Cloud Service Mesh와 Traffic Director가 이제 Cloud Service Mesh로 통합되었습니다. 자세한 내용은 Cloud Service Mesh 개요를 참조하세요.

하이브리드 메시 설정

이 페이지에서는 다음 플랫폼에 대해 하이브리드 메시를 설정하는 방법을 설명합니다.

하이브리드: Google Cloud 기반 GKE 및 VMware용 Google Distributed Cloud(소프트웨어 전용)
하이브리드: Google Cloud 기반 GKE 및 베어메탈용 Google Distributed Cloud(소프트웨어 전용)

이 페이지에서는 안내에 따라 두 개의 클러스터를 설정하지만 이 프로세스를 확장하여 여러 개의 클러스터를 메시에 통합할 수 있습니다.

기본 요건

모든 클러스터는 동일한 Fleet 호스트 프로젝트에 등록해야 합니다.
모든 GKE 클러스터는 동일한 네트워크의 공유 VPC 구성 안에 위치해야 합니다.
클러스터의 Kubernetes 컨트롤 플레인 주소와 게이트웨이 주소는 메시의 모든 클러스터에서 연결할 수 있어야 합니다. GKE 클러스터가 있는 Google Cloud 프로젝트에서 외부 부하 분산 유형을 만들 수 있도록 허용되어야 합니다. 승인된 네트워크 및 VPC 방화벽 규칙을 사용해서 액세스를 제한하는 것이 좋습니다.
GKE 비공개 클러스터를 포함한 비공개 클러스터는 지원되지 않습니다. VMware용 Google Distributed Cloud(소프트웨어 전용) 및 베어메탈용 Google Distributed Cloud(소프트웨어 전용)를 포함한 온프레미스 클러스터를 사용하는 경우 GKE 클러스터의 포드에서 Kubernetes 컨트롤 플레인 주소 및 게이트웨이 주소에 연결할 수 있어야 합니다. CloudVPN을 사용하여 GKE 클러스터의 서브넷을 온프레미스 클러스터 네트워크에 연결하는 것이 좋습니다.
Istio CA를 사용하는 경우 모든 클러스터에 동일한 커스텀 루트 인증서를 사용합니다.

시작하기 전에

메시에 설정하려는 모든 클러스터에 대해 kubeconfig 파일 액세스 권한이 필요합니다. GKE 클러스터의 경우 클러스터의 새 kubeconfig 파일을 만들려면 터미널의 값으로 파일 전체 경로가 있는 KUBECONFIG 환경을 내보내고 kubeconfig 항목을 생성할 수 있습니다.

환경 변수 및 자리표시자 설정

east-west 게이트웨이를 설치할 때는 다음 환경 변수가 필요합니다.

프로젝트 번호의 환경 변수를 만듭니다. 다음 명령어에서 FLEET_PROJECT_ID를 Fleet 호스트 프로젝트의 프로젝트 ID로 바꿉니다.
```
export PROJECT_NUMBER=$(gcloud projects describe FLEET_PROJECT_ID --format="value(projectNumber)")
```
메시 식별자의 환경 변수를 만듭니다.
```
export MESH_ID="proj-${PROJECT_NUMBER}"
```
네트워크 이름용 환경 변수를 만듭니다.
- GKE 클러스터는 기본적으로 클러스터 네트워크 이름으로 지정됩니다.
  
  export NETWORK_1="PROJECT_ID-CLUSTER_NETWORK"
- 다른 클러스터는 default를 사용합니다.
  
  export NETWORK_2="default"
--network_id에 다른 값을 사용해서 다른 클러스터에 Cloud Service Mesh를 설치한 경우 동일한 값을 NETWORK_2에 값으로 전달해야 합니다.

east-west 게이트웨이 설치

CLUSTER_2(온프레미스 클러스터)에 대한 east-west 트래픽 전용 클러스터인 CLUSTER_1(GKE 클러스터)에 게이트웨이를 설치합니다.
```
asm/istio/expansion/gen-eastwest-gateway.sh \
    --mesh ${MESH_ID} \
    --network ${NETWORK_1}  \
    --revision asm-1260-11 | \
    ./istioctl --kubeconfig=PATH_TO_KUBECONFIG_1 install -y -f -
```
이 게이트웨이는 기본적으로 인터넷에 공개되어 있습니다. 프로덕션 시스템에서는 외부 공격을 차단하기 위해 방화벽 규칙과 같은 추가 액세스 제한이 필요할 수 있습니다.

CLUSTER_2에 CLUSTER_1의 east-west 트래픽 전용 게이트웨이를 설치합니다.

asm/istio/expansion/gen-eastwest-gateway.sh \
    --mesh ${MESH_ID} \
    --network ${NETWORK_2} \
    --revision asm-1260-11 | \
    ./istioctl --kubeconfig=PATH_TO_KUBECONFIG_2 install -y -f -

서비스 노출

클러스터가 별도의 네트워크에 있으므로 두 클러스터의 east-west 게이트웨이에 모든 서비스(\*.local)를 노출해야 합니다. 이 게이트웨이는 인터넷에서는 공개 상태지만, 마치 동일한 네트워크에 있는 것처럼 신뢰할 수 있는 mTLS 인증서와 워크로드 ID를 사용하는 서비스만 이러한 서비스에 액세스할 수 있습니다.

모든 클러스터의 east-west 게이트웨이를 통해 서비스 노출

    kubectl --kubeconfig=PATH_TO_KUBECONFIG_1 apply -n istio-system -f \
        asm/istio/expansion/expose-services.yaml
    kubectl --kubeconfig=PATH_TO_KUBECONFIG_2 apply -n istio-system -f \
        asm/istio/expansion/expose-services.yaml

엔드포인트 검색 사용 설정

asmcli create-mesh 명령어를 실행하여 엔드포인트 검색을 사용 설정합니다. 이 예시에서는 클러스터 2개만 표시하지만 명령어를 실행하면 GKE 허브 서비스 한도에 따른 추가 클러스터에 엔드포인트 검색을 사용 설정할 수 있습니다.

  ./asmcli create-mesh \
      FLEET_PROJECT_ID \
      PATH_TO_KUBECONFIG_1 \
      PATH_TO_KUBECONFIG_2

멀티 클러스터 연결 확인

사이드카 프록시 삽입을 참조하세요.