使用 Google Kubernetes Engine 快速开始
依照以下操作指南为 Istio 准备一个 GKE 集群。
创建一个新集群。
$ export PROJECT_ID=`gcloud config get-value project` && \
export M_TYPE=n1-standard-2 && \
export ZONE=us-west2-a && \
export CLUSTER_NAME=${PROJECT_ID}-${RANDOM} && \
gcloud services enable container.googleapis.com && \
gcloud container clusters create $CLUSTER_NAME \
--cluster-version latest \
--machine-type=$M_TYPE \
--num-nodes 4 \
--zone $ZONE \
--project $PROJECT_ID
Istio 的默认安装要求节点 vCPU 大于 1,如果您要使用配置文件示例, 您可以删除
--machine-type
参数,以使用较小的n1-standard-1
机器配置代替。要在 GKE 上使用 Istio CNI 功能,请查看 CNI 安装指南了解集群配置步骤的先决条件。
Private GKE Cluster
istiod 检测 Validation Webhook 需要 15017 端口,但自动创建的防火墙规则不会打开这个端口。
根据以下操作查看防火墙规则以允许 Master 访问:
$ gcloud compute firewall-rules list --filter="name~gke-${CLUSTER_NAME}-[0-9a-z]*-master"
替换当前的防火墙规则以允许 Master 访问:
$ gcloud compute firewall-rules update <firewall-rule-name> --allow tcp:10250,tcp:443,tcp:15017
为
kubectl
获取认证凭据。$ gcloud container clusters get-credentials <cluster-name> \
--zone <zone> \
--project <project-id>
为 Istio 创建 RBAC 规则,需要授予当前用户集群管理员(admin)权限,根据如下命令进行授权操作。
$ kubectl create clusterrolebinding cluster-admin-binding \
--clusterrole=cluster-admin \
--user=$(gcloud config get-value core/account)
多集群通信
在某些情况下,必须明确创建防火墙规则以允许跨集群流量。
以下说明将允许您项目中所有集群之间的通信。根据需要调整命令。
收集有关集群网络的信息。
$ function join_by { local IFS="$1"; shift; echo "$*"; }
$ ALL_CLUSTER_CIDRS=$(gcloud --project $PROJECT_ID container clusters list --format='value(clusterIpv4Cidr)' | sort | uniq)
$ ALL_CLUSTER_CIDRS=$(join_by , $(echo "${ALL_CLUSTER_CIDRS}"))
$ ALL_CLUSTER_NETTAGS=$(gcloud --project $PROJECT_ID compute instances list --format='value(tags.items.[0])' | sort | uniq)
$ ALL_CLUSTER_NETTAGS=$(join_by , $(echo "${ALL_CLUSTER_NETTAGS}"))
创建防火墙规则。
$ gcloud compute firewall-rules create istio-multicluster-pods \
--allow=tcp,udp,icmp,esp,ah,sctp \
--direction=INGRESS \
--priority=900 \
--source-ranges="${ALL_CLUSTER_CIDRS}" \
--target-tags="${ALL_CLUSTER_NETTAGS}" --quiet