Von Istio APIs unterstützte Features (verwaltete Steuerungsebene)

Auf dieser Seite werden die unterstützten Features und Einschränkungen für Cloud Service Mesh mit TRAFFIC_DIRECTOR oder ISTIOD als Steuerungsebene sowie die Unterschiede zwischen den einzelnen Implementierungen beschrieben. Diese Optionen können nicht ausgewählt werden. Die ISTIOD-Implementierung ist nur für bestehende Nutzer verfügbar. Bei neuen Installationen wird nach Möglichkeit die TRAFFIC_DIRECTOR-Implementierung verwendet.

Eine Liste der von Cloud Service Mesh unterstützten Features für eine clusterinterne Steuerungsebene finden Sie unter Istio APIs verwenden (istiod-Steuerungsebene in Clustern). Wenn Sie sich nicht sicher sind, welche Cloud Service Mesh-Steuerungsebene Sie verwenden, können Sie die Implementierung der Steuerungsebene anhand der Anleitung unter Steuerungsebenenimplementierung ermitteln prüfen.

Beschränkungen

Es gelten folgende Einschränkungen:

  • GKE-Cluster müssen sich in einer der unterstützten Regionen befinden.
  • Die GKE-Version muss eine unterstützte Version sein.
  • Nur die unter Umgebungen aufgeführten Plattformen werden unterstützt.
  • Das Ändern von Releasekanälen wird nicht unterstützt.
  • Migrationen von verwaltetem Cloud Service Mesh mit asmcli zu Cloud Service Mesh mit Fleet API werden nicht unterstützt. Ebenso wird die Bereitstellung von verwaltetem Cloud Service Mesh mit der Fleet API von --management manual bis --management automatic nicht unterstützt.
  • Migrationen und Upgrades werden nur von Cloud Service Mesh-Versionen ab Cluster 1.9 unterstützt, die mit Mesh CA installiert sind. Installationen mit Istio CA (ehemals Citadel) müssen zuerst zu Mesh CA migriert werden.
  • Die Skalierung ist auf 1.000 Dienste und 5.000 Arbeitslasten pro Cluster beschränkt.
  • Nur die Multi-Primary-Bereitstellungsoption für Multi-Cluster wird unterstützt, die Primary-Remote-Bereitstellungsoption für Multi-Cluster nicht.
  • istioctl ps wird nicht unterstützt. Stattdessen können Sie die gcloud beta container fleet mesh debug-Befehle verwenden, wie unter Fehlerbehebung beschrieben.
  • Nicht unterstützte APIs:

    • EnvoyFilter API

    • WasmPlugin API

    • IstioOperator API

    • Kubernetes Ingress API

  • Sie können die verwaltete Steuerungsebene ohne GKE Enterprise-Abo verwenden. Bestimmte UI-Elemente und Features in der Google Cloud Console sind jedoch nur für GKE Enterprise-Abonnenten verfügbar. Informationen dazu, welche Features Abonnenten und Nicht-Abonnenten zur Verfügung stehen, finden Sie unter Unterschiede zwischen der Benutzeroberfläche von GKE Enterprise und Cloud Service Mesh.

  • Während des Bereitstellungsprozesses für eine verwaltete Steuerungsebene werden Istio-CRDs, die dem ausgewählten Kanal entsprechen, im angegebenen Cluster installiert. Wenn im Cluster bereits Istio-CRDs vorhanden sind, werden diese überschrieben.

  • Verwaltetes Cloud Service Mesh unterstützt nur die Standard-DNS-Domain .cluster.local.

