr Funktionen, mit denen Sie Ihre Anwendungen schützen können.
Obwohl TCP ein unterstütztes Protokoll für Netzwerke und TCP ist,
erfasst, aber nicht gemeldet. Messwerte werden nur angezeigt für
HTTP-Dienste in der Google Cloud Console.
Dienste, die mit Layer-7-Funktionen für die folgenden Protokolle konfiguriert wurden, werden nicht unterstützt: WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ, Cloud SQL. Unter Umständen können Sie das Protokoll mithilfe der TCP-Bytestream-Unterstützung nutzen. Wenn der TCP-Bytestream das Protokoll nicht unterstützt
(z. B. sendet Kafka eine Weiterleitungsadresse in einer protokollspezifischen Antwort und
Diese Weiterleitung ist nicht mit der Routinglogik von Cloud Service Mesh kompatibel, dann
das Protokoll nicht unterstützt wird.
† Die Implementierung der TRAFFIC_DIRECTOR-Steuerungsebene unterstützt Folgendes nicht:
und Werte in Feldern:
Feld workloadSelector
Feld endpoints[].network
Feld endpoints[].locality
Feld endpoints[].weight
Feld endpoints[].serviceAccount
DNS_ROUND_ROBIN Wert im Feld „resolution“
MESH_INTERNAL Wert im Feld „location“
Unix-Domain-Socket-Adresse im Feld endpoints[].address
Feld subjectAltNames
Zielregel
Feature
Verwaltet (TD)
Verwaltet (istiod)
DestinationRule (v1beta1)
†
† Die Implementierung der TRAFFIC_DIRECTOR-Steuerungsebene wird nicht unterstützt
Feld trafficPolicy.loadBalancer.localityLbSetting und trafficPolicy.tunnel
ein.
Außerdem erfordert die Implementierung der TRAFFIC_DIRECTOR-Steuerungsebene, dass der
Zielregel, die Teilmengen definiert, befindet sich im selben Namespace und Cluster mit
den Kubernetes-Dienst
oder ServiceEntry.
Sidecar
Feature
Verwaltet (TD)
Verwaltet (istiod)
Sidecar v1beta1
†
† Die Implementierung der TRAFFIC_DIRECTOR-Steuerungsebene unterstützt Folgendes nicht:
und Werte in Feldern: