এই পৃষ্ঠাটি Cloud Translation API অনুবাদ করেছে।

অ্যান্থোস সার্ভিস মেশ ওয়ার্কশপ: ল্যাব গাইড - জাপানিজ

1. আলফা ওয়ার্কশপ

ワークショップ কোডল্যাব へのリンク: bit.ly/asm-workshop-jp

2. 概要

アーキテクチャ図

このワークショップは、GCPでグローバルグローバルに分散されたサービスをクショップロヷスをプロダる方法を体験する、実践的なハンズオンですす。 Google Kubernetes ইঞ্জিন （GKE）と、セキュアな接続、可観測性、高度なトラフィック操作を実現するIstioサービスメ. " .

এজেন্ডা

TODO - চূড়ান্ত ব্রেকডাউন সহ আপডেট

前提条件

ワークショップを進める前に、下記の事項が必要となります:

GCP組織リソース
請求先アカウントID (あなたがこのアカウントの請求先アカウント管理カウント管理者であタ
組織レベルに対してのঅর্গানাইজেশন অ্যাডমিনিস্ট্রেটর IAMロール

3. インフラストラクチャセットアップ - 管理者用ワークフロー

ワークショップ作成スクリプトの説明

bootstrap_workshop.shというスクリプトを使用して、ワークショップの初期環境を構築、トアップできます.

ワークショップ作成スクリプトは下記の情報が必要です:

組織名(উদাহরণ। yourcompany.com )- これはあなたがワークショップ環境を作成する組織のすす
請求先アカウントID (উদাঃ। 12345-12345-12345 ) - このIDがワークショッププで作成されウプで作成求先として使われます.
ワークショップ番号(例। 01 ) - 2桁の数字।れらを個別に管理したい場合に使用されますワークショップ番号は〭にも使用されます。個別のワークショップ番号を使用すると、毎回一意しやすくなります.用されます。日付とワークショップ番号の組み合わせにより、一意のプロジェクトIDが提供।
ユーザーの開始番号(例1番号が10となります
ユーザーの終了番号(例। 10 ) - ,の終了番号が10となります.号と終了番号は同じです。これにより、単一の環境が構築されます.

管理用 GCS バケット(উদাঃ। my-gcs-bucket-name ) -に使用されます。その情報はcleanup_workshop.shプト中に作成されたすべてのリソースを適切に削除するために使われます।成する管理者は、このバケットに対する読み取り/書き込み権限が必要।

ワークショップ作成スクリプトは上記の値を使用し、 setup-terraform-admin-project.shスクリププースクリプトとして機能します.します.

ワークショップの作成に必要な管理者権限

このワークショップには2種類のユーザMY_USERがいますす.1および削除するADMIN_USER 、2番目はMY_USERで、ワークショップの手順を実行しまな聪すスのみにএডমিন_ইউজার,プを作成する場合、 ADMIN_USERとADMIN_USER MY_USER同じとなりますあなたが複数学生のたたを作成するインストラクターである場合 , ADMIN_USERとMY_USERは異なります৷

ADMIN_USERには次の組織レベルの権限が必要です:

-
,ェクト内のすべてのリソースを含む単一のフォルダを取得します।
組織の管理者
プロジェクト作成者- 組織内にプロジェクトを作成する権限।
プロジェクトの削除- 組織内のプロジェクトを削除する権限।
প্রকল্প IAM 管理者- 組織内のすべてのプロジェクトに IAM のルールを作成する権限।

ADMIN_USER要があります.

ワークショップを実行するユーザースキーマと権限

MY_USERー命名ルールに従う必要がありますああります.ザーの終了番号を指定しますこれらの番号は、次のようにユーザー名を作成するために使用:

user<3桁のユーザー番号>@<組織名>

、、、、、、というで、ユーザーの開始番号 1 およびユーザーユーザー終了番号 3 でワークショップ作成スクリプトを実行すると、にに名名ワークショップ環境環境環境が。。。。。。。。。。。。。。

user001@yourcompany.com
user002@yourcompany.com
user003@yourcompany.com

これらユーザーユーザー名に、、 সেটআপ_টরফর্ম_এডমিন_প্রজেক্ট.শ スクリプトで作成されたの所有者ロールロールがワークワークワークワークはは、はははははははははははははははははははときときときときときときときときときときときときで複数のユーザーを一度に追加する方法を参照してください.

ワークショップで必要なツール群

このワークショップはক্লাউড শেল から実行されることを想定しています.ークショップで必要となります.

gCloud (ver >= 270)
kubectl
sed (Mac OSではなくক্লাউড শেল / Linux のsedで動作します)
গিট (最新版を使っていることを確認してください)
sudo apt update
sudo apt install git
jq
envsubst
কাস্টমাইজ করা

ワークショップのセットアップ (単一ユーザーセットアップ)

ক্লাউড শেল を開き、以降の作業を Cloud Shell 上で実行します。 ক্লাউড শেল .

ক্লাউড শেল

想定している管理者ユーザーで gcloud にログインしていることを確認します.

gcloud config list

WORKDIR

mkdir asm-workshop
cd asm-workshop
export WORKDIR=`pwd`
git clone https://github.com/GoogleCloudPlatform/anthos-service-mesh-workshop.git asm

ワークショップに使用する組織名、請求アカウントআইডি আমি

gcloud organizations list
export ORGANIZATION_NAME=<ORGANIZATION NAME>

gcloud beta billing accounts list
export ADMIN_BILLING_ID=<ADMIN_BILLING ID>

export WORKSHOP_NUMBER=<two digit number for example 01>

export ADMIN_STORAGE_BUCKET=<ADMIN CLOUD STORAGE BUCKET>

bootstrap_workshop.shスクリプトを実行します。

cd asm
./scripts/bootstrap_workshop.sh --org-name ${ORGANIZATION_NAME} --billing-id ${ADMIN_BILLING_ID} --workshop-num ${WORKSHOP_NUMBER} --admin-gcs-bucket ${ADMIN_STORAGE_BUCKET} --set-up-for-admin

bootstrap_workshop.shダ内に、 টেরাফর্ম必要な残りのGCPリソースを作成するために使用されます。 terraform管理プロジェクトで必要なAPIを有効なAPIを有効にしますdiforを適用します. ক্লাউড বিল্ড Google ক্লাউড স্টোরেজてのGCPリソースのTerraform স্টেটসを保存します.

টেরাফর্ম 管理プロジェクトでCloud Buildタスクを表示するには、Terraform管理しロジェクトID.ワークショップ作成スクリプトで指定された管理用GCSーに対してワークショップ作成スクリプトスクリプトを実行する場合、すべてててリププロジェククトててててジェククトまぱジェクトIDはCS .

管理用GCSバケットからworkshop.txtファイルを取得して、terraformプロジェクトIDを叁得。

export WORKSHOP_ID="$(date '+%y%m%d')-${WORKSHOP_NUMBER}"
gsutil cp gs://${ADMIN_STORAGE_BUCKET}/${ORGANIZATION_NAME}/${WORKSHOP_ID}/workshop.txt .

ワークショップのセットアップ (複数ユーザーセットアップ)

ক্লাউড শেল を開き、以降の作業を Cloud Shell 上で実行します。 ক্লাউড শেল .

ক্লাউড শেল

想定している管理者ユーザーで gcloud にログインしていることを確認します.

gcloud config list

ওয়ার্কডাইর

mkdir asm-workshop
cd asm-workshop
export WORKDIR=`pwd`
git clone https://github.com/GoogleCloudPlatform/anthos-service-mesh-workshop.git asm

ワークショップに使用する組織名、請求アカウントআইডি আমি

gcloud organizations list
export ORGANIZATION_NAME=<ORGANIZATION NAME>

gcloud beta billing accounts list
export ADMIN_BILLING_ID=<BILLING ID>

export WORKSHOP_NUMBER=<two digit number for example 01>

export START_USER_NUMBER=<number for example 1>

export END_USER_NUMBER=<number greater or equal to START_USER_NUM>

export ADMIN_STORAGE_BUCKET=<ADMIN CLOUD STORAGE BUCKET>

bootstrap_workshop.shスクリプトを実行します。

cd asm
./scripts/bootstrap_workshop.sh --org-name ${ORGANIZATION_NAME} --billing-id ${ADMIN_BILLING_ID} --workshop-num ${WORKSHOP_NUMBER} --start-user-num ${START_USER_NUMBER} --end-user-num ${END_USER_NUMBER} --admin-gcs-bucket ${ADMIN_STORAGE_BUCKET}

管理用GCSバケットからworkshop.txtファイルを取得して、terraformプロジェクトIDを叁得。

export WORKSHOP_ID="$(date '+%y%m%d')-${WORKSHOP_NUMBER}"
gsutil cp gs://${ADMIN_STORAGE_BUCKET}/${ORGANIZATION_NAME}/${WORKSHOP_ID}/workshop.txt .

4. インフラストラクチャセットアップ - ユーザーワークフロー

所要時間: 1時間

目標: インフラストラクチャとIstioのインストールを確認する

ワークショップで利用するツールをインストール
ワークショップ用リポジトリをクローン
Infrastructure
k8s-repoのインストールを確認
Istioのインストールを確認

ユーザー情報の取得

ワークショップをセットアップする管理者は、ユーザー名とパスワー名とパスワーる提供する必要がありますのすべてのユーザーのプロジェクトには、 user001@yourcompany.com @yourcompany.レフィックスとして追加され、terraform管理プロジェクトID user001-200131-01-tf-abcdeできます.

ワークショップで必要なツール群

このワークショップはক্লাউড শেল から実行されることを想定しています.ークショップで必要となります.

gCloud (ver >= 270)
kubectl
sed (Mac OSではなくক্লাউড শেল / Linux のsedで動作します)
গিট (最新版を使っていることを確認してください)
sudo apt update
sudo apt install git
jq
envsubst
কাস্টমাইজ করা
pv

টেরাফর্ম 管理プロジェクトへのアクセス

bootstrap_workshop.shダ内に、 টেরাফর্ম必要な残りのGCPリソースを作成するために使用されます. setup-terraform-admin-project.shします. ক্লাউড বিল্ডはTerraform পরিকল্পনাを適用するために使用されます。 ক্লাউড বিল্ড , আমিバケットに構成されます.

ক্লাউড শেল を開き、以降の作業を Cloud Shell 上で実行します。 ক্লাউড শেল .

ক্লাউড শেল

কাস্টমাইজ করুন を$HOME/binにインストールし（未インストールの場合）、 $HOME/binを $PATH に加えます.

mkdir -p ${HOME}/bin
cd bin
curl -s "https://raw.githubusercontent.com/\
kubernetes-sigs/kustomize/master/hack/install_kustomize.sh"  | bash
cd ${HOME}
export PATH=$PATH:${HOME}/bin
echo "export PATH=$PATH:${HOME}/bin" >> ~/.bashrc

pv をインストールし、セッション上で設定を永続化するためにそれを.customize_environment

sudo apt-get update && sudo apt-get -y install pv
echo -e  '#!/bin/sh' >> $HOME/.customize_environment
echo -e "apt-get update" >> $HOME/.customize_environment
echo -e "apt-get -y install pv" >> $HOME/.customize_environment

想定しているユーザーで gcloud にログインしていることを確認します।

gcloud config list

ওয়ার্কডাইর

mkdir asm-workshop
cd asm-workshop
export WORKDIR=`pwd`
git clone https://github.com/GoogleCloudPlatform/anthos-service-mesh-workshop.git asm
cd asm

Terraform 管理プロジェクト ID を下記のコマンドで取得します。:

export TF_ADMIN=$(gcloud projects list | grep tf- | awk '{ print $1 }')
echo $TF_ADMIN

ワークショップに関連するすべてのリソース情報は、terraform 管理プロジェされているvars.shファイルに変数として保存されていますされていまするvars.shファイルに変数とれています得します.

mkdir vars
gsutil cp gs://${TF_ADMIN}/vars/vars.sh ./vars/vars.sh
echo "export WORKDIR=${WORKDIR}" >> ./vars/vars.sh

表示されたリンクをクリックして、Terraform 管理プロジェクトのページをリッククトのページを.

source ./vars/vars.sh
echo "https://console.cloud.google.com/cloud-build/builds?project=${TF_ADMIN}"

ক্লাউড বিল্ডページが表示されたのでので、左側ナビゲーションから履歴履歴リンククリックし、最新のビルドをクリックし、、をののののスクリプト、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、作成されます.上記のアーキテクチャ図も参考になります.

組織内の4つのGCPプロジェクト。
1 つのプロジェクトは、共有VPCが設定されているnetwork host projectは作成されません.
1つのプロジェクトは、IstioコントロールプレーンのGKEクラスタに使用されるops project ।
それ以外の2つのプロジェクトは、それぞれのサービスに取り組んスに取り組んでいる2を表しています.
3つのops 、 dev1およびdev2プロジェクトのそれぞれで、2つのGKEクラスターが作成。
Kubernetesのマニフェストファイル用の6つのフォルダを含むk8s-repoという名前のCSRリポGKE クラスタごとに1つのフォルダがあります。をクラスタにデプロイするために使用されます.
ক্লাউড বিল্ডトリガーは、 k8s-repoれのフォルダからGKEクラスタにデプロイします।

টেরাফর্ম表示されたリンクをクリックして、 opsプロジェクトのCloud Buildページを開きます.

echo "https://console.cloud.google.com/cloud-build/builds?project=${TF_VAR_ops_project_name}"

インストールの確認

すべてのクラスタを管理するためにkubeconfigファイルを作成します。下記のスク

./scripts/setup-gke-vars-kubeconfig.sh

このスクリプトは新しい kubeconfig ファイルをkubemeshという名前でgkeフォルダに作我

KUBECONFIG変数を新しい kubeconfig ファイルに変更します.

source ./vars/vars.sh
export KUBECONFIG=`pwd`/gke/kubemesh

var.sh を .bashrc に追加し、Cloud Shell が再起動した際に常に読み込まれるようにししまま

echo "source ${WORKDIR}/asm/vars/vars.sh" >> ~/.bashrc
echo "export KUBECONFIG=${WORKDIR}/asm/gke/kubemesh" >> ~/.bashrc

クラスタのコンテキストを取得します.6つのクラスタが見えるはずです.

kubectl config view -ojson | jq -r '.clusters[].name'

    `出力結果（コピーしないでください）`

gke_tf05-01-ops_us-central1_gke-asm-2-r2-prod
gke_tf05-01-ops_us-west1_gke-asm-1-r1-prod
gke_tf05-02-dev1_us-west1-a_gke-1-apps-r1a-prod
gke_tf05-02-dev1_us-west1-b_gke-2-apps-r1b-prod
gke_tf05-03-dev2_us-central1-a_gke-3-apps-r2a-prod
gke_tf05-03-dev2_us-central1-b_gke-4-apps-r2b-prod

Istio のインストール確認

すべての Pod が実行され、ジョブが完了したことを確認して、Istioが両方のクトールされていることを確認します.

kubectl --context ${OPS_GKE_1} get pods -n istio-system
kubectl --context ${OPS_GKE_2} get pods -n istio-system

    `出力結果（コピーしないでください）`

NAME                                      READY   STATUS    RESTARTS   AGE
grafana-5f798469fd-z9f98                  1/1     Running   0          6m21s
istio-citadel-568747d88-qdw64             1/1     Running   0          6m26s
istio-egressgateway-8f454cf58-ckw7n       1/1     Running   0          6m25s
istio-galley-6b9495645d-m996v             2/2     Running   0          6m25s
istio-ingressgateway-5df799fdbd-8nqhj     1/1     Running   0          2m57s
istio-pilot-67fd786f65-nwmcb              2/2     Running   0          6m24s
istio-policy-74cf89cb66-4wrpl             2/2     Running   1          6m25s
istio-sidecar-injector-759bf6b4bc-mw4vf   1/1     Running   0          6m25s
istio-telemetry-77b6dfb4ff-zqxzz          2/2     Running   1          6m24s
istio-tracing-cd67ddf8-n4d7k              1/1     Running   0          6m25s
istiocoredns-5f7546c6f4-g7b5c             2/2     Running   0          6m39s
kiali-7964898d8c-5twln                    1/1     Running   0          6m23s
prometheus-586d4445c7-xhn8d               1/1     Running   0          6m25s

    `出力結果（コピーしないでください）`

NAME                                      READY   STATUS    RESTARTS   AGE
grafana-5f798469fd-2s8k4                  1/1     Running   0          59m
istio-citadel-568747d88-87kdj             1/1     Running   0          59m
istio-egressgateway-8f454cf58-zj9fs       1/1     Running   0          60m
istio-galley-6b9495645d-qfdr6             2/2     Running   0          59m
istio-ingressgateway-5df799fdbd-2c9rc     1/1     Running   0          60m
istio-pilot-67fd786f65-nzhx4              2/2     Running   0          59m
istio-policy-74cf89cb66-4bc7f             2/2     Running   3          59m
istio-sidecar-injector-759bf6b4bc-grk24   1/1     Running   0          59m
istio-telemetry-77b6dfb4ff-6zr94          2/2     Running   4          60m
istio-tracing-cd67ddf8-grs9g              1/1     Running   0          60m
istiocoredns-5f7546c6f4-gxd66             2/2     Running   0          60m
kiali-7964898d8c-nhn52                    1/1     Running   0          59m
prometheus-586d4445c7-xr44v               1/1     Running   0          59m