  • Bei neuen Installationen von verwaltetem Cloud Service Mesh werden JWKS nur mit Envoys abgerufen, es sei denn, die Flotte enthält andere Cluster, für die dieses Verhalten nicht aktiviert ist. Dies entspricht der Istio-Option PILOT_JWT_ENABLE_REMOTE_JWKS=envoy. Im Vergleich zu Installationen ohne die Bedingung „VPCSC_GA_SUPPORTED“ (siehe unten) ist für ServiceEntry- und DestinationRule-Konfigurationen möglicherweise eine zusätzliche Konfiguration erforderlich. Ein Beispiel finden Sie unter requestauthn-with-se.yaml.tmpl. Sie können feststellen, ob der aktuelle Betriebsmodus PILOT_JWT_ENABLE_REMOTE_JWKS=envoy entspricht, indem Sie prüfen, ob VPC Service Controls für die Steuerungsebene unterstützt werden (d. h., ob die Bedingung „VPCSC_GA_SUPPORTED“ angezeigt wird).

Unterschiede auf Steuerungsebene

Es gibt Unterschiede bei den unterstützten Funktionen zwischen den ISTIOD- und TRAFFIC_DIRECTOR-Steuerungsebenen. Informationen dazu, welche Implementierung Sie verwenden, finden Sie unter Steuerungsebenenimplementierung ermitteln.

  •  – gibt an, dass das Feature verfügbar und standardmäßig aktiviert ist.
  • † = gibt an, dass sich Funktions-APIs auf verschiedenen Plattformen unterscheiden können.
  • * gibt an, dass das Feature für die Plattform unterstützt wird und, wie unter Optionale Features aktivieren oder in dem in der Feature-Tabelle verlinkten Leitfaden beschrieben, aktiviert werden kann.
  • § – gibt an, dass die Funktion über die Zulassungsliste unterstützt wird. Bisherige Nutzer von verwaltetem Anthos Service Mesh werden automatisch auf Organisationsebene auf die Zulassungsliste gesetzt. Wenden Sie sich an den Support von Google Cloud , um Zugriff anzufordern oder den Status Ihrer Zulassungsliste zu prüfen.
  •  – gibt an, dass das Feature nicht verfügbar ist oder nicht unterstützt wird.

Die standardmäßigen und optionalen Funktionen werden vom Google Cloud-Support vollständig unterstützt. Features, die nicht explizit in den Tabellen aufgeführt sind, erhalten bestmöglichen Support.

Was bestimmt die Implementierung der Steuerungsebene?

Wenn Sie verwaltetes Cloud Service Mesh zum ersten Mal in einer Flotte bereitstellen, legen wir fest, welche Steuerungsebenenimplementierung verwendet werden soll. Die gleiche Implementierung wird für alle Cluster verwendet, in denen verwaltetes Cloud Service Mesh in dieser Flotte bereitgestellt wird.

Neue Flotten, die in verwaltetes Cloud Service Mesh aufgenommen werden, erhalten die TRAFFIC_DIRECTOR-Steuerungsebene – mit bestimmten Ausnahmen:

  • Wenn Sie bereits Cloud Service Mesh als verwalteten Dienst nutzen, erhalten Sie die ISTIODImplementierung der Steuerungsebene, wenn Sie bis mindestens 30. Juni 2024 eine neue Flotte in derselben Google Cloud-Organisation in Cloud Service Mesh aufnehmen. Wenn Sie zu diesen Nutzern gehören, können Sie sich an den Support wenden, um dieses Verhalten zu optimieren. Nutzer, deren bisherige Nutzung nicht ohne Änderungen mit der TRAFFIC_DIRECTOR-Implementierung kompatibel ist, erhalten bis zum 8. September 2024 weiterhin die ISTIOD-Implementierung. (Diese Nutzer haben eine Servicemitteilung erhalten.)
  • Wenn bei der Bereitstellung von verwaltetem Cloud Service Mesh ein Cluster in Ihrer Flotte den Certificate Authority Service verwendet, erhalten Sie die ISTIOD-Steuerungsebene.
  • Wenn ein GKE-Cluster in Ihrer Flotte in Google Cloud eine clusterinterne Cloud Service Mesh-Steuerungsebene enthält, wenn Sie verwaltetes Cloud Service Mesh bereitstellen, erhalten Sie die ISTIOD-Implementierung der Steuerungsebene.
  • Wenn in Ihrer Flotte ein Cluster die GKE Sandbox verwendet, erhalten Sie beim Bereitstellen von verwaltetem Cloud Service Mesh die ISTIOD-Steuerungsebene.

