Google Kubernetes Engine

Istio 用に GKE クラスターを準備するには、次の手順に従ってください。

1. 新しいクラスターを作成します。

   $ export PROJECT_ID=`gcloud config get-value project` && \
     export M_TYPE=n1-standard-2 && \
     export ZONE=us-west2-a && \
     export CLUSTER_NAME=${PROJECT_ID}-${RANDOM} && \
     gcloud services enable container.googleapis.com && \
     gcloud container clusters create $CLUSTER_NAME \
     --cluster-version latest \
     --machine-type=$M_TYPE \
     --num-nodes 4 \
     --zone $ZONE \
     --project $PROJECT_ID
   

2. kubectl のクレデンシャルを取得します。

   $ gcloud container clusters get-credentials $CLUSTER_NAME \
       --zone $ZONE \
       --project $PROJECT_ID
   

3. 現在のユーザーにクラスター管理者（admin）権限を付与します。Istioに必要な RBAC ルールを作成するため、現在のユーザーには管理者権限が必要です。

   $ kubectl create clusterrolebinding cluster-admin-binding \
       --clusterrole=cluster-admin \
       --user=$(gcloud config get-value core/account)
   

マルチクラスタ通信

場合によっては、クラスター間トラフィックを許可するために、ファイアウォールルールを明示的に作成する必要があります。

1. クラスターのネットワークに関する情報を収集します。

   $ function join_by { local IFS="$1"; shift; echo "$*"; }
   $ ALL_CLUSTER_CIDRS=$(gcloud --project $PROJECT_ID container clusters list --format='value(clusterIpv4Cidr)' | sort | uniq)
   $ ALL_CLUSTER_CIDRS=$(join_by , $(echo "${ALL_CLUSTER_CIDRS}"))
   $ ALL_CLUSTER_NETTAGS=$(gcloud --project $PROJECT_ID compute instances list --format='value(tags.items.[0])' | sort | uniq)
   $ ALL_CLUSTER_NETTAGS=$(join_by , $(echo "${ALL_CLUSTER_NETTAGS}"))
   

2. ファイアウォールルールを作成します。

   $ gcloud compute firewall-rules create istio-multicluster-pods \
       --allow=tcp,udp,icmp,esp,ah,sctp \
       --direction=INGRESS \
       --priority=900 \
       --source-ranges="${ALL_CLUSTER_CIDRS}" \
       --target-tags="${ALL_CLUSTER_NETTAGS}" --quiet