Istio が両方ののののクラスタdev1クラスターにインストールインストールれていることことを確認してください。。。。。クラスターは、、、、、実行いるれ実行実行実行コントローdev1さささされますますますますますますますますますますますますますますますますますますますますますますますますますますますますます।共有します.

kubectl --context ${DEV1_GKE_1} get pods -n istio-system
kubectl --context ${DEV1_GKE_2} get pods -n istio-system

Istioが両方のdev2クラスタにインストdev2ルされていることを確認してくださいしてください. 、sidecar-ইঞ্জেক্টর、corednのみが実行されています。 ops-2共有します.

kubectl --context ${DEV2_GKE_1} get pods -n istio-system
kubectl --context ${DEV2_GKE_2} get pods -n istio-system

    `出力結果（コピーしないでください）`

NAME                                      READY   STATUS    RESTARTS   AGE
istio-citadel-568747d88-4lj9b             1/1     Running   0          66s
istio-sidecar-injector-759bf6b4bc-ks5br   1/1     Running   0          66s
istiocoredns-5f7546c6f4-qbsqm             2/2     Running   0          78s

共有コントロールプレーンのサービスディスカバリの確認

オプションで、গোপন がデプロイされていることを確認します।

kubectl --context ${OPS_GKE_1} get secrets -l istio/multiCluster=true -n istio-system
kubectl --context ${OPS_GKE_2} get secrets -l istio/multiCluster=true -n istio-system

    `出力結果（コピーしないでください）`

For OPS_GKE_1:
NAME                  TYPE     DATA   AGE
gke-1-apps-r1a-prod   Opaque   1      8m7s
gke-2-apps-r1b-prod   Opaque   1      8m7s
gke-3-apps-r2a-prod   Opaque   1      44s
gke-4-apps-r2b-prod   Opaque   1      43s

For OPS_GKE_2:
NAME                  TYPE     DATA   AGE
NAME                  TYPE     DATA   AGE
gke-1-apps-r1a-prod   Opaque   1      40s
gke-2-apps-r1b-prod   Opaque   1      40s
gke-3-apps-r2a-prod   Opaque   1      8m4s
gke-4-apps-r2b-prod   Opaque   1      8m4s

このワークショップでは、すべてのGKEクラスタが作成される単一の共有VPCを使用します。クラスタ全体でサービスを検出するには、opsクラスターで Secret として作成されたkubeconfigファイル（各アプリケーションクラスタ用）を使用します.পাইলট は、これらの সিক্রেটを介して認証された）を照会することにより、サービスを検出します丙. গোপনীয় অপ্সは、opsクラスター内のPilotが他のすべてのクラスターのKube APIサーバーにアクセスできることが必要です。 PilotがKube APIサーバーに到達できない場合、リモートサービスをServiceEntriesとして手動で追加します。 ServiceEntriesは、サービスレジストリのDNSエントリとসার্ভিস এন্ট্রিসビスを定義します。詳細については、 Istio মাল্টিক্লাস্টার

5. অবকাঠামো リポジトリの説明

অবকাঠামো ক্লাউড বিল্ড

ワークショップのGCPリソースは、 Cloud BuildとInfrastructure CSRリポジトリを使用して構築されます。ローカル端末からワークショップ作成スクリプト（ scripts/bootstrap_workshop.shにあります）を実行します。ワークショップ作成スクリプトは、GCPフォルダটেরাফর্ম 管理プロジェクト、およびCloud Buildサービスアカウントの適切カウント適切なIAM raform管理プロジェクトは、Terraform স্টেটস、ログ、およびそのその他スクリプトを保存すす.そこにはinfrastructureとk8s_repoのCSRリポジトリが含まれています。 টেরাফর্ম 管理プロジェクトには、他のワークショップリソースは組み込理プロジェクトのক্লাউড বিল্ডサービスアカウントは、ワークショップのリソースを構築するために使用されます।

Infrastructure cloudbuild.yamlすしんします.これらのツールには、gcloud SDK、terraform、およびpython、git、jqなどの他のユーティリティすゃゃ゠゠まが含まれーイメージは、 terraform planを実行し、各リソースにapplyます。各リソースの টেরাফর্মフォルダーにあります（詳細は次のセクションををク照）।成される方法に従って構築されます（たとえば、プロジェクトでリソにGCPプロジェクトが構築されます)詳細については、 cloudbuild.yamlファイルを確認してください.

ক্লাউড বিল্ড は、 infrastructure対して行われた変更は、 কোড হিসেবে অবকাঠামোクショップの状態は常にこのリポジトリに保存されます.

フォルダ構造 - チーム、環境、そしてリソース

ইনফ্রাস্ট্রাকচার,フォルダとサブフォルダに構造化されていますすすすリソースを所有するチームを表します. フォルダの次のレイヤーは、チームの特定の環境（のたとえば、dev、stage、prod）を表します।は、特定のリソース（たとえば、host_project、gke_clustersなど）を表しますします。必要なススa formファイルは、リソースフォルダー内に存在します.

このワークショップでは、次の4種類のチームが出てきます.:

অবকাঠামো - クラウドを管理するのインフラストラクチャチームを表しーーすす. 他のすべスを作成する責任があります。リソースにはTerraform 管理プロジェクトを使用ラクチャリポジトリ自体は、Terraform রাষ্ট্র ファイル（以下で説明）にあります.”よって作成されます（詳細については、モジュール0-インフラストラゃク理者用ワークフローを参照)।
নেটওয়ার্ক - ネットワークチームを表します。 ভিপিসিースを所有しています.
host project - 共有VPCのホストプロジェクトを表します.
shared VPC - 共有 VPC、サブネット、セカンダリIP範囲、ルーティング情報、ファイアアします.
ops - 運用 / DevOpsチームを表します。彼らは次のリソースを所有しています.
ops project - すべてのopsリソースのためのプロジェクトを表します।
gke clusters - リージョンごとのops GKEクラスタ。またIstioコントロールプレーンは、各ops জিকেইルされます.
k8s-repo - すべてのGKEクラスタのGKEマニフェストを含むCSRリポジトリ।
অ্যাপস - アプリケーションチームを表app2ます。このワークショップは、 app1ションします。彼らは次のリソースを所有しています.
app projects - すべてのアプリチームが個別のプロジェクトセットを持ちます।トごとに請求とIAMを制御できます।
gke clusters - これらは、アプリケーションコンテナ/ Pod が実行されるらは、ケーシ.
gce instances - オプションで、GCEインスタンスで実行されるアプリケーションこがある堁吿。ワークショップでは、অ্যাপ 1ます.

このワークショップでは、同じアプリ（Hipster ショップアプリ）を app1 と app2।

プロバイダ、State、出力 - バックエンド、共有 রাষ্ট্র

googleおよびgoogle-betaプロバイダーはgcp/[environment]/gcp/provider.tf provider.tfます。。。、すべてすべてれててますますにに個別する個別個別個別個別個別個別ををのののリソースリソースリソース各リソース各各各各各各各各各各各各各各各各各各代わりに、1か所でプロバイダを管理できます.

すべてのリソースには、リソースのtfstateファイルのすゾるbackend.tfす.このbackend.tfファイルは、スクリプト（ scripts/setup_terraform_admin_projectにある）を使用してレtemplates/backend.tf_tmplにある）から生成され、それぞれのリソースフォルダに配置されますに配置されイル置き場として使われます. জিসিএসべて、terraform管理プロジェクトにあります.

相互依存する値を持つリソースには、 output.tfファイルが含まれます必要リソースのバックエンドで定義された tfstateクラスタを作成するには、プロジェクトIDを知る必要があります।スのterraform_remote_stateデータソースを介して使用できる tfstate ファイルに output.tf を介しし

shared_state_[resource_name].tfファイルは、リソースのtfstateファイルを指すterraform_remote_stateデータタソースです. ops_gke করা_স্টেট। ,スフォルダには、 ops_projectおよびshared_vpcの শেয়ারড_স্টেট ファイルありますこれ、、、、でででクラスタを作成するはプロジェクトプロジェクトプロジェクトプロジェクトと詳細だからからですです。ですですですですですですですです、、、、スクリプトスクリプト、、スクリプトスクリプトスクリプトスクリプトスクリプトスクリプトスクリプトスクリプトスクリプトスクリプトスscripts/setup_terraform_admin_projectスクリプトテンプレート( templates/shared_state.tf_tmplにある）から生成されます。すべてのリソースの shared_state ファイgcp/[environment]/shared_statesォルダーに配置されます。必要なshared_state ファイルは、それぞれリースクリンクされています.すべてのশেয়ারড_স্টেটにsymリンクすると、すべての状態ファイルを1か所で簡単に管理できます।

変数

すべてのリソースの値は環の境変数として保存されます。ケットにあるvars.shというファイルに（エクスポートステートメントとし.には、組織ID、請求先アカウント、プロジェクト আইডি 、 Gke クラスタのの詳細などが含まれます。。の端末からからからvars.shをしして入手入手しセットアップの値値を取得できます。。。。。。。。。。。。。。。。。。。。。。

টেরফর্ম 変数は、 TF_VAR_[variable name]としてvars.shに保存保存さます。これらののは、それぞれのリソースにににする生成variables.tfvarsるするするファvariables.tfvarsルファイルののののににすべてににます変数と値が含まれれててい。 variables.tfvarsファイル、スクリプト（ scripts/setup_terraform_admin_projectト使用生成生成生成生成からからからからからからからからからからから

কে 8 এস リポジトリの説明

k8s_repoは、terraform管理プロジェクトにあるCSRリポジトリ（infrastructureリポジトリとは別）で、GKEマニフェストをすべてのGKEクラスタに保存および適用するために使用されます。 k8s_repoは、インフラストラクチャCloud Buildによって作成されます（詳細については前前のセクションを参照））。のインフラストラクチャインフラストラクチャ ক্লাউড বিল্ড プロセス中に、合計 6 つの গেকে クラスタががされます。（名クラスタクラスタクk8s_repoタクラスタフォルダフォルダフォルダフォルダますますますれれれれれれれれれれれれれれれれれれれれれれれれれれれれれれれれれれれれれれれれれれれれれれれれれれする名前）は、それぞれのリソースリソースマニフェストファイル含む含む gke クラスタークラスターにしています。インフラストラクチャの構築と同様同様、、と、するにクk8s_repo適用適用クラスタ適用クラスタ適用クラスタクラスタ適用クラスタ適用適用の適用ののののののののののののされます。 Cloud Buildは、 k8s_repoリポジトリへのコミットがあるたびにトリガーされます。インフラストラクチャと同様に、すべてのKubernetesマニフェストはコードとしてk8s_repoリポジトリに保存され、各GKEクラスターの状態は常にそれぞれのフォルダーに保存されます。

初期インフラストラクチャ構築の一部として、 k8s_repoが作成作成さ、 ইস্টিও がすべてすべてのにインストールインストールされれますますますますますますますますますますますますますます

プロジェクト, gke クラスター, そして নেমস্পেস

このショップのリソースは、、さまざま জিসিপি プロジェクトに分かれています。プロジェクトは、会社組織組織（またはがますますます内組織組織するリソースリソースをリソースリソースリソースリソースリソースリソースをリソースリソースをリソースリソースリソースリソースリソースリソースリソースリソースリソースをリソースリソースリソースリソースリソースリソースリソースリソースリソースをリソースを、なな gcp プロジェクトを使用します。個別のプロジェクトををすると、 iam アクセスアクセスの個別のセット作成を管理管理管理管理管理でレベルレベルプロジェクトプロジェクトプロジェクトプロジェクトプロジェクトプロジェクトプロジェクトももももももももももももももももももももももも

このワークショップには、それぞれそれぞれ個別のプロジェクトを持つ 5 つのチームが出てきますます。

Gcp リソースを構築するインフラストラクチャチームチーム、、、、、、、し。。彼らは、、、、、、、、（（（呼ばれる））としてインフラストラクチャをををを管理管理管理管理管理しすべてinfrastructureのののののののののののののののののののののの জিসিপি の জিসিপি で জিসিপি の জিসিপি の জিসিপি の জিসিপি の জিসিপি の জিসিপি の জিসিপি の জিসিপি の জিসিপি の জিসিপি の জিসিপি の জিসিপি の জিসিপি の জিসিপি の জিসিপি の জিসিপি の জিসিপি の জিসিপি の জিসিপি の জিসিপি の জিসিপি の জিসিপি রাজ্য 情報を保存します。これらこれらは、、、、、、およびおよびおよびおよびおよび জিসিএস バケットへののを制御制御します。。
有有 ভিপিসি を構築するネットワークネットワークチーム、 hostプロジェクトを使用しし。このプロジェクトには、 ভিপিসি 、サブネット、ルート、ファイアウォールてていいいいいいますますますををををををををををををををををををををををををををををををををををををを。すべてのプロジェクトは、ネットワークネットワークにこの単一の共有 ভিপিসি を使用してています。
Gke クラスターと asm / istio コントロールプレーンプレーンをするするするするするするするするするは、、、、、、、。。。。ののしますますますします。 opsラットフォームプラットフォームプラットフォームののししししし強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化強化とスケール管理管理する責任がありあります。このショップショップででは、をk8s_repoをををするするするするするメソッドします。。。。（（（存在し存在存在ます存在存在存在ます存在存在ます存在存在存在存在存在存在存在存在存在存在存在存在存在存在存在存在存在存在存在存在存在存在存在存在存在存在存在存在存在
最後に、アプリケーションをするするdev1 および dev2 チーム（2 つの開発チームを表す）はは独自のの使用し、、、、ははこれらこれら。。 dev2すですですdev1サービスですサービスサービスサービスサービスサービスサービスサービスサービスサービスサービスサービスサービスサービスサービスサービスサービスサービスサービスサービスサービスサービスサービス管理プラットフォーム上に構築されれます。（（মোতায়েন 、 পরিষেবা など）はk8s_repoにプッシュされ適切なクラスターこのこのこのこのこのにとプラクティスベストベストベストベストベストのののののののののののののののののののののののののののののののののののののののののののののの注意して。 ক্লাউড বিল্ড を使用しし、 Gke クラスタークラスターののののののののを自動化しし。実際の運用シナリオで、ななにににますますにににににににをををををアプリケーションをををアプリケーションアプリケーションをアプリケーションアプリケーションアプリケーションてアプリケーションててをてアプリケーションアプリケーションををアプリケーションをアプリケーションアプリケーションをををアプリケーションアプリケーション.