Von der verwaltete Steuerungsebene unterstützte Features

Installieren, aktualisieren und Rollback ausführen

Funktion Verwaltet (TD) Verwaltet (istiod)
Installation auf GKE-Clustern mit der Fleet Feature API
Upgrades von ASM 1.9-Versionen mit Mesh CA
Direkte Upgrades von Cloud Service Mesh-Versionen vor 1.9 (siehe Hinweise für indirekte Upgrades)
Direkte Upgrades von Istio OSS (siehe Hinweise für indirekte Upgrades)
Direkte Upgrades von Istio-on-GKE-Add-on (siehe Hinweise für indirekte Upgrades)
Optionale Features aktivieren

Umgebungen

Funktion Verwaltet (TD) Verwaltet (istiod)
GKE-Versionen, die derzeit in Releasekanälen verfügbar sind, in einer der unterstützten Regionen
GKE-Versionen, die derzeit in Release-Kanälen verfügbar sind, in einer der unterstützten Regionen, GKE-Autopilot-Cluster
Umgebungen außerhalb von Google Cloud (lokale GKE Enterprise-Umgebungen, GKE Enterprise in anderen öffentlichen Clouds, Amazon EKS, Microsoft AKS oder andere Kubernetes-Cluster)

Skalieren

Funktion Verwaltet (TD) Verwaltet (istiod)
1.000 Dienste und 5.000 Arbeitslasten pro Cluster
50 Ports für headless Dienste pro Mesh und 36 Pods pro Port für headless Dienste

Plattformumgebung

Funktion Verwaltet (TD) Verwaltet (istiod)
Einzelnes Netzwerk
Multinetzwerk
Einzelprojekt
Mehrere Projekte mit freigegebene VPC

Multi-Cluster-Bereitstellung

Funktion Verwaltet (TD) Verwaltet (istiod)
Multiprimär
Primäre Fernbedienung
Endpunkterkennung für mehrere Cluster mit deklarativer API
Multi-Cluster-Endpunkterkennung mit Remote-Secrets

Hinweise zur Terminologie

  • Bei einer Multi-Primary-Konfiguration muss die Konfiguration in allen Clustern repliziert werden.
  • Eine Primary-Remote-Konfiguration bedeutet, dass ein einzelner Cluster die Konfiguration enthält und als Source of Truth gilt.
  • Cloud Service Mesh verwendet eine vereinfachte Definition von Netzwerken auf der Grundlage allgemeiner Konnektivität. Arbeitslastinstanzen befinden sich im selben Netzwerk, wenn sie ohne Gateway direkt kommunizieren können.

Basis-Images

Funktion Verwaltet (TD) Verwaltet (istiod)
Distroless-Proxy-Image

† Cloud Service Mesh mit einer verwalteten Steuerungsebene (TD) unterstützt nur den Imagetyp ohne Distribution. Sie können sie nicht ändern.

Beachten Sie, dass Distroless-Images nur minimale Binärdateien enthalten. Daher können Sie die üblichen Befehle wie „bash“ oder „curl“ nicht ausführen, da sie im Distroless-Image nicht vorhanden sind. Sie können jedoch sitzungsspezifische Container verwenden, um einen laufenden Workload-Pod anzuhängen, um ihn zu prüfen und benutzerdefinierte Befehle auszuführen. Weitere Informationen finden Sie beispielsweise unter Cloud Service Mesh-Protokolle erfassen.

