叢集內控制層支援的功能
本頁面說明 Cloud Service Mesh1.25.0 中叢集內控制平面支援的功能。如要查看 Cloud Service Mesh 1.25.0 搭配代管控制層時支援的功能,請參閱「代管控制層」。
支援的版本
我們會依據 GKE Enterprise 版本支援政策提供 Cloud Service Mesh 支援。
對於採用 TRAFFIC_DIRECTOR 控制層實作的代管 Cloud Service Mesh,Google 一律會支援這個控制層。
對於採用 ISTIOD 控制層實作的代管 Cloud Service Mesh,Google 支援各發布管道中提供的目前 Cloud Service Mesh 版本。
對於自行安裝的叢集內 Cloud Service Mesh,Google 支援目前和前兩個 (n-2) 次要版本的 Cloud Service Mesh。
下表列出在叢集中自行安裝的 Cloud Service Mesh 支援的版本,以及版本最早的終止服務日期 (EOL)。
| 發布版本 | 發布日期 | 最早的服務終止日期 |
|---|---|---|
| 1.25 | 2025 年 4 月 4 日 | 2026 年 1 月 4 日 |
| 1.24 | 2025 年 1 月 16 日 | 2025 年 10 月 15 日 |
| 1.23 | 2024 年 9 月 19 日 | 2025 年 6 月 19 日 |
| 1.22 | 2024 年 7 月 25 日 | 2025 年 4 月 25 日 |
如果您使用的是未支援的 Cloud Service Mesh 版本,則必須升級至 Cloud Service Mesh 1.23 以上版本。如要瞭解如何升級,請參閱「升級 Cloud Service Mesh」。
下表列出不支援的 Cloud Service Mesh 版本,以及這些版本的生命週期結束日期 (EOL)。
| 發布版本 | 發布日期 | 產品停產日期 |
|---|---|---|
| 1.21 | 2024 年 6 月 4 日 | 不支援 (2025 年 4 月 16 日) |
| 1.20 | 2024 年 2 月 8 日 | 不支援 (2024 年 11 月 12 日) |
| 1.19 | 2023 年 10 月 31 日 | 不支援 (2024 年 7 月 31 日) |
| 1.18 | 2023 年 8 月 3 日 | 不支援 (2024 年 6 月 4 日) |
| 1.17 | 2023 年 4 月 4 日 | 不支援 (2024 年 2 月 8 日) |
| 1.16 | 2023 年 2 月 21 日 | 不支援 (2023 年 12 月 11 日) |
| 1.15 | 2022 年 10 月 25 日 | 不支援 (2023 年 8 月 4 日) |
| 1.14 | 2022 年 7 月 20 日 | 不支援 (2023 年 4 月 20 日) |
| 1.13 | 2022 年 3 月 30 日 | 不支援 (2023 年 2 月 8 日) |
| 1.12 | 2021 年 12 月 9 日 | 不支援 (2022 年 10 月 25 日) |
| 1.11 | 2021 年 10 月 6 日 | 不支援 (2022 年 7 月 20 日) |
| 1.10 | 2021 年 6 月 24 日 | 不支援 (2022 年 3 月 30 日) |
| 1.9 | 2021 年 3 月 4 日 | 不支援 (2021 年 12 月 14 日) |
| 1.8 | 2020 年 12 月 15 日 | 不支援 (2021 年 12 月 14 日) |
| 1.7 | 2020 年 11 月 3 日 | 不支援 (2021 年 12 月 14 日) |
| 1.6 | 2020 年 6 月 30 日 | 不支援 (2021 年 3 月 30 日) |
| 1.5 | 2020 年 5 月 20 日 | 不支援 (2021 年 2 月 17 日) |
| 1.4 | 2019 年 12 月 20 日 | 不支援 (2020 年 9 月 18 日) |
如要進一步瞭解支援政策,請參閱「取得支援」一文。
平台差異
支援平台之間支援的功能有所差異。
「其他 GKE Enterprise 叢集」欄是指 Google Cloud以外的叢集,例如:
Google Distributed Cloud:
- 適用於 VMware 的 Google Distributed Cloud (僅限軟體)
- 適用於裸機的 Google Distributed Cloud (僅限軟體)
本頁面使用 Google Distributed Cloud,在 VMware 的 Google Distributed Cloud (僅限軟體) 和裸機的 Google Distributed Cloud (僅限軟體) 上提供相同的支援,以及平台之間存在差異的特定平台。
在其他公有雲中使用 GKE Enterprise:
GKE 附加叢集:已向機群註冊的第三方 Kubernetes 叢集。Cloud Service Mesh 支援下列叢集類型:
- Amazon EKS 叢集
- Microsoft AKS 叢集
在下列表格中:
- :表示這項功能預設為啟用。
- *:表示平台支援該功能,且可啟用,如啟用選用功能或功能表格中連結的功能指南所述。
- 相容:表示功能或第三方工具會與 Cloud Service Mesh 整合或搭配運作,但不完全支援 Google Cloud 支援服務,也沒有功能指南。
- – 表示這項功能無法使用,或在 Cloud Service Mesh 1.25.0中不受支援。
Google Cloud支援團隊完全支援預設和選用功能。表格中未明確列出的功能會盡力提供支援。
基礎圖片
| 功能 | Google Cloud上的 GKE 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|
| Distroless proxy image |
安全性