このワークショップには 2 種類の Gke クラスターがありありますますます

অপ্স クラスター- অপ্স チームが ডিভোপস のツールツール実行するために使用使用し。。このワークショップショップは、 এএসএম / ইস্টিও コントロールプレーンを実行してサービスを管理管理しし。。。。。。。。。。。。。。。。
アプリケーション (অ্যাপ্লিকেশন) クラスター- 開発開発がアプリケーションアプリケーションをするためにに使用し。。このワークショップでは、 হিপস্টার ショップアプリにに使用されます。。。れれます。。。れれます。。

অপ্স / অ্যাডমিন ツールをアプリケーションを実行するするクラスターからすると、、各リソースのライフサイクルを個別管理管理でき。つ、をををももにに異なるプロジェクトするするするする関連関連関連関連するする関連する関連関連関連関連関連関連関連関連関連関連関連関連。これにより、 iam 権限も管理しやすくなりますますますます

合計6つのGKEクラスターがでてきます。 opsプロジェクトでは、2つのリージョナルopsクラスターが作成されます。 ASM / Istioコントロールプレーンは、両方のopsクラスターにインストールされます。各opsクラスターは異なるリージョンにあります。さらに、 4 つのゾーンクラスターががあります。これらは個別のプロジェクトプロジェクト作成ささます。このこのショップは、のの開発開発開発の開発つにプロジェクトプロジェクトにプロジェクトににプロジェクトプロジェクトプロジェクトプロジェクト各プロジェクトプロジェクト各プロジェクト各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各各ます。アプリクラスターは、異なるゾーンゾーンのゾーンですです。 4 つのアプリクラスターは、 2 つのリージョンと 4 つのゾーンにますますこれこれリージョンゾーンのの冗長冗長性性ますます。。。。。。。。。。。。。ますます。

このワークででされるれるアプリケーションである হিপস্টার ショップアプリは、 4 つのアプリクラスターすべてにさされます各サービスはは、アプリクラスターショップショップショップショップしししししししししししししし存在し存在存在存在に存在存在にに存在存在存在に存在存在存在存在存在存在存在存在ししししししし存在しししPod）は、opsクラスターには展開されません。ただし、すべてのマイクロサービスのnamespaceとサービスリソースもopsクラスターに作成されます。ASM / Istioコントロールプレーンは、サービスディスカバリにKubernetesサービスレジストリを使用します。（অপ্স クラスターに）サービスががない場合、アプリクラスターで実行実行さている各サービスのののののの手動手動手動作成する必要ががますます。。。あります。。。。あります。。。。ありますます。

このワークででは 10 層ののマイクロアプリケーションをデプロイデプロイします。このアプリケーションは、「「「呼ばれるれるでユーザーユーザーする、、するするする、するするするし追加追加追加追加に追加追加カートカートカートカートカートカートカートカートカートてててててててててカートカートカートカートカートカートカートカートカートカートできます。

কুবারনেটস マニフェストと k8s_repo

k8s_repoを使用して、すべての Gke クラスターに কুবারনেটস リソースを追加します。これを行うに、、マニフェスト、、へへへ u u u u u u すべて、、、。。。ますますますししししししししししk8s_repoしししししししししししししししししししししししししししししししししししししししししししししししk8s_repoしししししししししししししますししますますますしますしますしますますしますしますしますますししますますますにデプロイする ক্লাউড বিল্ড ジョブをトリガーしします各クラスターのマニフェストマニフェストはクラスター名名と同じ名前別別のフォルダーフォルダーにありますますますますますますますます

6 つのクラスター名は下記になりますます:

GKE-ASM-1-R1-PROD-リージョン 1 ににリージョナル অপ্স クラスター
GKE-ASM-2-R2-PROD-リージョン 2 にあるリージョナル অপ্স クラスター
Gke-1-apps-r1a-prod-リージョン 1 のゾーン a にあるアプリクラスター
Gke-2-apps-r1b-prod-リージョン 1 のゾーン b にあるアプリクラスタークラスター
Gke-3-apps-r2a-prod-リージョン 2 のゾーン a にあるアプリクラスター
Gke-4-apps-r2b-prod-リージョン 2 のゾーン b にあるアプリクラスタークラスター

k8s_repoには、これらのクラスタークラスターにするフォルダーががあります。これらフォルダーフォルダーにされた、対応れれれれさ、管理、ははははマニフェストマニフェストマニフェストマニフェストマニフェストマニフェストマニフェストマニフェストマニフェストマニフェストマニフェストマニフェストマニフェストマニフェストマニフェストマニフェストマニフェストマニフェストマニフェストマニフェストマニフェストマニフェストマニフェストマニフェストマニフェストマニフェストマニフェストマニフェストマニフェストマニフェストマニフェストマニフェストマニフェストのメインフォルダー内）にさされます。。ワークショップでではকাস্টমাইজを使用使用し、デプロイされるを追跡はしは詳細ててしししてしし参照参照参照参照参照参照参照参照をををををををををををををををををををををを

6. サンプルアプリをデプロイする

目標: হিপস্টার ショップアプリを অ্যাপ্লিকেশন クラスターにデプロイする

k8s-repoポジトリをクローン
হিপস্টার ショップのマニフェストマニフェスト全ての অ্যাপ্লিকেশন クラスターにコピー
হিপস্টার ショップアプリののに পরিষেবাগুলি を অপ্স クラスターに作成
グローバルの接続性をテストするためためためためためためためたloadgeneratorをををクラスターにセットアップセットアップ
হিপস্টার ショップアプリへのセキュアなな接続を確認

অপ্স プロジェクトのリポジトリをクローン

ののののの構築の一部一部とし、 k8s-repoは অপ্স プロジェクトで既に既に作成済みです。。。。。。。。。。。。。

ওয়ার্কডির の下に、リポジトリ用ののフォルダを作成作成します。:

mkdir ${WORKDIR}/k8s-repo
cd ${WORKDIR}/k8s-repo

গিট リポジトリとして初期化し、リモートリモートのリポジトリ追加、、 মাস্টার ブランチを পুল しますますます:

git init && git remote add origin \
 https://source.developers.google.com/p/${TF_VAR_ops_project_name}/r/k8s-repo

গিট のローカル設定を行いますます。。

git config --local user.email ${MY_USER}
git config --local user.name "K8s repo user"
git config --local \
credential.'https://source.developers.google.com'.helper gcloud.sh
git pull origin master

マニフェストのコピー、コミット、そしてそしてプッシュ

হিপস্টার শপ マニフェストをすべてのクラスターのソースリポジトリにコピーしします。。

cd ${WORKDIR}/asm
cp -r k8s_manifests/prod/app/* ../k8s-repo/${DEV1_GKE_1_CLUSTER}/app/.
cp -r k8s_manifests/prod/app/* ../k8s-repo/${DEV1_GKE_2_CLUSTER}/app/.
cp -r k8s_manifests/prod/app/* ../k8s-repo/${DEV2_GKE_1_CLUSTER}/app/.
cp -r k8s_manifests/prod/app/* ../k8s-repo/${DEV2_GKE_2_CLUSTER}/app/.
cp -r k8s_manifests/prod/app/* ../k8s-repo/${OPS_GKE_1_CLUSTER}/app/.
cp -r k8s_manifests/prod/app/* ../k8s-repo/${OPS_GKE_2_CLUSTER}/app/.

হিপস্টার ショップは、、、、、、アプリケーションに展開さされます。。。。。。。。ははは、、、、、、、プレーンでのみ使用されますます。。クラスターからからからからからからショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップショップ、ショップショップショップショップショップショップ、ショップショップのショップ、の、、、、、、、、、、、、

rm -rf ../k8s-repo/${OPS_GKE_1_CLUSTER}/app/deployments
rm -rf ../k8s-repo/${OPS_GKE_2_CLUSTER}/app/deployments
rm -rf ../k8s-repo/${OPS_GKE_1_CLUSTER}/app/podsecuritypolicies
rm -rf ../k8s-repo/${OPS_GKE_2_CLUSTER}/app/podsecuritypolicies
rm -rf ../k8s-repo/${OPS_GKE_1_CLUSTER}/app/rbac
rm -rf ../k8s-repo/${OPS_GKE_2_CLUSTER}/app/rbac

1 つの দেব クラスター以外のすべてからからからから rbac および পডসিকিউরিটিপলিসি を削除削除ます。。。マルチマルチクラスタークラスター展開用たたものものものものものものものものではなくではなくではなくではなくではなくではなく、、ではなくではなくではなくではなくではなくではなく、、、、、、のののののののののののののののののののをののののをののののをのをのを実行ををを実行実行しことことことししししことしことしししししししししことことししししてカート情報に矛盾が生じ生じてしまいます。

rm ../k8s-repo/${DEV1_GKE_2_CLUSTER}/app/deployments/app-cart-service.yaml
rm ../k8s-repo/${DEV1_GKE_2_CLUSTER}/app/podsecuritypolicies/cart-psp.yaml
rm ../k8s-repo/${DEV1_GKE_2_CLUSTER}/app/rbac/cart-rbac.yaml

rm ../k8s-repo/${DEV2_GKE_1_CLUSTER}/app/deployments/app-cart-service.yaml
rm ../k8s-repo/${DEV2_GKE_1_CLUSTER}/app/podsecuritypolicies/cart-psp.yaml
rm ../k8s-repo/${DEV2_GKE_1_CLUSTER}/app/rbac/cart-rbac.yaml

rm ../k8s-repo/${DEV2_GKE_2_CLUSTER}/app/deployments/app-cart-service.yaml
rm ../k8s-repo/${DEV2_GKE_2_CLUSTER}/app/podsecuritypolicies/cart-psp.yaml
rm ../k8s-repo/${DEV2_GKE_2_CLUSTER}/app/rbac/cart-rbac.yaml

のの দেব クラスターのみのみ、 কার্টসার্ভিস ডিপ্লোয়মেন্ট 、 আরবিএসি 、および পডসিকিউরিটিপলিসি を কাস্টমাইজেশন.ওয়ামল に追加追加し。。。。。。。。。。。。。

cd ../k8s-repo/${DEV1_GKE_1_CLUSTER}/app
cd deployments && kustomize edit add resource app-cart-service.yaml
cd ../podsecuritypolicies && kustomize edit add resource cart-psp.yaml
cd ../rbac && kustomize edit add resource cart-rbac.yaml
cd ${WORKDIR}/asm

ওপিএস クラスターの কাস্টমাইজেশন.ইএএমএল から পডসিকিউরিটিপোলিস 、 মোতায়েন 、 আরবিএসি ディレクトリを削除削除し。。。。。。。。

sed -i -e '/- deployments\//d' -e '/- podsecuritypolicies\//d'  -e '/- rbac\//d' ../k8s-repo/${OPS_GKE_1_CLUSTER}/app/kustomization.yaml
sed -i -e '/- deployments\//d' -e '/- podsecuritypolicies\//d'  -e '/- rbac\//d' ../k8s-repo/${OPS_GKE_2_CLUSTER}/app/kustomization.yaml

আরবিএসি マニフェストの প্রকল্প_আইডি を置き換えます。。

sed -i 's/${PROJECT_ID}/'${TF_VAR_dev1_project_name}'/g'  ../k8s-repo/${DEV1_GKE_1_CLUSTER}/app/rbac/*
sed -i 's/${PROJECT_ID}/'${TF_VAR_dev1_project_name}'/g'  ../k8s-repo/${DEV1_GKE_2_CLUSTER}/app/rbac/*
sed -i 's/${PROJECT_ID}/'${TF_VAR_dev2_project_name}'/g'  ../k8s-repo/${DEV2_GKE_1_CLUSTER}/app/rbac/*
sed -i 's/${PROJECT_ID}/'${TF_VAR_dev2_project_name}'/g'  ../k8s-repo/${DEV2_GKE_2_CLUSTER}/app/rbac/*

ইঙ্গ্রেসগেটওয়ে および ভার্চুয়াল সার্ভিস マニフェストを অপ্স クラスターのソースリポジトリにコピーします。。

cp -r k8s_manifests/prod/app-ingress/* ../k8s-repo/${OPS_GKE_1_CLUSTER}/app-ingress/
cp -r k8s_manifests/prod/app-ingress/* ../k8s-repo/${OPS_GKE_2_CLUSTER}/app-ingress/

কনফিগারেশন সংযোগকারী リソースを各プロジェクトのクラスターの 1 つにコピーしますます。。。。

cp -r k8s_manifests/prod/app-cnrm/* ../k8s-repo/${OPS_GKE_1_CLUSTER}/app-cnrm/
cp -r k8s_manifests/prod/app-cnrm/* ../k8s-repo/${DEV1_GKE_1_CLUSTER}/app-cnrm/
cp -r k8s_manifests/prod/app-cnrm/* ../k8s-repo/${DEV2_GKE_1_CLUSTER}/app-cnrm/

কনফিগারেশন সংযোগকারী マニフェストの প্রকল্প_আইডি を置き換えます。。

sed -i 's/${PROJECT_ID}/'${TF_VAR_ops_project_name}'/g' ../k8s-repo/${OPS_GKE_1_CLUSTER}/app-cnrm/*
sed -i 's/${PROJECT_ID}/'${TF_VAR_dev1_project_name}'/g'  ../k8s-repo/${DEV1_GKE_1_CLUSTER}/app-cnrm/*
sed -i 's/${PROJECT_ID}/'${TF_VAR_dev2_project_name}'/g'  ../k8s-repo/${DEV2_GKE_1_CLUSTER}/app-cnrm/*

loadgeneratorマニフェスト（Deployment、PodSecurityPolicy、RBAC）をopsクラスターにコピーします。 Hipsterショップアプリは、グローバルなGoogle Cloud Load Balancer（GCLB）を使用して公開されます。 GCLBはクライアントトラフィック（ frontend宛て）を受信し、の最も近いインスタンスに送信送信し。。。。。両方ののののloadgeneratorののと、、 অপ্স クラスターで実行実行されてているのの負荷負荷負荷負荷ますますれれれれれれれさささささささささささささささささささささささささささささささささささささささささささささささささささささささささささささささささささささ説明します。

cp -r k8s_manifests/prod/app-loadgenerator/. ../k8s-repo/gke-asm-1-r1-prod/app-loadgenerator/.
cp -r k8s_manifests/prod/app-loadgenerator/. ../k8s-repo/gke-asm-2-r2-prod/app-loadgenerator/.

両方ののののloadgeneratorラスターののののののののののプロジェクト আইডি を置き換えます。。

sed -i 's/OPS_PROJECT_ID/'${TF_VAR_ops_project_name}'/g'  ../k8s-repo/${OPS_GKE_1_CLUSTER}/app-loadgenerator/loadgenerator-deployment.yaml
sed -i 's/OPS_PROJECT_ID/'${TF_VAR_ops_project_name}'/g'  ../k8s-repo/${OPS_GKE_1_CLUSTER}/app-loadgenerator/loadgenerator-rbac.yaml

sed -i 's/OPS_PROJECT_ID/'${TF_VAR_ops_project_name}'/g'  ../k8s-repo/${OPS_GKE_2_CLUSTER}/app-loadgenerator/loadgenerator-deployment.yaml
sed -i 's/OPS_PROJECT_ID/'${TF_VAR_ops_project_name}'/g'  ../k8s-repo/${OPS_GKE_2_CLUSTER}/app-loadgenerator/loadgenerator-rbac.yaml

両方ののののクラスターのloadgeneratorリソースを কাস্টমাইজেশন.ইএএমএল に追加します。。。。。。。。。。。。

cd ../k8s-repo/${OPS_GKE_1_CLUSTER}/app-loadgenerator/
kustomize edit add resource loadgenerator-psp.yaml
kustomize edit add resource loadgenerator-rbac.yaml
kustomize edit add resource loadgenerator-deployment.yaml

cd ../../${OPS_GKE_2_CLUSTER}/app-loadgenerator/
kustomize edit add resource loadgenerator-psp.yaml
kustomize edit add resource loadgenerator-rbac.yaml
kustomize edit add resource loadgenerator-deployment.yaml

k8s-repoにコミットします。。

cd ${WORKDIR}/k8s-repo
git add . && git commit -am "create app namespaces and install hipster shop"
git push --set-upstream origin master

ロールアウトが完了するのをを待ちます。

../asm/scripts/stream_logs.sh $TF_VAR_ops_project_name

アプリケーションの展開を確認する

カートを除いたすべてすべてアプリケーションアプリケーション নেমস্পেস の পড が、、の দেব クラスターで実行状態（状態状態状態であるであることことを確認確認しますますますますますますますますますますますますますますますますますますますます

for ns in ad checkout currency email frontend payment product-catalog recommendation shipping; do
  kubectl --context ${DEV1_GKE_1} get pods -n ${ns};
  kubectl --context ${DEV1_GKE_2} get pods -n ${ns};
  kubectl --context ${DEV2_GKE_1} get pods -n ${ns};
  kubectl --context ${DEV2_GKE_2} get pods -n ${ns};
done;

出力結果（コピーしないでください）

NAME                               READY   STATUS    RESTARTS   AGE
currencyservice-5c5b8876db-pvc6s   2/2     Running   0          13m
NAME                               READY   STATUS    RESTARTS   AGE
currencyservice-5c5b8876db-xlkl9   2/2     Running   0          13m
NAME                               READY   STATUS    RESTARTS   AGE
currencyservice-5c5b8876db-zdjkg   2/2     Running   0          115s
NAME                               READY   STATUS    RESTARTS   AGE
currencyservice-5c5b8876db-l748q   2/2     Running   0          82s

NAME                            READY   STATUS    RESTARTS   AGE
emailservice-588467b8c8-gk92n   2/2     Running   0          13m
NAME                            READY   STATUS    RESTARTS   AGE
emailservice-588467b8c8-rvzk9   2/2     Running   0          13m
NAME                            READY   STATUS    RESTARTS   AGE
emailservice-588467b8c8-mt925   2/2     Running   0          117s
NAME                            READY   STATUS    RESTARTS   AGE
emailservice-588467b8c8-klqn7   2/2     Running   0          84s

NAME                        READY   STATUS    RESTARTS   AGE
frontend-64b94cf46f-kkq7d   2/2     Running   0          13m
NAME                        READY   STATUS    RESTARTS   AGE
frontend-64b94cf46f-lwskf   2/2     Running   0          13m
NAME                        READY   STATUS    RESTARTS   AGE
frontend-64b94cf46f-zz7xs   2/2     Running   0          118s
NAME                        READY   STATUS    RESTARTS   AGE
frontend-64b94cf46f-2vtw5   2/2     Running   0          85s

NAME                              READY   STATUS    RESTARTS   AGE
paymentservice-777f6c74f8-df8ml   2/2     Running   0          13m
NAME                              READY   STATUS    RESTARTS   AGE
paymentservice-777f6c74f8-bdcvg   2/2     Running   0          13m
NAME                              READY   STATUS    RESTARTS   AGE
paymentservice-777f6c74f8-jqf28   2/2     Running   0          117s
NAME                              READY   STATUS    RESTARTS   AGE
paymentservice-777f6c74f8-95x2m   2/2     Running   0          86s

NAME                                     READY   STATUS    RESTARTS   AGE
productcatalogservice-786dc84f84-q5g9p   2/2     Running   0          13m
NAME                                     READY   STATUS    RESTARTS   AGE
productcatalogservice-786dc84f84-n6lp8   2/2     Running   0          13m
NAME                                     READY   STATUS    RESTARTS   AGE
productcatalogservice-786dc84f84-gf9xl   2/2     Running   0          119s
NAME                                     READY   STATUS    RESTARTS   AGE
productcatalogservice-786dc84f84-v7cbr   2/2     Running   0          86s