Sicherheit

VPC Service Controls

Funktion Verwaltet (TD) Verwaltet (istiod)
VPC Service Controls

Mechanismen zur Zertifikatsverteilung und -rotation

Funktion Verwaltet (TD) Verwaltet (istiod)
Verwaltung von Arbeitslastzertifikaten
Externe Zertifikatsverwaltung auf Eingangs- und Ausgangs-Gateways.

Unterstützung von Zertifizierungsstellen (CA)

Funktion Verwaltet (TD) Verwaltet (istiod)
Cloud Service Mesh-Zertifizierungsstelle
Certificate Authority Service
Istio CA
Integration in benutzerdefinierte Zertifizierungsstellen

Sicherheitsfunktionen

Cloud Service Mesh unterstützt nicht nur die Sicherheitsfunktionen von Istio, sondern bietet auch weitere Funktionen, mit denen Sie Ihre Anwendungen schützen können.

Funktion Verwaltet (TD) Verwaltet (istiod)
IAP-Einbindung
Endnutzerauthentifizierung
Probelaufmodus
Logging der Ablehnung
Audit-Richtlinien (nicht unterstützt)

Autorisierungsrichtlinie

Funktion Verwaltet (TD) Verwaltet (istiod)
Autorisierungs-v1beta1-Richtlinie
BENUTZERDEFINIERTE Autorisierungsrichtlinie §

† Die TRAFFIC_DIRECTOR-Steuerungsebene unterstützt die Felder rules.from.source.RemoteIp und rules.from.source.NotRemoteIp nicht.

Peer-Authentifizierung

Funktion Verwaltet (TD) Verwaltet (istiod)
Auto-mTLS
mTLS-PERMISSIVE-Modus
mTLS-STRICT-Modus * *
mTLS-DEAKTIVIEREN-Modus

Authentifizierung anfordern

Funktion Verwaltet (TD) Verwaltet (istiod)
JWT-Authentifizierung(Hinweis 1)
JWT-Anforderungsbasiertes Routing
JWT-Anspruch in Header kopieren

Hinweise:

  1. JWT von Drittanbietern ist standardmäßig aktiviert.
  2. Fügen Sie bei der Definition der RequestAuthentication API den vollständigen FQDN/Hostnamen in JWKSURI hinzu.
  3. Die verwaltete Steuerungsebene erzwingt, dass Envoy JWKS abruft, wenn der JWKS-URI angegeben wird.

Telemetrie

Messwerte

Funktion Verwaltet (TD) Verwaltet (istiod)
Cloud Monitoring (HTTP-In-Proxy-Messwerte)
Cloud Monitoring (TCP-In-Proxy-Messwerte)
Prometheus-Messwerte werden in Grafana exportiert (nur Envoy-Messwerte) * *
Exportieren von Prometheus-Messwerten in Kiali
Google Cloud Managed Service for Prometheus, ohne Cloud Service Mesh-Dashboard * *
Istio Telemetry API  †
Benutzerdefinierte Adapter/Back-Ends, In- oder Out-of-Process
Beliebige Telemetrie- und Logging-Back-Ends

† Die TRAFFIC_DIRECTOR-Steuerungsebene unterstützt einen Teil der Istio-Telemetrie-API, mit der Zugriffsprotokolle und Traces konfiguriert werden. Die Steuerungsebene von TRAFFIC_DIRECTOR unterstützt die Konfiguration der Trace-Sampling-Rate nicht.

Proxyanfrage-Logging

Funktion Verwaltet (TD) Verwaltet (istiod)
Zugriffsprotokolle
Zugriffslogs * *

Tracing

Funktion Verwaltet (TD) Verwaltet (istiod)
Cloud Trace * *
Jaeger-Tracing (ermöglicht die Verwendung des vom Kunden verwalteten Jaeger) Kompatibel
Zipkin-Tracing (ermöglicht die Verwendung des vom Kunden verwalteten Zipkin) Kompatibel

Netzwerk

Mechanismen zum Abfangen und Umleiten von Traffic

Funktion Verwaltet (TD) Verwaltet (istiod)
Verwendung von iptables mit init-Containern über CAP_NET_ADMIN
Istio Container Network Interface (CNI)
Whitebox-Sidecar

† Wir empfehlen dringend, Container Network Interface (CNI) anstelle von init-Containern zu verwenden.