憑證發布/輪替機制
| 功能 | Google Cloud上的 GKE 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|
| 工作負載憑證管理 | ||
| ingress 和egress閘道上的外部憑證管理。 |
憑證授權單位 (CA) 支援
| 功能 | Google Cloud上的 GKE 叢集 | 內部部署的 GKE Enterprise 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|---|
| Cloud Service Mesh 憑證授權單位 | |||
| 憑證授權單位服務 | * | * | |
| Istio CA (舊稱 Citadel) | * | * | |
| 插入自己的 CA 憑證 | 由 CA 服務和 Istio CA 支援 | 由 CA 服務和 Istio CA 支援 | 由 Istio CA 支援 |
Cloud Service Mesh 安全性功能
除了支援 Istio 安全防護功能,Cloud Service Mesh 還提供更多功能,協助您保護應用程式。
| 功能 | Google Cloud上的 GKE 叢集 | 分散式雲端 | GKE Multi-cloud | 其他 GKE Enterprise 叢集 |
|---|---|---|---|---|
| Google Play 整合 | ||||
| 使用者驗證 | ||||
| 稽核政策 (預先發布版) | * | |||
| 模擬測試模式 | ||||
| 拒絕記錄 |
授權政策
| 功能 | Google Cloud上的 GKE 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|
| 授權 v1beta1 政策 | ||
| 路徑範本 |
驗證政策
同類應用程式驗證
| 功能 | Google Cloud上的 GKE 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|
| 自動 mTLS | ||
| mTLS PERMISSIVE 模式 |
如要瞭解如何啟用 mTLS 嚴格模式,請參閱「設定傳輸安全性」。
要求驗證
| 功能 | Google Cloud上的 GKE 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|
| JWT 驗證 (附註 1) |
注意:
- 第三方 JWT 預設為啟用。
遙測
指標
| 功能 | Google Cloud上的 GKE 叢集 | 內部部署的 GKE Enterprise 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|---|
| Cloud Monitoring (HTTP in-proxy metrics) | |||
| Cloud Monitoring (TCP 內部 Proxy 指標) | |||
| Istio Telemetry API | |||
| 自訂轉接器/後端 (在或離開程序) | |||
| 任意遙測和記錄後端 | |||
| Prometheus 指標匯出至客戶安裝的 Prometheus、Grafana 和 Kiali 資訊主頁 | 相容 | 相容 | 相容 |
| Google Cloud Managed Service for Prometheus (不含 Cloud Service Mesh 資訊主頁) | |||
| Google Cloud 控制台中的拓撲圖不再使用 Mesh 遙測服務做為資料來源。雖然拓樸圖的資料來源已變更,但 UI 仍維持不變。 | |||
Proxy 要求記錄
| 功能 | Google Cloud上的 GKE 叢集 | 內部部署的 GKE Enterprise 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|---|
| 流量記錄檔 | |||
| 存取記錄 | * | * | * |
追蹤
| 功能 | Google Cloud上的 GKE 叢集 | 內部部署的 GKE Enterprise 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|---|
| Cloud Trace | * | * | |
| Jaeger 追蹤 (可使用客戶管理的 Jaeger) | 相容 | 相容 | 相容 |
| Zipkin 追蹤 (可使用客戶管理的 Zipkin) | 相容 | 相容 | 相容 |
網路
目的地規則
| 功能 | Google Cloud上的 GKE 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|
| credentialName |
流量攔截/重新導向機制
| 功能 | Google Cloud上的 GKE 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|
使用 init 容器搭配 CAP_NET_ADMIN,以傳統方式使用 iptables |
||
| 容器網路介面 (CNI) | * | * |
通訊協定支援
系統不支援針對下列通訊協定,以第 7 層功能設定的服務:WebSocket、MongoDB、Redis、Kafka、Cassandra、RabbitMQ、Cloud SQL。您可以使用 TCP 位元組串流支援功能,讓通訊協定運作。如果 TCP 位元組串流無法支援通訊協定 (例如 Kafka 在特定通訊協定的回覆中傳送重新導向位址,而這個重新導向與 Cloud Service Mesh 的路由邏輯不相容),則系統不支援該通訊協定。
| 功能 | Google Cloud上的 GKE 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|
| IPv4 | ||
| HTTP/1.1 | ||
| HTTP/2 | ||