NAME                                     READY   STATUS    RESTARTS   AGE
recommendationservice-5fdf959f6b-2ltrk   2/2     Running   0          13m
NAME                                     READY   STATUS    RESTARTS   AGE
recommendationservice-5fdf959f6b-dqd55   2/2     Running   0          13m
NAME                                     READY   STATUS    RESTARTS   AGE
recommendationservice-5fdf959f6b-jghcl   2/2     Running   0          119s
NAME                                     READY   STATUS    RESTARTS   AGE
recommendationservice-5fdf959f6b-kkspz   2/2     Running   0          87s

NAME                              READY   STATUS    RESTARTS   AGE
shippingservice-7bd5f569d-qqd9n   2/2     Running   0          13m
NAME                              READY   STATUS    RESTARTS   AGE
shippingservice-7bd5f569d-xczg5   2/2     Running   0          13m
NAME                              READY   STATUS    RESTARTS   AGE
shippingservice-7bd5f569d-wfgfr   2/2     Running   0          2m
NAME                              READY   STATUS    RESTARTS   AGE
shippingservice-7bd5f569d-r6t8v   2/2     Running   0          88s

কার্ট নেমস্পেস の পড が、最初の দেব クラスターでのみ実行実行（状態状態状態）であることをを確認します。。。。。。。。。。。。。。。。。

kubectl --context ${DEV1_GKE_1} get pods -n cart;

出力結果（コピーしないでください）

NAME                           READY   STATUS    RESTARTS   AGE
cartservice-659c9749b4-vqnrd   2/2     Running   0          17m

হিপস্টার ショップアプリケーションへへアクセス

グローバル負荷分散

これで 4 つのアプリクラスタークラスターに হিপস্টার শপ アプリが展開展開れました。これらのはは、つのとクライアントクライアントクライアントクライアントクライアントににアプリアプリショップアプリショップショップショップショップショップしショップショップショップショップfrontendョップししててしししししししししししししししししししししししししししししししししししししししししししししししししししししししししししてしててししししししししててfrontendサービスは、 4 つのアプリクラスターすべてで実行さされます。 গুগল ক্লাউড লোড ব্যালেন্সার （ জিসিএলবি ）を使用し、、、の 4 つのインスfrontendンスすべてクライアントトラフィックトラフィックを取得取得します。。を取得しします。。。取得取得します。。。

Istio ingress ゲートウェイははははのみのみされ、リージョンリージョン内 2 つのゾーンアプリケーションクラスターに対するリージョナルロードバランサーとして機能します。エンドエンドエンドエンドサービスサービスつつてててつてつつつつつつつつつつつつ実行）を使用しし。。 ইস্টিও ইনগ্রেস ゲートウェイは、 জিসিএলবি からクライアントトラフィックを受信し、クライアントトラフィックをアプリケーションクラスターで実行されているフロント পড に送信送信します。。。。ます。。。。ます。。。。。。。。。。。。。

また、 istio incres

Gke অটোনগ コントローラー

ইস্টিও ইনগ্রেস ゲートウェイ কুবারনেটস সার্ভিস は、ネットワークエンドポイント（（（（（ををして、 জিসিএলবি のバックエンドとして自身登録します。。、、分散がががががががが分散が分散負荷負荷分散分散分散分散負荷分散負荷負荷負荷負荷がが負荷負荷負荷分散がががががががががが分散が分散がが分散分散がががが分散が分散ががががががががががががががががががががが分散がががががががは分散ががががががががががが分散分散がはががははがはががはががはの特別アノテーションアノテーションを使って作成作成される、、、、コントローラーに自身を登録できます。。。。。。。特別なななでで、、化ししししししししエンドエンドエンドエンドエンドバックをバックをををバックそれらそれらそれらそれらそれらそれらてそれらそれらてそれらそれらてててそれらててそれらてててそれらててそれらそれらててそれらそれらてそれらてそれらそれらてそれらてそれら割り当てます。 istio イングレスゲートウェイを含む istio コントロールプレーンは、、、、、イニシャルインフラストラクチャで展開されます。。。。。。。。。。、、、、、、インフラストラクチャイニシャルイニシャルイニシャルイニシャルイニシャルイニシャルイニシャルイニシャルイニシャルイニシャルイニシャルイニシャルイニシャルイニシャルイニシャルイニシャル一部一部一部一部としてとしてとしてとしてとして行わ行われれれますますますますますますますますますますますますますますますますますますますますますますますますますますますますますますますますますますますますます

ক্লাউড এন্ডপয়েন্টস とマネージド証明書を使っ使っセキュアな ইনগ্রেস

জিসিপি マネージド証明書は、 frontend জিসিএলবি サービスへのクライアントトラフィックトラフィックをするために使用さます。。 জিসিএলবি ははグローバfrontendグローバルををれれ使用使用使用ししししししししししし、さささささ証明書のドメインとしてক্লাউড এন্ডপয়েন্টসを使用使用ます。または、、、、、とと dns 名を使用してて জিসিপি マネージド証明書書を作成できますfrontend書を作成できます。。。。

হিপস্টার ショップにアクセスするためにに、下記コマンドコマンドで出力されるリンクをクリックしします。

echo "https://frontend.endpoints.${TF_VAR_ops_project_name}.cloud.goog"

Chrome タブの url バーのロック記号ををして、証明書証明書がであることことを確認できます。。。。。

グローバル負荷分散の確認

アプリケーション展開の一部とし、、 জিসিএলবি হিপস্টার ショップの ক্লাউড এন্ডপয়েন্টস リンクへテストトラフィックを生成するするののクラスターに負荷生成機能機能機能たたたたたたゲートウェイ。。送信送信ににににに両方両方両方、、、、、、し、、、、、、、受信受信、受信、受信受信受信受信受信受信、、受信受信受信受信受信受信受信受信受信、、、受信受信、、、受信、ていることを確認しますます。

হিপস্টার ショップ জিসিএলবি が作成されれいるいるいるいるいるいるのজিসিএলবি> মনিটরিংリンクを取得しします。

echo "https://console.cloud.google.com/net-services/loadbalancing/details/http/istio-ingressgateway?project=${TF_VAR_ops_project_name}&cloudshell=false&tab=monitoring&duration=PT1H"

以下に示すように、、、、、、、ドロップダウンメニューからসমস্ত ব্যাকেন্ডからআইটিও-ইনগ্রেসগেটওয়েに変更しします。

ののistio-ingressgatewaysに向かうトラフィックを確認ししてください。

istio-ingressgatewayごとに3つのNEGが作成されます。 opsクラスターはリージョナルクラスターであるため、リージョン内の各ゾーンに対して1つのNEGが作成されます。ただし、 istio-ingressgateway Podは、リージョンごとに単一のゾーンで実行されれます。ここでは、 istio-ingressgateway

負荷生成機能は、、のののクラスターでされ、、 2 つのリージョンからのクライアントトラフィックトラフィックをしますますクラスターリージョン 1 でで生成生成さ、負荷、リージョンリージョンリージョンのののますれれれistio-ingressgatewayさクラスターリージョン 2 で生成された負荷負荷は、、 1 のistio-ingressgatewayに送信さされます。。。。。。。。。。。

7. স্ট্যাকড্রাইভার による可観測性

目標: Istio のテレメトリデータを স্ট্যাকড্রাইভার に連携し、確認する

istio-telemetryリソースをインストール
Istio পরিষেবা のダッシュダッシュを作成/更新
コンテナのログを表示
স্ট্যাকড্রাইভার で分散トレーシング情報をを表示

Istio の主要な機能の 1 つは、、の可観測性（（（（（（（はは、機能機能入っいてててトラフィックする出入りするをコンテナをコンテナコンテナコンテナコンテナコンテナコンテナコンテナコンテナののののコンテナののコンテナコンテナののコンテナのののののコンテナののコンテナコンテナのの観察し、顧客にサービスを提供提供できることを意味しますます。観察は、メトリックメトリック、、およびトレースといくつかの異なるの形取りますますますますますますますますます

また、 হিপস্টার ショップに組み込まれてている生成機能をを利用します。観測性は、のないでしためためためためする負荷をを動作動作動作そのその動作そのそのそのそのそのそのそのそのそのそのそのそのそのそのそのそのそのその、そのそのそのそのその、、、その生成はすでに実行されているいるので、にに確認可能です。

Istio を স্ট্যাকড্রাইভার の構成ファイルにインストールします。。

cd ${WORKDIR}/k8s-repo

cd gke-asm-1-r1-prod/istio-telemetry
kustomize edit add resource istio-telemetry.yaml

cd ../../gke-asm-2-r2-prod/istio-telemetry
kustomize edit add resource istio-telemetry.yaml

কে 8 এস-রেপো にコミットします。。

cd ../../
git add . && git commit -am "Install istio to stackdriver configuration"
git push

ロールアウトが完了するのをを待ちます。

../asm/scripts/stream_logs.sh $TF_VAR_ops_project_name

ইস্টিও → স্ট্যাকড্রাইভার の連携を確認確認ます。 স্ট্যাকড্রাইভার হ্যান্ডলার সিআরডি を取得します。。

kubectl --context ${OPS_GKE_1} get handler -n istio-system

出力には、 স্ট্যাকড্রাইভার というのの হ্যান্ডলার が表示されるれるですです:

NAME            AGE
kubernetesenv   12d
prometheus      12d
stackdriver     69s

Istio のメトリックスが স্ট্যাকড্রাইভার にエクスポートされていることことを確認ます。このこのコマンドから出力されるリンクをクリックししますます。。。。。。。

echo "https://console.cloud.google.com/monitoring/metrics-explorer?cloudshell=false&project=${TF_VAR_ops_project_name}"

ওপিএস プロジェクトにちなんで命名されれた新しいスペーススペースを作成するように求められるので、 [ঠিক আছে] を選択します。新しい新しいささされ

メトリクスエクスプローラーで、 [レコードタイプ] をクリッククリックし、 istio 」とと入力ます。。「「「「リソースタイプに「「「「「ありありがありありありありメッシュメトリックメッシュメッシュメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックいることを示していますます。

（以下の行を表示するする場合は、、、、、、、、グループ化化する必要がありあり。。）））

ダッシュボードでメトリクスを可視化するする:

がが স্ট্যাকড্রাইভার এপিএম システムにあるので、それらを視覚化するするが必要です。このこのでは、メトリクスの 4 つののしししインストールインストールインストールをボードボードをボードダッシュダッシュダッシュダッシュののののののの済みのの済み済み済み済み済み済み済み済みのの済み済み済み済み済み済みの済み済み済みの済みののののの済みのの1 秒あたりのリクエスト数））、レイテンシ（この場合、 99 パーセンタイルパーセンタイル 50 パーセンタイル）、エラー（この例でははを除外してています）））。。。。。。。。。。。。。。。。。。。

আইএসটিও のプロキシはいくつかのを提供しますががこれらは使い始めるのにたたセットです（完全なリストはです））各各はは、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、 আল などのフィルタリングや集計に使用できるラベルのセットセットがあるにに注意してくださいくださいくださいください

次、あらかじめ用意さされているいるダッシュボードを追加追加しましょう。。しますこれで生成生成するする化化化自動自動自動自動自動自動自動ののののなんらかのなんらか。。。。。。。。。んんんんんんんんん、 ওয়েব ইউআই でダッシュボードを手動手動で作成ます。。これにより、すぐに使い始め始められます。。。。。

cd ${WORKDIR}/asm/k8s_manifests/prod/app-telemetry/

sed -i 's/OPS_PROJECT/'${TF_VAR_ops_project_name}'/g'  services-dashboard.json
OAUTH_TOKEN=$(gcloud auth application-default print-access-token)
curl -X POST -H "Authorization: Bearer $OAUTH_TOKEN" -H "Content-Type: application/json" \
https://monitoring.googleapis.com/v1/projects/${TF_VAR_ops_project_name}/dashboards \
 -d @services-dashboard.json

以下の出力されたリンクリンクに移動して、新しく追加追加さたダッシュボードボードを表示しますます。。。。

echo "https://console.cloud.google.com/monitoring/dashboards/custom/servicesdash?cloudshell=false&project=${TF_VAR_ops_project_name}"

Ux を使用してダッシュボードををその場で編集することももますが、今回のケースでは、しすばやく追加すばやくすばやくを、のボードダッシュボードダッシュ、、、、はははははははははははははははははははははははははははははははは編集内容を適用してから、、、、、、使用使用してプッシュする必要ががあります。。。。

モニタリング এপিআই を使い、既存のダッシュダッシュボードを取得できます。追加したばかりのダッシュボードを取得しします。

curl -X GET -H "Authorization: Bearer $OAUTH_TOKEN" -H "Content-Type: application/json" \
https://monitoring.googleapis.com/v1/projects/${TF_VAR_ops_project_name}/dashboards/servicesdash > sd-services-dashboard.json

新しいグラフの：（50 তম ％ আইল ল্যাটেন্সি）： [ এপিআই রেফারেন্স] これ、新しいグラフグラフウィジェット追加できでき。ピアピアささチェックインチェックインチェックイン管理管理管理管理管理管理追加するウィジェットは、 50 ％のの待機（（（（（（（（の中央値を示し示しています。

取得したばかりのダッシュボードをを編集して、新しい節節追加してみみてください:

jq --argjson newChart "$(<new-chart.json)" '.gridLayout.widgets += [$newChart]' sd-services-dashboard.json > patched-services-dashboard.json

のの সার্ভিসেসড্যাশবোর্ড を更新します:

curl -X PATCH -H "Authorization: Bearer $OAUTH_TOKEN" -H "Content-Type: application/json" \
https://monitoring.googleapis.com/v1/projects/${TF_VAR_ops_project_name}/dashboards/servicesdash \
 -d @patched-services-dashboard.json

次の出力されたリンクにに移動して、更新ささたダッシュボードをを表示しますますます

echo "https://console.cloud.google.com/monitoring/dashboards/custom/servicesdash?cloudshell=false&project=${TF_VAR_ops_project_name}"

簡単なログ分析を行いますます。

Istio は、すべてのインメッシュネットワークトラフィックネットワークトラフィックの構造ログログのセットをを提供、それらそれらをアップロードアップロードつつクロス、、、は、ははははははははににににログログログログますますますますますますますますますますますますますますますますますますますますますますますしますししししししししししします、、 সংযোগ_আইডি などのサービスレベルのメタデータが追加さされますます

ログエントリの例（このこの、、、、ののののののは次のようになります（（整形済み）））:

  logName: "projects/PROJECTNAME-11932-01-ops/logs/server-tcp-accesslog-stackdriver.instance.istio-system" 
labels: {
  connection_id: "fbb46826-96fd-476c-ac98-68a9bd6e585d-1517191"   
  destination_app: "redis-cart"   
  destination_ip: "10.16.1.7"   
  destination_name: "redis-cart-6448dcbdcc-cj52v"   
  destination_namespace: "cart"   
  destination_owner: "kubernetes://apis/apps/v1/namespaces/cart/deployments/redis-cart"   
  destination_workload: "redis-cart"   
  source_ip: "10.16.2.8"   
  total_received_bytes: "539"   
  total_sent_bytes: "569" 
...  
 }

ここでログを表示します。。:

echo "https://console.cloud.google.com/logs/viewer?cloudshell=false&project=${TF_VAR_ops_project_name}"

Istio のコントロールプレーンログを表示表示するにはリソースリソースリソースリソースリソース> কুবারনেটস コンテナーを選択選択し "পাইলট"-で検索しし。。。

ここでは、各サンプルアプリサービスサービスのプロキシ設定ををプッシュプッシュプッシュ istio コントロールプレーンを見る見ることができ。。

Istio のログを超えて、、コンテナログだけでなく、インフラストラクチャまたはまたは他 জিসিপি サービスログもすべて同じインターフェイスで見つけることができます。。。。サンプルサンプルをを次にに。ログビューアログビューアででは、からメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックメトリックを作成ことこともできます（たとえばたとえば、文字列にに一致するすべてのエラーをカウントする」）。ダッシュボードとしてとしてできできのののののののの、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、ストリーミングすることもできできます。

হিপস্টার ショップ用のいくつかののサンプルフィルターを示します:

resource.type="k8s_container" labels.destination_app=" productcatalogservice "

resource.type="k8s_container" resource.labels.namespace_name=" cart "

分散トレーシングを確認しします。

分散を使用しているいるため、デバッグデバッグは新しいツールである分散トレースが必要です。ツールツールを使用、相互作用作用相互作用相互相互相互作用作用情報作用情報情報情報情報統計イベントの検出など）を見つけたりたり、生のサンプルトレースを見て、実際に何が起こっているののか調べたりたりすることができます。。。。ことができます。。।

タイムにはは最終的的にエンドユーザーユーザー応答するまでののすべてのリクエストが時系列に表示さます。からからグラフグラフによって時間時間のののののののまでののまでまでのリクエストリクエストリクエストリクエストリクエストリクエストリクエストリクエストリクエストリクエストリクエストリクエストリクエストリクエストリクエストリクエストリクエストリクエストリクエストリクエストリクエストリクエストリクエスト。ドットが高くなるほど、ユーザーユーザーエクスペリエンスがなりなります（そして不幸になります！！））