Protokollunterstützung

Funktion Verwaltet (TD) Verwaltet (istiod)
IPv4
HTTP/1.1
HTTP/2
TCP-Byte-Streams (Hinweis 1)
gRPC
IPv6

Hinweise:

  1. TCP ist zwar ein unterstütztes Protokoll für das Netzwerk und TCP-Messwerte werden erfasst, sie werden jedoch nicht gemeldet. Messwerte werden nur für HTTP-Dienste in der Google Cloud Console angezeigt.
  2. Dienste, die mit Layer-7-Funktionen für die folgenden Protokolle konfiguriert wurden, werden nicht unterstützt: WebSocket, MongoDB, Redis, Kafka, Cassandra, RabbitMQ, Cloud SQL. Unter Umständen können Sie das Protokoll mithilfe der TCP-Bytestream-Unterstützung nutzen. Wenn der TCP-Bytestream das Protokoll nicht unterstützt (z. B. wenn Kafka eine Weiterleitungsadresse in einer protokollspezifischen Antwort sendet und diese Weiterleitung nicht mit der Routinglogik von Cloud Service Mesh kompatibel ist), wird das Protokoll nicht unterstützt.
  3. † IPv6 ist als Dual-Stack-Netzwerkfunktion in der Vorabversion verfügbar. Bei proxylosen gRPC-Umgebungen werden Dual-Stack-Funktionen nur in gRPC 1.66.1 oder höher in C++ und Python oder gRPC Node.js v1.12 unterstützt. Wenn Sie versuchen, Dual-Stack-Features mit einer gRPC-Version zu konfigurieren, die Dual-Stack nicht unterstützt, verwenden die Clients nur die erste von Traffic Director gesendete Adresse.

Envoy-Bereitstellungen

Funktion Verwaltet (TD) Verwaltet (istiod)
Sidecar-Dateien
Ingress-Gateway
Ausgehender Traffic direkt von Sidecars
Ausgehender Traffic über Egress-Gateways * *

CRD-Support

Funktion Verwaltet (TD) Verwaltet (istiod)
Sidecar-Ressource
Diensteintragsressource
Prozentwert, Fehlerinjektion, Pfadabgleich, Weiterleitungen, Wiederholungsversuche, Umschreibungen, Zeitüberschreitung, Wiederholungsversuch, Header-Bearbeitung und CORS-Routingregeln
EnvoyFilter API §
WasmPlugin API
Istio-Operator

Load-Balancer für das Istio-Ingress-Gateway

Funktion Verwaltet (TD) Verwaltet (istiod)
Externer Load Balancer eines Drittanbieters
Google Cloud Interner Load Balancer * *

Service Mesh-Cloud-Gateway

Funktion Verwaltet (TD) Verwaltet (istiod)
Service Mesh-Cloud-Gateway

Kubernetes Gateway API

Funktion Verwaltet (TD) Verwaltet (istiod)
Kubernetes Gateway API

Load Balancing-Richtlinien

Funktion Verwaltet (TD) Verwaltet (istiod)
Round-Robin
Mindestverbindungen
Zufällig
Passthrough
Konsistenter Hash
Ort
GCPTrafficDistributionPolicy
GCPBackendPolicy

Diensteintrag

Funktion Verwaltet (TD) Verwaltet (istiod)
ServiceEntry v1beta1

† Die TRAFFIC_DIRECTOR-Steuerungsebene unterstützt die folgenden Felder und Werte in Feldern nicht:

  • Feld workloadSelector
  • Feld endpoints[].network
  • Feld endpoints[].locality
  • Feld endpoints[].weight
  • Feld endpoints[].serviceAccount
  • DNS_ROUND_ROBIN-Wert im Feld resolution
  • MESH_INTERNAL-Wert im Feld location
  • Unix-Domain-Socket-Adresse im Feld endpoints[].address
  • Feld subjectAltNames

Zielregel

Funktion Verwaltet (TD) Verwaltet (istiod)
DestinationRule v1beta1

† Die TRAFFIC_DIRECTOR-Steuerungsebene unterstützt die folgenden Felder nicht.