| TCP 位元組串流 (附註 1) | ||
| gRPC | ||
| IPv6 | ||
| Istio DualStack |
注意:
- 雖然 TCP 是網路支援的通訊協定,但系統不會收集或回報 TCP 指標。 Google Cloud 主控台只會顯示 HTTP 服務的指標。
Envoy 部署
| 功能 | Google Cloud上的 GKE 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|
| 補充資訊 | ||
| Ingress 閘道 | ||
| 直接從 sidecar 輸出 | ||
| 使用出口閘道輸出 | * | * |
CRD 支援
| 功能 | Google Cloud上的 GKE 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|
| Istio API 支援 (以下為例外狀況) | ||
| 自訂 Envoy 篩選器 |
Istio 輸入閘道的負載平衡器
| 功能 | Google Cloud上的 GKE 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|
| 第三方外部負載平衡器 | ||
| Google Cloud 內部負載平衡器 | * | 不支援。請參閱下方連結。 |
如要瞭解如何設定負載平衡器,請參閱以下文章:
Kubernetes Gateway API (預先發布版)
在 Cloud Service Mesh 1.20 中,Kubernetes Gateway API 可做為公開搶先體驗版使用。
| 功能 | Google Cloud上的 GKE 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|
| Ingress | ||
使用 class: istio 的閘道 |
||
使用 parentRef 的 HttpRoute |
||
| 網狀網路流量 | ||
使用 targetRef 欄位設定 Istio CRD,包括 AuthorizationPolicy、RequestAuthentication、Telemetry 和 WasmPlugin |
如果您在 Azure 叢集中使用 Microsoft AKS 已連結的叢集或 GKE,則必須為閘道資源設定下列註解,才能設定透過 TCP 進行的健康狀態檢查:
service.beta.kubernetes.io/port_80_health-probe_protocol: tcp
否則系統不會接受 HTTP 流量。
Kubernetes Gateway API 前測版的必要條件
Kubernetes Gateway API 預覽版有以下需求:
使用 Gateway 的預設自動部署行為。
使用
HttpRouteCRD 進行路由設定。HttpRoute必須包含指向 Gateway 的parentRef。請勿在同一個叢集中使用 Istio Gateway 和 Kubernetes Gateway API CR。
負載平衡政策
| 功能 | Google Cloud上的 GKE 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|
| 循環制 | ||
| 連線數量最少 | ||
| 隨機 | ||
| 透視 | ||
| 一致的雜湊 | ||
| 縣市 |
如要進一步瞭解負載平衡政策,請參閱目的地規則。
資料層
| 功能 | Google Cloud上的 GKE 叢集 | 其他 GKE Enterprise 叢集 |
|---|---|---|
| 補充資訊 | ||
| 氛圍 |
支援多叢集
如果是不同專案中的多個主要 GKE 叢集部署作業,則所有叢集都必須位於共用虛擬私有雲 (VPC) 中。
網路
| 功能 | Google Cloud上的 GKE 叢集 | 內部部署的 GKE Enterprise 叢集 | GKE on AWS | GKE on Azure | 附加的叢集 |
|---|---|---|---|---|---|
| 單一網路 | |||||
| 多網路 |
注意:
- 對於已連結的叢集,目前僅支援跨單一平台 (Microsoft AKS、Amazon EKS) 的多叢集網格。
部署模式
| 功能 | Google Cloud上的 GKE 叢集 | 內部部署的 GKE Enterprise 叢集 | 在其他公用雲端中使用 GKE Enterprise | 附加的叢集 |
|---|---|---|---|---|
| 多重主要版本 | ||||
| 主要遙控器 |
術語注意事項:
主要叢集是指含有控制層的叢集。單一網格可以有多個主要叢集,以便提高可用性或降低延遲時間。在 Istio 1.7 說明文件中,多主機部署會稱為複寫控制層。
遠端叢集是指連線至位於叢集外部的控制層叢集。遠端叢集可以連線至在主要叢集中執行的控制層,或連線至外部控制層。
Cloud Service Mesh 會使用簡化的網路定義,以便提供一般連線功能。如果工作負載執行個體能夠直接通訊,而不需要透過閘道,則表示位於同一個網路。
使用者介面
| 功能 | Google Cloud上的 GKE 叢集 | Google Distributed Cloud | 其他 GKE Enterprise 叢集 |
|---|---|---|---|
| Google Cloud 控制台中的 Cloud Service Mesh 資訊主頁 | * | * | |
| Cloud Monitoring | * | ||
| Cloud Logging | * | ||
| Cloud Trace | * |
注意:要建立內部部署叢集,您必須使用 GKE Enterprise 1.11 以上版本。如要進一步瞭解升級程序,請參閱「升級 VMware 適用的 Google Distributed Cloud (僅限軟體)」或「升級裸機適用的 Google Distributed Cloud (僅限軟體)」。