ドットクリックすると、そのその特定のリクエストの詳細なウォーターフォールビューを見つけることができます。の詳細ののだけでなく））見つける見つける理解理解を相互相互ののののののの間ののののののののの間間間間間間間間間間間間するために、特にサービス間ののまれではある良くない相互作用を探し出す場合にに不可欠です。。。。

ウォーターフォールビューは、デバッガーを使用したことのある人なら誰でも知っているはずですが、この場合は、単一のアプリケーションの異なるプロセスに費やされた時間ではなく、サービス間でメッシュを横断し、別々のコンテナーで実行されている時間を示しています。

ここでトレースを見つけることができます。:

echo "https://console.cloud.google.com/traces/overview?cloudshell=false&project=${TF_VAR_ops_project_name}"

ツールのスクリーンショットの例:

クラスター内の可観測ツールを公開します。

PrometheuとGrafanaは、opsクラスターのIstioコントロールプレーンの一部として展開されるオープンソースの可観測性ツールです。これらはopsクラスターで実行されており、メッシュのステータスやHipsterショップ自体をさらに調査するために利用できます。

これらのツールを表示するには、Cloud Shellから次のコマンドを実行するだけです（見るべきものがあまり無いため、Prometheusはスキップします）:

kubectl --context ${OPS_GKE_1} -n istio-system port-forward svc/grafana 3000:3000 >> /dev/null &

次に、公開されたサービス（3000）をCloud Shell Webプレビュータブで開きます。

https://ssh.cloud.google.com/devshell/proxy?authuser=0&port=3000&environment_id=default
(必ずCloud Shellと同じChromeのシークレットウィンドウでURLを開いてください)

Grafanaは、Stackdriverのカスタムダッシュボードに似たメトリックダッシュボードシステムです。 Istioのインストールには、特定のIstioメッシュで実行されているサービスとワークロードのメトリック、およびIsito Control Plane自体のヘルスを表示するために使用できるいくつかのビルド済みダッシュボードが付属しています。

8. 相互TLS認証

目標: マイクロサービス間でセキュアな接続を設定する(認証)

メッシュ全体でmTLSを有効化
調査ログを使いmTLSを確認

アプリがインストールされ、可観測性が確保できたので、サービス間の接続の保護し、機能し続けることを確認します。

たとえば、Kialiダッシュボードで、サービスがmTLSを使用していないことを確認できます（"ロック"アイコンなし）。しかし、トラフィックは流れており、システムは正常に動作しています。 StackDriver ゴールデンメトリクスダッシュボードは、全体的としてシステムが機能しているという安心感を与えてくれます。

opsクラスターのMeshPolicyを確認します。注. mTLSは永続的であり、暗号化されたトラフィックと非mTLSトラフィックの両方を許可します。

kubectl --context ${OPS_GKE_1} get MeshPolicy -o yaml
kubectl --context ${OPS_GKE_2} get MeshPolicy -o yaml

    `出力結果（コピーしないでください）`

  spec:
    peers:
    - mtls:
        mode: PERMISSIVE

mTLSをオンにします。 Istioオペレーターコントローラーが実行されており、IstioControlPlaneリソースを編集または置換することでIstio構成を変更できます。コントローラーは変更を検出し、それに応じてIstioインストール状態を更新することで対応します。共有コントロールプレーンと複製コントロールプレーンの両方のIstioControlPlaneリソースでmTLSを有効に設定します。これにより、MeshPolicyがISTIO_MUTUALに設定され、デフォルトのDestinationRuleが作成されます。

cd ${WORKDIR}/asm
sed -i '/global:/a\ \ \ \ \ \ mtls:\n\ \ \ \ \ \ \ \ enabled: true' ../k8s-repo/${OPS_GKE_1_CLUSTER}/istio-controlplane/istio-replicated-controlplane.yaml
sed -i '/global:/a\ \ \ \ \ \ mtls:\n\ \ \ \ \ \ \ \ enabled: true' ../k8s-repo/${OPS_GKE_2_CLUSTER}/istio-controlplane/istio-replicated-controlplane.yaml
sed -i '/global:/a\ \ \ \ \ \ mtls:\n\ \ \ \ \ \ \ \ enabled: true' ../k8s-repo/${DEV1_GKE_1_CLUSTER}/istio-controlplane/istio-shared-controlplane.yaml
sed -i '/global:/a\ \ \ \ \ \ mtls:\n\ \ \ \ \ \ \ \ enabled: true' ../k8s-repo/${DEV1_GKE_2_CLUSTER}/istio-controlplane/istio-shared-controlplane.yaml
sed -i '/global:/a\ \ \ \ \ \ mtls:\n\ \ \ \ \ \ \ \ enabled: true' ../k8s-repo/${DEV2_GKE_1_CLUSTER}/istio-controlplane/istio-shared-controlplane.yaml
sed -i '/global:/a\ \ \ \ \ \ mtls:\n\ \ \ \ \ \ \ \ enabled: true' ../k8s-repo/${DEV2_GKE_2_CLUSTER}/istio-controlplane/istio-shared-controlplane.yaml

k8s-repo にコミットします。

cd ${WORKDIR}/k8s-repo
git add . && git commit -am "turn mTLS on"
git push

ロールアウトが完了するのを待ちます。

${WORKDIR}/asm/scripts/stream_logs.sh $TF_VAR_ops_project_name

mTLSの動作確認

opsクラスターでMeshPolicyをもう一度確認します。注. 非暗号トラフィックは許可されず、mTLSトラフィックのみを許可します。

kubectl --context ${OPS_GKE_1} get MeshPolicy -o json | jq .items[].spec
kubectl --context ${OPS_GKE_2} get MeshPolicy -o json | jq .items[].spec

出力結果（コピーしないでください）:

{
  "peers": [
    {
      "mtls": {}
    }
  ]
}

Istioオペレーターコントローラーによって作成されたDestinationRuleを確認します。

kubectl --context ${OPS_GKE_1} get DestinationRule default -n istio-system -o yaml
kubectl --context ${OPS_GKE_2} get DestinationRule default -n istio-system -o yaml

出力結果（コピーしないでください）:

  apiVersion: networking.istio.io/v1alpha3
  kind: DestinationRule
  metadata:  
    name: default
    namespace: istio-system
  spec:
    host: '*.local'
    trafficPolicy:
      tls:
        mode: ISTIO_MUTUAL

また、ログからHTTPからHTTPSへの移行を確認できます。 UIのログからこの特定のフィールドを公開するには、ログエントリを1つクリックしてから、表示したいフィールドの値をクリックします。この場合、「プロトコル」の横にある「http」をクリックします。:

これにより、mTLSの有効化を確認する良い方法が得られます。:

また、ログエントリをメトリックに変換し、時系列のグラフを表示することもできます。:

TODO(smcghee)

9. カナリアデプロイメント

目標: frontendサービスの新バージョンをロールアウトする

Frontend-v2 (次のプロダクションバージョン)サービスを1リージョンにロールアウト
DestinationRulesとVirtualServicesを使い徐々にトラフィックをfrontend-v2に転送
k8s-repoに複数のコミットを行い、GitOpsデプロイパイプラインを確認

カナリアデプロイメントは、新しいサービスの段階的なロールアウト手法です。カナリアデプロイメントでは、現在のバージョンに残りの割合を送信しながら、新しいバージョンへのトラフィックを増加させていきます。一般的なパターンは、トラフィック分割の各段階でカナリア分析を実行し、新しいバージョンの「ゴールデンシグナル」（レイテンシ、エラー率、飽和）をベースラインと比較することです。これにより、サービス停止を防ぎ、トラフィック分割のあらゆる段階で新しい"v2"サービスの安定性を確保できます。

このセクションでは、Cloud BuildおよびIstioのトラフィックポリシーを使用して、 frontendサービスで新しいバージョンの基本的なカナリアデプロイメントを作成する方法を学習します。

まず、**DEV1リージョン（us-west1）**でカナリアパイプラインを実行し、そのリージョンの両方のクラスターでfrontend v2を展開します。次に、**DEV2リージョン（us-central）**でカナリアパイプラインを実行し、そのリージョンの両方のクラスターにv2を展開します。リージョンごとにパイプラインを順番に実行することは、すべてのリージョンで並列に実行するのではなく、不適切な構成またはv2アプリ自体のバグによって引き起こされるグローバルな停止を回避するのに役立ちます。

注：両方のリージョンでカナリアパイプラインを手動でトリガーしますが、実稼働環境では、たとえばレジストリにプッシュされた新しいDockerイメージタグに基づいて、自動トリガーを使用します。

Cloud Shellから、カナリアディレクトリに移動します。:

CANARY_DIR="${WORKDIR}/asm/k8s_manifests/prod/app-canary/"
K8S_REPO="${WORKDIR}/k8s-repo"

repo_setup.shスクリプトを実行して、ベースラインマニフェストをk8s-repoにコピーします。

cd $CANARY_DIR
./repo-setup.sh

次のマニフェストがコピーされます。:

frontend-v2 deployment
frontend-v1パッチ ("v1"ラベルと"/ version"エンドポイントを持つコンテナイメージを含める)
respy , HTTP応答の分布を書き出し、カナリアデプロイメントをリアルタイムで視覚化するのに役立つ小さなPod。
frontend Istio DestinationRule - "バージョン"デプロイメントラベルに基づいて、frontend Kubernetesサービスを2つのサブセット、v1とv2に分割します
frontend Istio VirtualService - トラフィックの100％をfrontend v1にルーティングします。これにより、Kubernetesサービスのデフォルトのラウンドロビン動作が上書きされ、すべてのDev1リージョントラフィックの50％がfrontend v2に直ちに送信されます。

変更内容をk8s_repoにコミットします。 :

cd $K8S_REPO 
git add . && git commit -am "frontend canary setup"
git push
cd $CANARY_DIR

Ops1プロジェクトのコンソールでCloud Buildに移動します。 Cloud Buildパイプラインが完了するまで待ってから、両方のDEV1クラスターのfrontend namespaceでPodを取得します。以下が表示されるはずです。:

watch -n 1 kubectl --context ${DEV1_GKE_1} get pods -n frontend

出力結果（コピーしないでください）

NAME                           READY   STATUS    RESTARTS   AGE
frontend-578b5c5db6-h9567      2/2     Running   0          59m
frontend-v2-54b74fc75b-fbxhc   2/2     Running   0          2m26s
respy-5f4664b5f6-ff22r         2/2     Running   0          2m26s

別のCloud Shellセッションを開きます。 DEV1_GKE_1で実行されている新しいRespy Podに入ります。

RESPY_POD=$(kubectl --context ${DEV1_GKE_1} get pod -n frontend | grep respy | awk '{ print $1 }')
kubectl --context ${DEV1_GKE_1} exec -n frontend -it $RESPY_POD -c respy /bin/sh

watchコマンドを実行して、frontendサービスのHTTP応答の分布を確認します。すべてのトラフィックは、新しいVirtualServiceで定義されたfrontend v1 deploymentに向かうことがわかります。

watch -n 1 ./respy --u http://frontend:80/version --c 10 --n 500

出力結果（コピーしないでください）

500 requests to http://frontend:80/version...
+----------+-------------------+
| RESPONSE | % OF 500 REQUESTS |
+----------+-------------------+
| v1       | 100.0%            |
|          |                   |
+----------+-------------------+

前のCloud Shellセッションに戻り、Dev2リージョンでカナリアパイプラインを実行します。 VirtualServiceのfrontend v2トラフィックの割合を更新するスクリプトを提供します（重みを20％、50％、80％、100％に更新します）。それぞれの更新の間で、スクリプトはCloud Buildパイプラインが完了するのを待ちます。 Dev1リージョンのカナリアデプロイメントスクリプトを実行します。注-このスクリプトの完了には約10分かかります。

cd ${CANARY_DIR}
K8S_REPO=${K8S_REPO} CANARY_DIR=${CANARY_DIR} OPS_DIR=${OPS_GKE_1_CLUSTER} OPS_CONTEXT=${OPS_GKE_1} ./auto-canary.sh

このスクリプトを実行中に、respyコマンドを実行している2番目のCloud Shellセッションに移動して、トラフィックの分割をリアルタイムで確認できます。たとえば、20％のときには次のようになります：

出力結果（コピーしないでください）

500 requests to http://frontend:80/version...
+----------+-------------------+
| RESPONSE | % OF 500 REQUESTS |
+----------+-------------------+
| v1       | 79.4%             |
|          |                   |
| v2       | 20.6%             |
|          |                   |
+----------+-------------------+

frontend v2のDev1ロールアウトが完了すると、スクリプトの最後に成功メッセージが表示されます。
```
出力結果（コピーしないでください） 
```

✅ 100% successfully deployed
🌈 frontend-v2 Canary Complete for gke-asm-1-r1-prod

そして、Dev1 Podからのすべてのfrontendトラフィックはfrontend v2に向いていなければなりません。:
```
出力結果（コピーしないでください） 
```

500 requests to http://frontend:80/version...
+----------+-------------------+
| RESPONSE | % OF 500 REQUESTS |
+----------+-------------------+
| v2       | 100.0%            |
|          |                   |
+----------+-------------------+

**Cloud Source Repos > k8s_repoに移動します。**トラフィックの割合ごとに個別のコミットが表示され、最新のコミットがリストの一番上に表示されます。:

Dev1でrespy Podを終了します。次に、Dev2リージョンで実行されているrespy Podに入ります。

RESPY_POD=$(kubectl --context ${DEV2_GKE_1} get pod -n frontend | grep respy | awk '{ print $1 }')
kubectl --context ${DEV2_GKE_1} exec -n frontend -it $RESPY_POD -c respy /bin/sh

respyコマンドを再度実行します。:

watch -n 1 ./respy --u http://frontend:80/version --c 10 --n 500

出力結果（コピーしないでください）

500 requests to http://frontend:80/version...
+----------+-------------------+
| RESPONSE | % OF 500 REQUESTS |
+----------+-------------------+
| v1       | 100.0%            |
|          |                   |
+----------+-------------------+

*Dev2リージョンは、v1ではまだ"ロック"されていることに注意してください。*これは、ベースラインのrepo_setupスクリプトで、VirtualServiceをプッシュして、すべてのトラフィックを明示的にv1に送信したためです。このようにして、Dev1でリージョンのカナリアを安全に実行し、新しいバージョンをグローバルに展開する前にそれが正常に実行されたことを確認できました。

Dev2リージョンで自動カナリアスクリプトを実行します。

K8S_REPO=${K8S_REPO} CANARY_DIR=${CANARY_DIR} OPS_DIR=${OPS_GKE_2_CLUSTER} OPS_CONTEXT=${OPS_GKE_2} ./auto-canary.sh

Dev2のRespy Podから、Dev2 Podからのトラフィックがfrontend v1からv2に徐々に移動するのを見てください。スクリプトが完了すると、次のように表示されます。:

出力結果（コピーしないでください）

500 requests to http://frontend:80/version...
+----------+-------------------+
| RESPONSE | % OF 500 REQUESTS |
+----------+-------------------+
| v2       | 100.0%            |
|          |                   |
+----------+-------------------+

このセクションでは、リージョンのカナリアデプロイメントにIstioを使用する方法を紹介しました。本番環境では、手動のスクリプトの代わりに、コンテナレジストリにプッシュされた新しいタグ付きコンテナイメージなどのトリガーを使用して、このカナリアスクリプトをCloud Buildパイプラインとして自動的にトリガーできます。また、各ステップの間にカナリア分析を追加して、トラフィックを送信する前に、事前定義された安全なしきい値に対してv2のレイテンシとエラー率を分析することもできます。

10. 認可ポリシー

目標: マイクロサービス間でRBACをセットアップする (認可)

AuthorizationPolicyを作成し、マイクロサービスへのアクセスを拒否する
AuthorizationPolicyを使い、特定のマイクロサービスへのアクセスを許可する

1か所で実行される可能性のあるモノリシックアプリケーションとは異なり、グローバルに分散したマイクロサービスアプリは、ネットワークの境界を越えて呼び出しを行います。つまり、アプリケーションへのエントリポイントが増え、悪意のある攻撃を受ける機会が増えます。また、Kubernetes Podには一時的なIPアドレスがあるため、従来のIPアドレスベースのファイアウォールルールは、ワークロード間のアクセスを保護するには不十分です。マイクロサービスアーキテクチャでは、セキュリティへの新しいアプローチが必要です。サービスアカウントなどのKubernetesセキュリティビルディングブロックに基づいて、Istioはアプリケーションに柔軟なセキュリティポリシーのセットを提供します。

Istioポリシーは、認証と認可の両方を対象としています。認証はIDを検証し（このサーバーは本人であると言っていますか？）、認可は権限を検証します（このクライアントは許可されていますか？）。モジュール1（MeshPolicy）の相互TLSセクションでIstio認証について説明しました。このセクションでは、Istio認可ポリシーを使用して、アプリケーションワークロードの1つであるcurrencyserviceへのアクセスを制御する方法を学習します。

