Prasyarat Cloud Service Mesh

Halaman ini menjelaskan prasyarat dan persyaratan untuk menginstal Cloud Service Mesh, seperti lisensi GKE Enterprise, persyaratan cluster, persyaratan fleet, dan persyaratan umum.

Project cloud

Sebelum memulai:

Lisensi GKE Enterprise

GKE

Cloud Service Mesh tersedia dengan GKE Enterprise atau sebagai layanan mandiri. Google API digunakan untuk menentukan cara penagihan kepada Anda. Untuk menggunakan Cloud Service Mesh sebagai layanan mandiri, jangan aktifkan GKE Enterprise API di project Anda. asmcli akan mengaktifkan semua Google API lain yang diperlukan untuk Anda. Untuk mengetahui informasi tentang harga Cloud Service Mesh, lihat Harga.

  • Pelanggan GKE Enterprise, pastikan untuk mengaktifkan GKE Enterprise API.

Mengaktifkan API

  • Jika Anda bukan pelanggan GKE Enterprise, Anda tetap dapat menginstal Cloud Service Mesh, tetapi elemen dan fitur UI tertentu di Google Cloud konsol hanya tersedia untuk pelanggan GKE Enterprise. Untuk mengetahui informasi tentang apa yang tersedia bagi pelanggan dan non-pelanggan, lihat Perbedaan UI GKE Enterprise dan Cloud Service Mesh.

  • Jika Anda mengaktifkan GKE Enterprise API, tetapi ingin menggunakan Cloud Service Mesh sebagai layanan mandiri, nonaktifkan GKE Enterprise API.

Di luar Google Cloud

Untuk menginstal Cloud Service Mesh di infrastruktur lokal, di GKE di AWS, di Amazon EKS, atau di Microsoft AKS, Anda harus menjadi pelanggan GKE Enterprise. Pelanggan GKE Enterprise tidak ditagih secara terpisah untuk Cloud Service Mesh karena sudah termasuk dalam harga GKE Enterprise. Untuk mengetahui informasi selengkapnya, lihat Panduan Harga GKE Enterprise.

Persyaratan umum

  • Agar disertakan dalam mesh layanan, port layanan harus diberi nama, dan nama harus menyertakan protokol port dalam sintaksis berikut: name: protocol[-suffix] dengan tanda kurung siku yang menunjukkan akhiran opsional yang harus diawali dengan tanda pisah. Untuk mengetahui informasi selengkapnya, lihat Memberi nama port layanan.

  • Jika telah membuat perimeter layanan di organisasi, Anda mungkin perlu menambahkan layanan otoritas sertifikat Cloud Service Mesh ke perimeter. Lihat Menambahkan otoritas sertifikat Cloud Service Mesh ke perimeter layanan untuk mengetahui informasi selengkapnya.

  • Jika ingin mengubah batas resource untuk container sidecar istio-proxy, nilai baru harus lebih besar dari nilai default untuk menghindari peristiwa kehabisan memori (OOM).

  • A Google Cloud project hanya dapat memiliki satu mesh yang terkait dengannya.

Persyaratan cluster

GKE

  • Pastikan versi cluster Anda tercantum di Platform yang didukung.

  • Cluster GKE Anda harus memenuhi persyaratan berikut:

    • Cluster GKE harus berupa GKE Standard. Cluster Autopilot hanya didukung dengan Cloud Service Mesh terkelola.

    • Jenis mesin yang memiliki setidaknya 4 vCPU, seperti e2-standard-4. Jika jenis mesin untuk cluster Anda tidak memiliki setidaknya 4 vCPU, ubah jenis mesin seperti yang dijelaskan dalam Memigrasikan workload ke jenis mesin yang berbeda.

    • Jumlah minimum node bergantung pada jenis mesin Anda. Cloud Service Mesh memerlukan setidaknya 8 vCPU. Jika jenis mesin memiliki 4 vCPU, cluster Anda harus memiliki setidaknya 2 node. Jika jenis mesin memiliki 8 vCPU, cluster hanya memerlukan 1 node. Jika Anda perlu menambahkan node, lihat Mengubah ukuran cluster.

  • Workload Identity GKE diperlukan. Sebaiknya aktifkan Workload Identity sebelum menginstal Cloud Service Mesh. Mengaktifkan Workload Identity akan mengubah cara panggilan dari workload Anda ke Google API diamankan, seperti yang dijelaskan dalam Batasan Workload Identity. Perhatikan bahwa Anda tidak perlu mengaktifkan Server Metadata GKE di node pool yang ada.

  • Opsional, tetapi direkomendasikan, daftarkan cluster di saluran rilis. Sebaiknya daftarkan di saluran rilis Reguler karena saluran lain mungkin didasarkan pada versi GKE yang tidak didukung dengan Cloud Service Mesh 1.28.5. Untuk mengetahui informasi selengkapnya, lihat Platform yang didukung. Ikuti petunjuk di Mendaftarkan cluster yang ada di saluran rilis jika Anda memiliki versi GKE statis.

  • Jika menginstal Cloud Service Mesh di cluster pribadi, Anda harus membuka port 15017 di firewall agar webhook yang digunakan untuk penyisipan sidecar otomatis dan validasi konfigurasi dapat berfungsi. Untuk mengetahui informasi selengkapnya, lihat Membuka port di cluster pribadi.

  • Pastikan mesin klien tempat Anda menginstal Cloud Service Mesh memiliki konektivitas jaringan ke server API.

  • Untuk workload Windows Server, Cloud Service Mesh tidak didukung. Jika cluster Anda memiliki node pool Linux dan Windows Server, Anda tetap dapat menginstal Cloud Service Mesh dan menggunakannya di workload Linux.

Di luar Google Cloud

  • Pastikan cluster pengguna tempat Anda menginstal Cloud Service Mesh memiliki setidaknya 4 vCPU, memori 15 GB, dan 4 node.

  • Pastikan versi cluster Anda tercantum di Platform yang didukung.

  • Pastikan mesin klien tempat Anda menginstal Cloud Service Mesh memiliki konektivitas jaringan ke server API.

  • Jika Anda men-deploy sidecar di pod aplikasi yang tidak memiliki konektivitas langsung ke layanan CA (seperti meshca.googleapis.com dan privateca.googleapis.com) tidak tersedia, Anda harus mengonfigurasi proxy HTTPS berbasis CONNECT eksplisit.

  • Untuk cluster publik dengan aturan firewall keluar yang ditetapkan yang memblokir aturan tersirat, pastikan Anda telah mengonfigurasi aturan HTTP/HTTPS dan DNS untuk menjangkau Google API publik.

Persyaratan fleet

Dengan Cloud Service Mesh 1.11 dan yang lebih baru, semua cluster harus didaftarkan ke a fleet, dan fleet workload identity harus diaktifkan. Anda dapat menyiapkan cluster sendiri, atau Anda dapat mengizinkan asmcli mendaftarkan cluster selama cluster tersebut memenuhi persyaratan berikut:

Saat menjalankan asmcli install, Anda menentukan project ID project host fleet. asmcli akan mendaftarkan cluster jika belum terdaftar.

Apa langkah selanjutnya?