  • Feld trafficPolicy.loadBalancer.localityLbSetting
  • Feld trafficPolicy.tunnel
  • Feld trafficPolicy.tls.credentialName
  • Feld trafficPolicy.portLevelSettings[].tls.credentialName

Außerdem erfordert die Implementierung der TRAFFIC_DIRECTOR-Steuerungsebene, dass sich die Zielregel, die Teilmengen definiert, im selben Namespace und Cluster wie der Kubernetes-Dienst oder ServiceEntry befindet.

Sidecar

Funktion Verwaltet (TD) Verwaltet (istiod)
Sidecar v1beta1

† Die TRAFFIC_DIRECTOR-Steuerungsebene unterstützt die folgenden Felder und Werte in Feldern nicht:

  • Feld ingress
  • Feld egress.port
  • Feld egress.bind
  • Feld egress.captureMode
  • Feld inboundConnectionPool

MeshConfig

Funktion Verwaltet (TD) Verwaltet (istiod)
LocalityLB §
ExtensionProviders §
CACert
ImageType – distroless §
OutboundTrafficPolicy §
defaultProviders.accessLogging
defaultProviders.tracing
defaultConfig.tracing.stackdriver §
accessLogFile §

ProxyConfig

Funktion Verwaltet (TD) Verwaltet (istiod)
DNS-Proxy (ISTIO_META_DNS_CAPTURE, ISTIO_META_DNS_AUTO_ALLOCATE)
HTTP/1.0-Unterstützung (ISTIO_META_NETWORK)
Bildauswahl (Distroless- oder Basis-Image)

† Für die Injektion wird ein distroless-Image verwendet.

Regionen

GKE-Cluster müssen sich in einer der folgenden Regionen oder in einer beliebigen Zone innerhalb der folgenden Regionen befinden.

Region Standort
africa-south1 Johannesburg
asia-east1 Taiwan
asia-east2 Hongkong
asia-northeast1 Tokio, Japan
asia-northeast2 Osaka, Japan
asia-northeast3 Südkorea
asia-south1 Mumbai, Indien
asia-south2 Delhi, Indien
asia-southeast1 Singapur
asia-southeast2 Jakarta
australia-southeast1 Sydney, Australien
australia-southeast2 Melbourne, Australien
europe-central2 Polen
europe-north1 Finnland
europe-southwest1 Spanien
europe-west1 Belgien
europe-west2 England
europe-west3 Frankfurt, Deutschland
europe-west4 Niederlande
europe-west6 Schweiz
europe-west8 Mailand, Italien
europe-west9 Frankreich
europe-west10 Berlin, Deutschland
europe-west12 Turin, Italien
me-central1 Doha
me-central2 Dammam, Saudi-Arabien
me-west1 Tel Aviv
northamerica-northeast1 Montreal, Kanada
northamerica-northeast2 Toronto, Kanada
southamerica-east1 Brasilien
southamerica-west1 Chile
us-central1 Iowa
us-east1 South Carolina
us-east4 Northern Virginia
us-east5 Ohio
us-south1 Dallas
us-west1 Oregon
us-west2 Los Angeles
us-west3 Salt Lake City
us-west4 Las Vegas

Benutzeroberfläche

Funktion Verwaltet (TD) Verwaltet (istiod)
Cloud Service Mesh-Dashboards in der Google Cloud Console
Cloud Monitoring
Cloud Logging

Tools

Funktion Verwaltet (TD) Verwaltet (istiod)
gcloud beta container fleet mesh debug tool