最初に、4つのDevクラスターすべてにAuthorizationPolicyをデプロイし、currencyserviceへのすべてのアクセスを遮断し、frontendでエラーをトリガーします。次に、frontendサービスのみがcurrencyserviceにアクセスできるようにします。

認可のサンプルディレクトリに移動します。

export AUTHZ_DIR="${WORKDIR}/asm/k8s_manifests/prod/app-authorization"
export K8S_REPO="${WORKDIR}/k8s-repo"

cd $AUTHZ_DIR

currency-deny-all.yamlの内容を見てみます。このポリシーは、Deploymentラベルセレクターを使用して、currencyserviceへのアクセスを制限します。 specフィールドがないことに注意してください-これは、このポリシーが選択したサービスへのすべてのアクセスを拒否することを意味します。

cat currency-deny-all.yaml

出力結果（コピーしないでください）

apiVersion: "security.istio.io/v1beta1"
kind: "AuthorizationPolicy"
metadata:
  name: "currency-policy"
  namespace: currency
spec:
  selector:
    matchLabels:
      app: currencyservice

両方のリージョンのopsクラスターのcurrencyポリシーをk8s-repoにコピーします。

mkdir -p ${K8S_REPO}/${OPS_GKE_1_CLUSTER}/app-authorization/
sed -i '/  - app-ingress\//a\ \ - app-authorization\/' ${K8S_REPO}/${OPS_GKE_1_CLUSTER}/kustomization.yaml
cp currency-deny-all.yaml ${K8S_REPO}/${OPS_GKE_1_CLUSTER}/app-authorization/currency-policy.yaml
cd ${K8S_REPO}/${OPS_GKE_1_CLUSTER}/app-authorization/; kustomize create --autodetect
cd $AUTHZ_DIR 

mkdir -p ${K8S_REPO}/${OPS_GKE_2_CLUSTER}/app-authorization/
sed -i '/  - app-ingress\//a\ \ - app-authorization\/' ${K8S_REPO}/${OPS_GKE_2_CLUSTER}/kustomization.yaml
cp currency-deny-all.yaml ${K8S_REPO}/${OPS_GKE_2_CLUSTER}/app-authorization/currency-policy.yaml
cd ${K8S_REPO}/${OPS_GKE_2_CLUSTER}/app-authorization/; kustomize create --autodetect

変更をプッシュします。

cd $K8S_REPO 
git add . && git commit -am "AuthorizationPolicy - currency: deny all"
git push
cd $AUTHZ_DIR

ブラウザでHipsterショップアプリのfrontendにアクセスしてみてください:

echo "https://frontend.endpoints.${TF_VAR_ops_project_name}.cloud.goog"

currencyserviceから認可エラーが表示されるはずです:

currencyサービスがこのAuthorizationPolicyをどのように適用しているかを調べてみましょう。最初に、ブロックされた認可呼び出しはデフォルトでは記録されないため、currency PodのいずれかのEnvoyプロキシでトレースレベルのログを有効にします。

CURRENCY_POD=$(kubectl --context ${DEV1_GKE_2} get pod -n currency | grep currency| awk '{ print $1 }')
kubectl --context ${DEV1_GKE_2} exec -it $CURRENCY_POD -n currency -c istio-proxy /bin/sh 
curl -X POST "http://localhost:15000/logging?level=trace"; exit

currencyサービスのサイドカープロキシからRBAC（認可）ログを取得します。 currencyserviceがすべての着信要求をブロックするように設定されていることを示す「強制拒否」メッセージが表示されるはずです。

kubectl --context ${DEV1_GKE_2} logs -n currency $CURRENCY_POD -c istio-proxy | grep -m 3 rbac

出力結果（コピーしないでください）

[Envoy (Epoch 0)] [2020-01-30 00:45:50.815][22][debug][rbac] [external/envoy/source/extensions/filters/http/rbac/rbac_filter.cc:67] checking request: remoteAddress: 10.16.5.15:37310, localAddress: 10.16.3.8:7000, ssl: uriSanPeerCertificate: spiffe://cluster.local/ns/frontend/sa/frontend, subjectPeerCertificate: , headers: ':method', 'POST'
[Envoy (Epoch 0)] [2020-01-30 00:45:50.815][22][debug][rbac] [external/envoy/source/extensions/filters/http/rbac/rbac_filter.cc:118] enforced denied
[Envoy (Epoch 0)] [2020-01-30 00:45:50.815][22][debug][http] [external/envoy/source/common/http/conn_manager_impl.cc:1354] [C115][S17310331589050212978] Sending local reply with details rbac_access_denied

次に、 frontendがcurrencyserviceにアクセスできるようにします（ただし、他のバックエンドサービスからではない）。 currency-allow-frontend.yamlを開き、その内容を調べます。次のルールを追加したことに確認してください。:

cat currency-allow-frontend.yaml

出力結果（コピーしないでください）

rules:
 - from:
   - source:
       principals: ["cluster.local/ns/frontend/sa/frontend"]

ここでは、特定のsource.principal （クライアント）をホワイトリストに登録して、currencyサービスにアクセスしています。このsource.principalは、Kubernetesサービスアカウントによって定義されます。この場合、ホワイトリストに登録するサービスアカウントは、frontend namespaceのfrontendサービスアカウントです。

注：Istio AuthorizationPoliciesでKubernetesサービスアカウントを使用する場合、モジュール1で行ったように、最初にクラスター全体の相互TLSを有効にする必要があります。これは、サービスアカウントの資格情報がリクエストにマウントされるようにするためです。

更新されたcurrencyポリシーをコピーします。

cp $AUTHZ_DIR/currency-allow-frontend.yaml ${K8S_REPO}/${OPS_GKE_1_CLUSTER}/app-authorization/currency-policy.yaml
cp $AUTHZ_DIR/currency-allow-frontend.yaml ${K8S_REPO}/${OPS_GKE_2_CLUSTER}/app-authorization/currency-policy.yaml

更新をプッシュします。

cd $K8S_REPO 
git add . && git commit -am "AuthorizationPolicy - currency: allow frontend"
git push
cd $AUTHZ_DIR

Cloud Buildの完了を待ちます。
Hipsterショップアプリのfrontendを再度開きます。今回は、ホームページにエラーが表示されないはずです。これは、frontendが現在のサービスにアクセスすることを明示的に許可しているためです。
次に、カートにアイテムを追加し、"place order"をクリックして、チェックアウトを実行してください。今回は、currencyサービスから価格変換エラーが表示されるはずです。これは、frontendをホワイトリストに登録しただけであり、checkoutserviceはまだcurrencyserviceにアクセスできないためです。

最後に、別のルールをcurrencyservice AuthorizationPolicyに追加して、 checkoutサービスがcurrency serviceにアクセスできるようにします。frontendとcheckoutの2つのサービスからのcurrency serviceのアクセスのみを開放していることに注意してください。他のバックエンドサービスは引き続きブロックされます。
currency-allow-frontend-checkout.yamlを開き、その内容を見てみます。ルールのリストは論理ORとして機能することに注意してください。currency serviceは、これら2つのサービスアカウントのいずれかを持つワークロードからの要求のみを受け入れます。

cat currency-allow-frontend-checkout.yaml

出力結果（コピーしないでください）

apiVersion: "security.istio.io/v1beta1"
kind: "AuthorizationPolicy"
metadata:
  name: "currency-policy"
  namespace: currency
spec:
  selector:
    matchLabels:
      app: currencyservice
  rules:
  - from:
    - source:
        principals: ["cluster.local/ns/frontend/sa/frontend"]
  - from:
    - source:
        principals: ["cluster.local/ns/checkout/sa/checkout"]

最終的な認可ポリシーをk8s-repoにコピーします。

cp $AUTHZ_DIR/currency-allow-frontend-checkout.yaml ${K8S_REPO}/${OPS_GKE_1_CLUSTER}/app-authorization/currency-policy.yaml
cp $AUTHZ_DIR/currency-allow-frontend-checkout.yaml ${K8S_REPO}/${OPS_GKE_2_CLUSTER}/app-authorization/currency-policy.yaml

更新をプッシュします。

cd $K8S_REPO 
git add . && git commit -am "AuthorizationPolicy - currency: allow frontend and checkout"
git push

Cloud Build の完了を待ちます。
チェックアウトを実行してみてください。正常に動作するはずです。

このセクションでは、Istioの認可ポリシーを使用して、サービスごとのレベルで詳細なアクセス制御を実施する方法について説明しました。実稼働環境では、サービスごとに1つのAuthorizationPolicyを作成し、（たとえば） allow-allポリシーを使用して、同じネームスペース内のすべてのワークロードが相互にアクセスできるようにします。

11. インフラストラクチャのスケーリング

目標: 新しいリージョン、プロジェクト、クラスターを追加しインフラストラクチャをスケールする

infrastructureリポジトリをクローン
新しいリソースを作成するため、terraformファイルを更新
新しいリージョンに2つのサブネット (1つがopsプロジェクト用、もう一つが新しいプロジェクト用)
新しいリージョンに新しいopsクラスター (新しいサブネット内に)
新しいリージョンに新しいIstioコントロールプレーン
新しいリージョンの新しいプロジェクトに2つのappsクラスター
infrastructureリポジトリにコミット
セットアップを確認

プラットフォームをスケールするには、いくつかの方法があります。既存のクラスターにノードを追加することにより、さらに計算リソースを追加できます。リージョン内にさらにクラスターを追加できます。または、プラットフォームにさらにリージョンを追加できます。プラットフォームのどの側面を拡張するかの決定は、要件に依存します。たとえば、リージョン内の3つのゾーンすべてにクラスターがある場合、おそらく既存のクラスターにノード（またはノードプール）を追加すれば十分です。ただし、1つのリージョンの3つのゾーンのうち2つにクラスターがある場合、3番目のゾーンに新しいクラスターを追加すると、スケーリングと追加のフォールトドメイン（つまり、新しいゾーン）が得られます。リージョンに新しいクラスターを追加するもう1つの理由は、規制またはコンプライアンスの理由（PCI、PII情報を格納するデータベースクラスターなど）のために、単一のテナントクラスターを作成する必要がある場合があります。ビジネスとサービスが拡大するにつれて、クライアントにより近くでサービスを提供するために新しいリージョンを追加することが避けられなくなります。

現在のプラットフォームは、2つのリージョンと、リージョンごとに2つのゾーンのクラスターで構成されています。プラットフォームのスケーリングは、次の2つの方法で考えることができます。:

垂直- リージョンにより多くのコンピューティングを追加します。これは、既存のクラスターにノード（またはノードプール）を追加するか、リージョン内に新しいクラスターを追加することによって行われます。これは、 infrastructureリポジトリを介して行われます。最も簡単な方法は、既存のクラスターにノードを追加することです。追加の構成は必要ありません。新しいクラスターを追加するには、追加のサブネット（およびセカンダリーレンジ）、適切なファイアウォールルールの追加、新しいクラスターのリージョンASM / Istioサービスメッシュコントロールプレーンへの追加、アプリケーションリソースの新しいクラスターへのデプロイが必要になる場合があります。
水平- さらにリージョンを追加します。現在のプラットフォームは、リージョンのテンプレートを提供します。 ASM / Istioコントロールが常駐するリージョナルopsクラスターと、アプリケーションリソースがデプロイされる2つ（またはそれ以上）のゾーンアプリケーションクラスターで構成されます。

このワークショップでは、垂直ユースケースのステップも含まれるため、プラットフォームを"水平"にスケーリングします。プラットフォームに水平に新しいリージョン（r3）を追加してプラットフォームをスケーリングするには、次のリソースを追加する必要があります。:

新しいオペレーションとアプリケーションクラスター用にリージョンr3の共有VPCにホストプロジェクトのサブネット
ASM / Istioコントロールプレーンが存在するリージョンr3のリージョナルopsクラスター
リージョンr3の2つのゾーンにある2つのゾーンアプリケーションクラスター
k8s-repoへの更新:
ASM / Istioコントロールプレーンリソースをリージョンr3のopsクラスターにデプロイ
ASM / Istio共有コントロールプレーンリソースをリージョンr3のアプリクラスターにデプロイ
新しいプロジェクトを作成する必要はありませんが、ワークショップの手順では、プラットフォームに新しいチームを追加するユースケースをカバーする新しいプロジェクトdev3を追加する方法を示します。

infrastructureリポジトリは、上記の新しいリソースを追加するために使用されます。

Cloud Shellで、WORKDIRに移動し、 infrastructureリポジトリのクローンを作成します。

cd ${WORKDIR}
mkdir -p ${WORKDIR}/infra-repo
cd ${WORKDIR}/infra-repo
git init && git remote add origin https://source.developers.google.com/p/${TF_ADMIN}/r/infrastructure

git config --local user.email ${MY_USER} && git config --local user.name "infra repo user"
git config --local credential.'https://source.developers.google.com'.helper gcloud.sh
git pull origin master

asm（メインワークショップ）リポジトリからadd-projブランチをチェックアウトします。 add-projブランチには、このセクションの変更内容が含まれています。

cd ${WORKDIR}/asm
git checkout add-proj
cd ${WORKDIR}

メインワークショップのadd-projブランチからinfrastructureリポジトリに新しいリソースと変更されたリソースをコピーします。

cp -r asm/infrastructure/apps/prod/app3 ./infra-repo/apps/prod/.
cp -r asm/infrastructure/cloudbuild.yaml ./infra-repo/cloudbuild.yaml
cp -r asm/infrastructure/network/prod/shared_vpc/main.tf ./infra-repo/network/prod/shared_vpc/main.tf
cp -r asm/infrastructure/network/prod/shared_vpc/variables.tf ./infra-repo/network/prod/shared_vpc/variables.tf
cp -r asm/infrastructure/ops/prod/cloudbuild/config/cloudbuild.tpl.yaml ./infra-repo/ops/prod/cloudbuild/config/cloudbuild.tpl.yaml
cp -r asm/infrastructure/ops/prod/cloudbuild/main.tf ./infra-repo/ops/prod/cloudbuild/main.tf
cp -r asm/infrastructure/ops/prod/cloudbuild/shared_state_app3_project.tf ./infra-repo/ops/prod/cloudbuild/shared_state_app3_project.tf
cp -r asm/infrastructure/ops/prod/cloudbuild/shared_state_app3_gke.tf ./infra-repo/ops/prod/cloudbuild/shared_state_app3_gke.tf
cp -r asm/infrastructure/ops/prod/k8s_repo/build_repo.sh ./infra-repo/ops/prod/k8s_repo/build_repo.sh
cp -r asm/infrastructure/ops/prod/k8s_repo/config/make_multi_cluster_config.sh ./infra-repo/ops/prod/k8s_repo/config/make_multi_cluster_config.sh
cp -r asm/infrastructure/ops/prod/k8s_repo/main.tf ./infra-repo/ops/prod/k8s_repo/main.tf
cp -r asm/infrastructure/ops/prod/k8s_repo/shared_state_app3_project.tf ./infra-repo/ops/prod/k8s_repo/shared_state_app3_project.tf
cp -r asm/infrastructure/ops/prod/k8s_repo/shared_state_app3_gke.tf ./infra-repo/ops/prod/k8s_repo/shared_state_app3_gke.tf
cp -r asm/infrastructure/ops/prod/ops_gke/main.tf ./infra-repo/ops/prod/ops_gke/main.tf
cp -r asm/infrastructure/ops/prod/ops_gke/outputs.tf ./infra-repo/ops/prod/ops_gke/outputs.tf
cp -r asm/infrastructure/ops/prod/ops_gke/variables.tf ./infra-repo/ops/prod/ops_gke/variables.tf
cp -r asm/infrastructure/ops/prod/ops_project/main.tf ./infra-repo/ops/prod/ops_project/main.tf

add-project.shスクリプトを実行します。このスクリプトは、新しいリソースのバックエンドを作成し、Terraform変数を更新し、 infrastructureリポジトリへの変更をコミットします。

./asm/scripts/add-project.sh

コミットにより、 infrastructureリポジトリがトリガーされ、新しいリソースでインフラストラクチャがデプロイされます。次のリンクの出力をクリックし、上部の最新ビルドに移動して、Cloud Buildの進行状況を表示します。

echo "https://console.cloud.google.com/cloud-build/builds?project=${TF_ADMIN}"

Infrastructure Cloud Buildの最後のステップでは、 k8s-repoに新しいKubernetesリソースが作成されます。これにより、 k8s-repo （opsプロジェクト内）でCloud Buildがトリガーされます。新しいKubernetesリソースは、前の手順で追加された3つの新しいクラスター用です。 ASM / Istioコントロールプレーンおよび共有コントロールプレーンリソースは、 k8s-repo Cloud Buildを使用して新しいクラスターに追加されます。

infrastructure Cloud Buildが正常に終了したら、次の出力されたリンクをクリックして、実行されたk8s-repoの最新のCloud Buildに移動します。

echo "https://console.cloud.google.com/cloud-build/builds?project=${TF_VAR_ops_project_name}"

次のスクリプトを実行して、新しいクラスターをvarsおよびkubeconfigファイルに追加します。

chmod +x ./asm/scripts/setup-gke-vars-kubeconfig-add-proj.sh
./asm/scripts/setup-gke-vars-kubeconfig-add-proj.sh

KUBECONFIG変数を変更して、新しいkubeconfigファイルを指すようにします。

source ${WORKDIR}/asm/vars/vars.sh
export KUBECONFIG=${WORKDIR}/asm/gke/kubemesh

クラスターコンテキストを一覧表示します。 8つのクラスターが表示されるはずです。

kubectl config view -ojson | jq -r '.clusters[].name'

    `出力結果（コピーしないでください）`

gke_user001-200204-05-dev1-49tqc4_us-west1-a_gke-1-apps-r1a-prod
gke_user001-200204-05-dev1-49tqc4_us-west1-b_gke-2-apps-r1b-prod
gke_user001-200204-05-dev2-49tqc4_us-central1-a_gke-3-apps-r2a-prod
gke_user001-200204-05-dev2-49tqc4_us-central1-b_gke-4-apps-r2b-prod
gke_user001-200204-05-dev3-49tqc4_us-east1-b_gke-5-apps-r3b-prod
gke_user001-200204-05-dev3-49tqc4_us-east1-c_gke-6-apps-r3c-prod
gke_user001-200204-05-ops-49tqc4_us-central1_gke-asm-2-r2-prod
gke_user001-200204-05-ops-49tqc4_us-east1_gke-asm-3-r3-prod
gke_user001-200204-05-ops-49tqc4_us-west1_gke-asm-1-r1-prod

Istioインストールの確認

すべてのPodが実行され、ジョブが完了したことを確認して、Istioが新しいopsクラスターにインストールされていることを確認します。

kubectl --context ${OPS_GKE_3} get pods -n istio-system

    `出力結果（コピーしないでください）`

NAME                                      READY   STATUS    RESTARTS   AGE
grafana-5f798469fd-72g6w                  1/1     Running   0          5h12m
istio-citadel-7d8595845-hmmvj             1/1     Running   0          5h12m
istio-egressgateway-779b87c464-rw8bg      1/1     Running   0          5h12m
istio-galley-844ddfc788-zzpkl             2/2     Running   0          5h12m
istio-ingressgateway-59ccd6574b-xfj98     1/1     Running   0          5h12m
istio-pilot-7c8989f5cf-5plsg              2/2     Running   0          5h12m
istio-policy-6674bc7678-2shrk             2/2     Running   3          5h12m
istio-sidecar-injector-7795bb5888-kbl5p   1/1     Running   0          5h12m
istio-telemetry-5fd7cbbb47-c4q7b          2/2     Running   2          5h12m
istio-tracing-cd67ddf8-2qwkd              1/1     Running   0          5h12m
istiocoredns-5f7546c6f4-qhj9k             2/2     Running   0          5h12m
kiali-7964898d8c-l74ww                    1/1     Running   0          5h12m
prometheus-586d4445c7-x9ln6               1/1     Running   0          5h12m

Istioが両方のdev3クラスターにインストールされていることを確認してください。 dev3クラスターで実行されるのは、Citadel、sidecar-injector、corednのみです。 ops-3クラスターで実行されているIstioコントロールプレーンを共有します。

kubectl --context ${DEV3_GKE_1} get pods -n istio-system
kubectl --context ${DEV3_GKE_2} get pods -n istio-system

    `出力結果（コピーしないでください）`

NAME                                      READY   STATUS    RESTARTS   AGE
istio-citadel-568747d88-4lj9b             1/1     Running   0          66s
istio-sidecar-injector-759bf6b4bc-ks5br   1/1     Running   0          66s
istiocoredns-5f7546c6f4-qbsqm             2/2     Running   0          78s

共有コントロールプレーンのサービスディスカバリを確認

オプションで、6つのアプリケーションクラスターのすべてのopsクラスターにSecretがデプロイされていることを確認します。

kubectl --context ${OPS_GKE_1} get secrets -l istio/multiCluster=true -n istio-system
kubectl --context ${OPS_GKE_2} get secrets -l istio/multiCluster=true -n istio-system
kubectl --context ${OPS_GKE_3} get secrets -l istio/multiCluster=true -n istio-system

    `出力結果（コピーしないでください）`

NAME                  TYPE     DATA   AGE
gke-1-apps-r1a-prod   Opaque   1      14h
gke-2-apps-r1b-prod   Opaque   1      14h
gke-3-apps-r2a-prod   Opaque   1      14h
gke-4-apps-r2b-prod   Opaque   1      14h
gke-5-apps-r3b-prod   Opaque   1      5h12m
gke-6-apps-r3c-prod   Opaque   1      5h12m

12. サーキットブレーカー

目標: サーキットブレーカーをshippingサービスに実装

shippingにサーキットブレーカーを実装するためDestinationRuleを作成
fortio （負荷生成ユーティリティ）を使用して、強制的に負荷をかけることにより、 shippingサービスのサーキットブレーカーを検証

Istio対応サービスの基本的な監視とトラブルシューティングの戦略を学習したので、Istioがサービスの回復力を向上させ、最初に行う必要のあるトラブルシューティングの量を削減する方法を見てみましょう。

マイクロサービスアーキテクチャは、1つのサービスの障害がその依存関係とその依存関係の依存関係に伝播し、エンドユーザーに影響を与える可能性のある「リップル効果」障害を引き起こすカスケード障害のリスクをもたらします。 Istioは、サービスを分離するのに役立つサーキットブレーカートラフィックポリシーを提供し、ダウンストリーム（クライアント側）サービスが障害のあるサービスを待機するのを防ぎ、アップストリーム（サーバー側）サービスがダウンストリームトラフィックの突然の大量アクセスから保護されます。全体的に、サーキットブレーカーを使用すると、1つのバックエンドサービスがハングしているためにすべてのサービスがSLOに失敗することを回避できます。

サーキットブレーカーパターンは、電気が流れすぎたときに"回路が落ち"て過負荷からデバイスを保護できる電気スイッチにちなんで命名されています。 Istioのセットアップでは、これはEnvoyがサーキットブレーカーであり、サービスに対する保留中のリクエストの数を追跡することを意味します。このデフォルトの"閉じた"状態では、リクエストはEnvoyが中断せずにプロキシします。

ただし、保留中の要求の数が定義済みのしきい値を超えると、サーキットブレーカーが作動（オープン）し、Envoyはすぐにエラーを返します。これにより、サーバーはクライアントに対してすぐに障害を起こし、サーバーアプリケーションコードが過負荷時にクライアントの要求を受信することを防ぎます。

次に、定義されたタイムアウトの後、Envoyはハーフオープン状態に移行します。サーバーは試用的な方法でリクエストの受信を再開できます。リクエストに正常に応答できる場合、サーキットブレーカーは再び閉じ、サーバーへのリクエストが開始され、再び流れ始めます。

この図は、Istioサーキットブレーカーパターンをまとめたものです。青い長方形はEnvoyを表し、青い丸はクライアントを表し、白い丸はサーバーコンテナを表します。

IstioのDestinationRulesを使用して、サーキットブレーカーポリシーを定義できます。このセクションでは、次のポリシーを適用して、shippingサービスにサーキットブレーカーを適用します。:

出力結果（コピーしないでください）

apiVersion: "networking.istio.io/v1alpha3"
kind: "DestinationRule"
metadata:
  name: "shippingservice-shipping-destrule"
  namespace: "shipping"
spec:
  host: "shippingservice.shipping.svc.cluster.local"
  trafficPolicy:
    tls:
      mode: ISTIO_MUTUAL
    connectionPool:
      tcp:
        maxConnections: 1
      http:
        http1MaxPendingRequests: 1
        maxRequestsPerConnection: 1
    outlierDetection:
      consecutiveErrors: 1
      interval: 1s
      baseEjectionTime: 10s
      maxEjectionPercent: 100

ここで注意すべき2つのDestinationRuleフィールドがあります。 ** connectionPool **は、このサービスが許可する接続の数を定義します。 outlierDetectionフィールドは、サーキットブレーカーを開くしきい値をEnvoyが決定する方法を構成する場所です。ここでは、毎秒（間隔）、Envoyはサーバーコンテナーから受信したエラーの数をカウントします。 ** consecutiveErrors **しきい値を超えると、Envoyサーキットブレーカーが開き、productcatalog Podの100％が10秒間新しいクライアント要求から保護されます。 Envoyサーキットブレーカーが開いている（アクティブになっている）場合、クライアントは503（Service Unavailable）エラーを受け取ります。これを実際に見てみましょう。

サーキットブレーカーディレクトリに移動します。

export K8S_REPO="${WORKDIR}/k8s-repo"
export ASM="${WORKDIR}/asm"

両方のOpsクラスターでshipping serviceのDestinationRuleを更新します。

cp $ASM/k8s_manifests/prod/istio-networking/app-shipping-circuit-breaker.yaml ${K8S_REPO}/${OPS_GKE_1_CLUSTER}/istio-networking/app-shipping-circuit-breaker.yaml
cp $ASM/k8s_manifests/prod/istio-networking/app-shipping-circuit-breaker.yaml ${K8S_REPO}/${OPS_GKE_2_CLUSTER}/istio-networking/app-shipping-circuit-breaker.yaml

cd ${K8S_REPO}/${OPS_GKE_1_CLUSTER}/istio-networking/; kustomize edit add resource app-shipping-circuit-breaker.yaml
cd ${K8S_REPO}/${OPS_GKE_2_CLUSTER}/istio-networking/; kustomize edit add resource app-shipping-circuit-breaker.yaml

Fortio負荷生成PodをDev1リージョンのGKE_1クラスターにコピーします。これは、shippingserviceのサーキットブレーカーを"作動"させるために使用するクライアントPodです。

cp $ASM/k8s_manifests/prod/app/deployments/app-fortio.yaml ${K8S_REPO}/${DEV1_GKE_1_CLUSTER}/app/deployments/
cd ${K8S_REPO}/${DEV1_GKE_1_CLUSTER}/app/deployments; kustomize edit add resource app-fortio.yaml

変更をコミットします。

cd $K8S_REPO 
git add . && git commit -am "Circuit Breaker: shippingservice"
git push
cd $ASM

Cloud Buildの完了を待ちます。
Cloud Shellに戻り、fortio Podを使用して、gRPCトラフィックを1つの同時接続でshippingServiceに送信します。（合計1000リクエスト） connectionPool設定をまだ超えていないため、サーキットブレーカーは作動しません。

FORTIO_POD=$(kubectl --context ${DEV1_GKE_1} get pod -n shipping | grep fortio | awk '{ print $1 }')

kubectl --context ${DEV1_GKE_1} exec -it $FORTIO_POD -n shipping -c fortio /usr/bin/fortio -- load -grpc -c 1 -n 1000 -qps 0 shippingservice.shipping.svc.cluster.local:50051

出力結果（コピーしないでください）

Health SERVING : 1000
All done 1000 calls (plus 0 warmup) 4.968 ms avg, 201.2 qps

ここでfortioを再度実行し、同時接続数を2に増やしますが、リクエストの総数は一定に保ちます。サーキットブレーカーが作動したため、リクエストの最大3分の2が"オーバーフロー"エラーを返します。定義したポリシーでは、1秒間隔で許可される同時接続は1つのみです。

kubectl --context ${DEV1_GKE_1} exec -it $FORTIO_POD -n shipping -c fortio /usr/bin/fortio -- load -grpc -c 2 -n 1000 -qps 0 shippingservice.shipping.svc.cluster.local:50051

出力結果（コピーしないでください）

18:46:16 W grpcrunner.go:107> Error making grpc call: rpc error: code = Unavailable desc = upstream connect error or disconnect/reset before headers. reset reason: overflow
...

Health ERROR : 625
Health SERVING : 375
All done 1000 calls (plus 0 warmup) 12.118 ms avg, 96.1 qps

Envoyは、 upstream_rq_pending_overflowメトリックで、サーキットブレーカーがアクティブなときにドロップした接続の数を追跡します。これをfortio Podで見つけましょう。:

kubectl --context ${DEV1_GKE_1} exec -it $FORTIO_POD -n shipping -c istio-proxy  -- sh -c 'curl localhost:15000/stats' | grep shipping | grep pending

出力結果（コピーしないでください）

cluster.outbound|50051||shippingservice.shipping.svc.cluster.local.circuit_breakers.default.rq_pending_open: 0
cluster.outbound|50051||shippingservice.shipping.svc.cluster.local.circuit_breakers.high.rq_pending_open: 0
cluster.outbound|50051||shippingservice.shipping.svc.cluster.local.upstream_rq_pending_active: 0
cluster.outbound|50051||shippingservice.shipping.svc.cluster.local.upstream_rq_pending_failure_eject: 9
cluster.outbound|50051||shippingservice.shipping.svc.cluster.local.upstream_rq_pending_overflow: 565
cluster.outbound|50051||shippingservice.shipping.svc.cluster.local.upstream_rq_pending_total: 1433

両方のリージョンからサーキットブレーカーポリシーを削除してクリーンアップします。

kubectl --context ${OPS_GKE_1} delete destinationrule shippingservice-circuit-breaker -n shipping 
rm ${K8S_REPO}/${OPS_GKE_1_CLUSTER}/istio-networking/app-shipping-circuit-breaker.yaml
cd ${K8S_REPO}/${OPS_GKE_1_CLUSTER}/istio-networking/; kustomize edit remove resource app-shipping-circuit-breaker.yaml
 

kubectl --context ${OPS_GKE_2} delete destinationrule shippingservice-circuit-breaker -n shipping 
rm ${K8S_REPO}/${OPS_GKE_2_CLUSTER}/istio-networking/app-shipping-circuit-breaker.yaml
cd ${K8S_REPO}/${OPS_GKE_2_CLUSTER}/istio-networking/; kustomize edit remove resource app-shipping-circuit-breaker.yaml
cd $K8S_REPO; git add .; git commit -m "Circuit Breaker: cleanup"; git push origin master

このセクションでは、サービスに単一のサーキットブレーカーポリシーを設定する方法を示しました。ベストプラクティスは、ハングする可能性のあるアップストリーム（バックエンド）サービスにサーキットブレーカーを設定することです。 Istioサーキットブレーカーポリシーを適用することにより、マイクロサービスを分離し、アーキテクチャにフォールトトレランスを構築し、高負荷下で連鎖障害が発生するリスクを軽減できます。

13. フォールトインジェクション（Fault Injection）

目標: （本番環境にプッシュされる前に）意図的に遅延を発生させることにより、recommendationサービスの回復力をテストする

recommendationサービスのVirtualServiceを作成し5秒の遅延を発生させる
fortio負荷発生ツールで遅延をテスト
VirtualServiceから遅延を取り除き、確認

サービスにサーキットブレーカーポリシーを追加することは、運用中のサービスに対する回復力を構築する1つの方法です。しかし、サーキットブレーカーは障害（潜在的にユーザー側のエラー）をもたらし、これは理想的ではありません。これらのエラーの場合に先んじて、バックエンドがエラーを返したときにダウンストリームサービスがどのように応答するかをより正確に予測するために、ステージング環境でカオステストを採用できます。カオステストは、システム内の弱点を分析し、フォールトトレランスを向上させるために、意図的にサービスを中断する方法です。カオステストを使用して、たとえば、キャッシュされた結果をフロントエンドに表示することにより、バックエンドに障害が発生した場合のユーザー向けエラーを軽減する方法を特定することもできます。

Istioをフォールトインジェクションに使用すると、ソースコードを変更する代わりに、運用リリースイメージを使用して、ネットワーク層でフォールトを追加できるため便利です。本番環境では、本格的なカオステストツールを使用して、ネットワークレイヤーに加えてKubernetes / computeレイヤーで復元力をテストできます。

VirtualServiceに"fault"フィールドを適用することにより、Istioをカオステストに使用できます。 Istioは、2種類のフォールトをサポートしています。遅延フォールト（タイムアウトを挿入）とアボートフォールト（HTTPエラーを挿入）です。この例では、 5秒の遅延エラーをrecommendation serviceに挿入します。ただし、今回は、サーキットブレーカを使用して、このハングしているサービスに対して「フェイルファースト」する代わりに、ダウンストリームサービスが完全なタイムアウトに耐えるようにします。

フォールトインジェクションディレクトリに移動します。

export K8S_REPO="${WORKDIR}/k8s-repo"
export ASM="${WORKDIR}/asm/" 
cd $ASM

k8s_manifests / prod / istio-networking / app-recommendation-vs-fault.yamlを開いてその内容を検査します。 Istioには、リクエストのパーセンテージにフォールトを挿入するオプションがあることに注意してください。ここでは、すべてのrecommendationserviceリクエストにタイムアウトを挿入します。

出力結果（コピーしないでください）

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: recommendation-delay-fault
spec:
  hosts:
  - recommendationservice.recommendation.svc.cluster.local
  http:
  - route:
    - destination:
        host: recommendationservice.recommendation.svc.cluster.local
    fault:
      delay:
        percentage:
          value: 100
        fixedDelay: 5s

VirtualServiceをk8s_repoにコピーします。グローバルに障害を挿入するため両方のリージョンに設定を行います。

cp $ASM/k8s_manifests/prod/istio-networking/app-recommendation-vs-fault.yaml ${K8S_REPO}/${OPS_GKE_1_CLUSTER}/istio-networking/app-recommendation-vs-fault.yaml
cd ${K8S_REPO}/${OPS_GKE_1_CLUSTER}/istio-networking/; kustomize edit add resource app-recommendation-vs-fault.yaml

cp $ASM/k8s_manifests/prod/istio-networking/app-recommendation-vs-fault.yaml ${K8S_REPO}/${OPS_GKE_2_CLUSTER}/istio-networking/app-recommendation-vs-fault.yaml
cd ${K8S_REPO}/${OPS_GKE_2_CLUSTER}/istio-networking/; kustomize edit add resource app-recommendation-vs-fault.yaml

変更をプッシュします。

cd $K8S_REPO 
git add . && git commit -am "Fault Injection: recommendationservice"
git push
cd $ASM

Cloud Buildの完了を待ちます。
サーキットブレーカーセクションでデプロイされたfortio Podに入り、いくつかのトラフィックをrecommendationserviceに送信します。

FORTIO_POD=$(kubectl --context ${DEV1_GKE_1} get pod -n shipping | grep fortio | awk '{ print $1 }')

kubectl --context ${DEV1_GKE_1} exec -it $FORTIO_POD -n shipping -c fortio /usr/bin/fortio -- load -grpc -c 100 -n 100 -qps 0 recommendationservice.recommendation.svc.cluster.local:8080

    fortioコマンドが完了すると、応答に平均5秒かかっていることが表示されます。

出力結果（コピーしないでください）

Ended after 5.181367359s : 100 calls. qps=19.3
Aggregated Function Time : count 100 avg 5.0996506 +/- 0.03831 min 5.040237641 max 5.177559818 sum 509.965055

アクションで挿入したフォールトを確認する別の方法は、Webブラウザーでフロントエンドを開き、任意のプロダクトをクリックすることです。製品ページは、ページの下部に表示されるrecommend情報を取得するため、ロードにさらに5秒かかります。
両方のOpsクラスターからフォールトインジェクションサービスを削除してクリーンアップします。

kubectl --context ${OPS_GKE_1} delete virtualservice recommendation-delay-fault -n recommendation 
rm ${K8S_REPO}/${OPS_GKE_1_CLUSTER}/istio-networking/app-recommendation-vs-fault.yaml
cd ${K8S_REPO}/${OPS_GKE_1_CLUSTER}/istio-networking/; kustomize edit remove resource app-recommendation-vs-fault.yaml

kubectl --context ${OPS_GKE_2} delete virtualservice recommendation-delay-fault -n recommendation 
rm ${K8S_REPO}/${OPS_GKE_2_CLUSTER}/istio-networking/app-recommendation-vs-fault.yaml
cd ${K8S_REPO}/${OPS_GKE_2_CLUSTER}/istio-networking/; kustomize edit remove resource app-recommendation-vs-fault.yaml

変更をプッシュします。

cd $K8S_REPO 
git add . && git commit -am "Fault Injection cleanup / restore"
git push
cd $ASM

14. Istioコントロールプレーンの監視

ASMは、Pilot、Mixer、Galley、Citadelの4つの重要なコントロールプレーンコンポーネントをインストールします。それぞれが関連する監視メトリックをPrometheusに送信します。ASMにはGrafanaダッシュボードが付属しており、オペレータはこの監視データを視覚化し、コントロールプレーンの健全性とパフォーマンスを評価できます。

ダッシュボードを表示する

Istioと共にインストールされたGrafanaサービスをポートフォワードします。

kubectl --context ${OPS_GKE_1} -n istio-system port-forward svc/grafana 3001:3000 >> /dev/null

Grafanaをブラウザから開きます。
Cloud Shellウィンドウの右上隅にある"Webプレビュー"アイコンをクリックします
ポート3000でプレビューをクリックします（注：ポートが3000ではない場合、ポートの変更をクリックしてポート3000を選択します）
これにより、ブラウザに次のようなURLのタブが開きます " BASE_URL/?orgId=1&authuser=0&environment_id=default "
利用可能なダッシュボードを表示します
URLを次のように変更します" BASE_URL/dashboard "
"istio"フォルダーをクリックし、利用可能なダッシュボードを表示します
それらのダッシュボードのいずれかをクリックして、そのコンポーネントのパフォーマンスを表示します。次のセクションでは、各コンポーネントの重要な指標を見ていきます

Pilotの監視

Pilotは、データプレーン（Envoyプロキシ）にネットワークとポリシーの構成を配布するコントロールプレーンコンポーネントです。Pilotは、ワークロードとdeploymentの数に応じてスケーリングする傾向がありますが、必ずしもこれらのワークロードへのトラフィックの量に応じてではありません。正常ではないPilotは次のようになり得ます:

必要以上のリソースを消費します (CPU と/または RAM)
更新された構成情報をEnvoyにプッシュする際に遅延が生じます

注：Pilotがダウンしている、または遅延がある場合でもワークロードは引き続きトラフィックを処理し続けます。

ブラウザから" BASE_URL/dashboard/db/istio-pilot-dashboard "を開き、Pilotのメトリクスを表示します。

重要な監視メトリクス

リソース使用量

Istioのパフォーマンスとスケーラビリティのページを使用可能な使用数のガイダンスとして使用してください。これよりも大幅に多くのリソースを使用している場合は、GCPサポートにお問い合わせください。

Pilotのプッシュ情報

このセクションでは、EnvoyプロキシへのPilotの設定プッシュを監視します。

Pilot Pushesは、プッシュされる設定のタイプを示します。
ADS Monitoringは、システム内のVirtual Services、サービス、および接続されたエンドポイントの数を示します。
既知のエンドポイントを持たないクラスターは、設定されているが実行中のインスタンスを持たないエンドポイントを表示します（* .googleapis.comなどの外部サービスを示す場合があります）。
Pilot Errorsは、時間の経過とともに発生したエラーの数を示します。
Conflictsは、リスナーの構成があいまいな競合の数を示します。

エラーまたはConflictsがある場合、1つ以上のサービスの構成が正しくないか、一貫性がありません。詳細については、データプレーンのトラブルシューティングを参照してください。

Envoy情報

このセクションには、コントロールプレーンに接続するEnvoyプロキシに関する情報が含まれています。繰り返しXDS接続エラーが発生する場合は、GCPサポートにお問い合わせください。

Mixerの監視

Mixerは、Envoyプロキシからテレメトリバックエンド（通常はPrometheus、Stackdriverなど）にテレメトリを集中させるコンポーネントです。この容量では、データプレーンにはありません。 2つの異なるサービス名（istio-telemetryとistio-policy）でデプロイされた2つのKubernetes Jobs（Mixerと呼ばれる）としてデプロイされます。

Mixerを使用して、ポリシーシステムと統合することもできます。この能力では、Mixerはデータプレーンに影響を与えます。これは、サービスへのアクセスのブロックに失敗したポリシーがMixerにチェックするためです.

Mixerは、トラフィックの量に応じてスケーリングする傾向があります。

ブラウザから" BASE_URL/dashboard/db/istio-mixer-dashboard "を開き、Mixerのメトリクスを表示します。

重要な監視メトリクス

リソース使用量

Mixer概要

**応答時間（Response Duration）**は重要な指標です。 Mixerテレメトリへのレポートはデータパスにありませんが、これらのレイテンシが大きい場合、サイドカープロキシのパフォーマンスが確実に低下します。 90パーセンタイルは1桁のミリ秒単位であり、99パーセンタイルは100ミリ秒未満であると予想する必要があります。

Adapter Dispatch Durationは、Mixerがアダプターを呼び出す際に発生するレイテンシーを示します（テレメトリーおよびロギングシステムに情報を送信するために使用されます）。ここでの待ち時間が長いと、メッシュのパフォーマンスに絶対的な影響があります。繰り返しますが、p90のレイテンシは10ミリ秒未満である必要があります。

Galleyの監視

Galleyは、Istioの構成の検証、取り込み、処理、および配布を行うコンポーネントです。設定をKubernetes APIサーバーからPilotに伝えます。 Pilotと同様に、システム内のサービスとエンドポイントの数に応じてスケーリングする傾向があります。

ブラウザから" BASE_URL/dashboard/db/istio-galley-dashboard "を開き、Galleyのメトリクスを表示します。

重要な監視メトリクス

リソース検証

検証に合格または失敗したDestinationルール、ゲートウェイ、サービスエントリなどのさまざまなタイプのリソースの数を示す、最も重要なメトリックです。

接続されたクライアント

Galleyに接続されているクライアントの数を示します。通常、これは3（Pilot、istio-telemetry、istio-policy）であり、これらのコンポーネントのスケーリングに合わせてスケーリングされます。

15. Istioのトラブルシューティング

データプレーンのトラブルシューティング

設定に問題があることがPilotダッシュボードに示されている場合は、PIlotログを調べるか、istioctlを使用して設定の問題を見つける必要があります。

Pilotログを調べるには、kubectl -n istio-system logs istio-pilot-69db46c598-45m44 discoveryのようなコマンドを実行ます。実際にはistio-pilot -...をトラブルシューティングするPilotインスタンスのPod識別子に置き換えます。

結果のログで、プッシュステータスメッセージを検索します。例えば:

2019-11-07T01:16:20.451967Z        info        ads        Push Status: {
    "ProxyStatus": {
        "pilot_conflict_outbound_listener_tcp_over_current_tcp": {
            "0.0.0.0:443": {
                "proxy": "cartservice-7555f749f-k44dg.hipster",
                "message": "Listener=0.0.0.0:443 AcceptedTCP=accounts.google.com,*.googleapis.com RejectedTCP=edition.cnn.com TCPServices=2"
            }
        },
        "pilot_duplicate_envoy_clusters": {
            "outbound|15443|httpbin|istio-egressgateway.istio-system.svc.cluster.local": {
                "proxy": "sleep-6c66c7765d-9r85f.default",
                "message": "Duplicate cluster outbound|15443|httpbin|istio-egressgateway.istio-system.svc.cluster.local found while pushing CDS"
            },
            "outbound|443|httpbin|istio-egressgateway.istio-system.svc.cluster.local": {
                "proxy": "sleep-6c66c7765d-9r85f.default",
                "message": "Duplicate cluster outbound|443|httpbin|istio-egressgateway.istio-system.svc.cluster.local found while pushing CDS"
            },
            "outbound|80|httpbin|istio-egressgateway.istio-system.svc.cluster.local": {
                "proxy": "sleep-6c66c7765d-9r85f.default",
                "message": "Duplicate cluster outbound|80|httpbin|istio-egressgateway.istio-system.svc.cluster.local found while pushing CDS"
            }
        },
        "pilot_eds_no_instances": {
            "outbound_.80_._.frontend-external.hipster.svc.cluster.local": {},
            "outbound|443||*.googleapis.com": {},
            "outbound|443||accounts.google.com": {},
            "outbound|443||metadata.google.internal": {},
            "outbound|80||*.googleapis.com": {},
            "outbound|80||accounts.google.com": {},
            "outbound|80||frontend-external.hipster.svc.cluster.local": {},
            "outbound|80||metadata.google.internal": {}
        },
        "pilot_no_ip": {
            "loadgenerator-778c8489d6-bc65d.hipster": {
                "proxy": "loadgenerator-778c8489d6-bc65d.hipster"
            }
        }
    },
    "Version": "o1HFhx32U4s="
}

プッシュステータスは、構成をEnvoyプロキシにプッシュしようとしたときに発生した問題を示します。この場合、重複したアップストリーム宛先を示すいくつかの「クラスターの重複」メッセージが表示されています。

問題の診断に関するサポートについては、Google Cloudサポートにお問い合わせください。

設定エラーの発見

istioctlを使用して構成を分析するには、 istioctl experimental analyze -k --context $ OPS_GKE_1を実行します。これにより、システムの構成の分析が実行され、提案された変更とともに問題が示されます。このコマンドが検出できる構成エラーの完全なリストについては、ドキュメントを参照してください。

16. クリーンアップ

管理者はcleanup_workshop.shスクリプトを実行して、bootstrap_workshop.shスクリプトによって作成されたリソースを削除します。クリーンアップスクリプトを実行するには、次の情報が必要です。

組織名 - 例. yourcompany.com
ワークショップID - YYMMDD-NN **形式。**例. 200131-01
管理用GCSバケット - ワークショップ作成スクリプトで定義

Cloud Shellを開き、その中で以下のすべてのアクションを実行します。下のリンクをクリックしてください。

CLOUD SHELL

想定している管理者ユーザーでgcloudにログインしていることを確認します。

gcloud config list

asmフォルダーに移動します。

cd ${WORKDIR}/asm

削除する組織名とワークショップIDを定義します。

export ORGANIZATION_NAME=<ORGANIZATION NAME>
export ASM_WORKSHOP_ID=<WORKSHOP ID>
export ADMIN_STORAGE_BUCKET=<ADMIN CLOUD STORAGE BUCKET>

次のようにクリーンアップスクリプトを実行します。

./scripts/cleanup_workshop.sh --workshop-id ${ASM_WORKSHOP_ID} --admin-gcs-bucket ${ADMIN_STORAGE_BUCKET} --org-name ${ORGANIZATION_NAME}

অ্যান্থোস সার্ভিস মেশ ওয়ার্কশপ: ল্যাব গাইড - জাপানিজ

1. আলফা ওয়ার্কশপ

2. 概要

アーキテクチャ図

এজেন্ডা

前提条件

3. インフラストラクチャセットアップ - 管理者用ワークフロー

ワークショップ作成スクリプトの説明

ワークショップの作成に必要な管理者権限

ワークショップを実行するユーザースキーマと権限

ワークショップで必要なツール群

ワークショップのセットアップ (単一ユーザーセットアップ)

ワークショップのセットアップ (複数ユーザーセットアップ)

4. インフラストラクチャ セットアップ - ユーザーワークフロー

目標: インフラストラクチャとIstioのインストールを確認する

ユーザー情報の取得

ワークショップで必要なツール群

インストールの確認

Istio のインストール確認

共有コントロールプレーンのサービスディスカバリの確認

5. অবকাঠামো リポジトリの説明

অবকাঠামো ক্লাউড বিল্ড

フォルダ構造 - チーム、環境、そしてリソース

プロバイダ、State、出力 - バックエンド、共有 রাষ্ট্র

変数

কে 8 এস リポジトリ の 説明

プロジェクト, gke クラスター, そして নেমস্পেস

কুবারনেটস マニフェスト と k8s_repo

6. サンプル アプリ を デプロイ する

目標: হিপস্টার ショップ アプリ を অ্যাপ্লিকেশন クラスター に デプロイ する

অপ্স プロジェクト の リポジトリ を クローン

マニフェスト の コピー 、 コミット 、 そして そして プッシュ

アプリケーション の 展開 を 確認 する

হিপস্টার ショップ アプリケーション へ へ アクセス

グローバル 負荷 分散

Gke অটোনগ コントローラー

ক্লাউড এন্ডপয়েন্টস と マネージド 証明 書 を 使っ 使っ セキュア な ইনগ্রেস

グローバル 負荷 分散 の 確認

7. স্ট্যাকড্রাইভার による 可 観測性

目標: Istio の テレメトリ データ を স্ট্যাকড্রাইভার に 連携 し 、 確認 する

8. 相互TLS認証

目標: マイクロサービス間でセキュアな接続を設定する(認証)

mTLSの動作確認

9. カナリアデプロイメント

目標: frontendサービスの新バージョンをロールアウトする

10. 認可ポリシー

目標: マイクロサービス間でRBACをセットアップする (認可)

11. インフラストラクチャのスケーリング

目標: 新しいリージョン、プロジェクト、クラスターを追加しインフラストラクチャをスケールする

Istioインストールの確認

共有コントロールプレーンのサービスディスカバリを確認

12. サーキットブレーカー

目標: サーキットブレーカーをshippingサービスに実装

13. フォールトインジェクション（Fault Injection）

目標: （本番環境にプッシュされる前に）意図的に遅延を発生させることにより、recommendationサービスの回復力をテストする

14. Istioコントロールプレーンの監視

ダッシュボードを表示する

Pilotの監視

重要な監視メトリクス

Mixerの監視

重要な監視メトリクス

Galleyの監視

重要な監視メトリクス

15. Istioのトラブルシューティング

データプレーンのトラブルシューティング

設定エラーの発見

16. クリーンアップ

4. インフラストラクチャセットアップ - ユーザーワークフロー

কে 8 এস リポジトリの説明

কুবারনেটস マニフェストと k8s_repo

6. サンプルアプリをデプロイする

目標: হিপস্টার ショップアプリを অ্যাপ্লিকেশন クラスターにデプロイする

অপ্স プロジェクトのリポジトリをクローン

マニフェストのコピー、コミット、そしてそしてプッシュ

アプリケーションの展開を確認する

হিপস্টার ショップアプリケーションへへアクセス

グローバル負荷分散

ক্লাউড এন্ডপয়েন্টস とマネージド証明書を使っ使っセキュアな ইনগ্রেস

グローバル負荷分散の確認

7. স্ট্যাকড্রাইভার による可観測性

目標: Istio のテレメトリデータを স্ট্যাকড্রাইভার に連携し、確認する