2.15. ゲートウェイ移行

手順

1. 新しい Ingress ゲートウェイを作成し、ゲートウェイインジェクションを使用するように設定します。

   注記

   この手順では、ServiceMeshControlPlane リソースで定義されているデフォルトの Ingress ゲートウェイデプロイメントからゲートウェイインジェクションに移行します。SMCP で設定された追加の Ingress ゲートウェイから移行する場合は、手順が変わる場合があります。

   ゲートウェイインジェクションを使用した Ingress ゲートウェイリソースの例

   apiVersion: apps/v1
   kind: Deployment
   metadata:
     name: istio-ingressgateway-canary
     namespace: istio-system 1
   spec:
     selector:
       matchLabels:
         app: istio-ingressgateway
         istio: ingressgateway
     template:
       metadata:
         annotations:
           inject.istio.io/templates: gateway
         labels: 2
           app: istio-ingressgateway
           istio: ingressgateway
           sidecar.istio.io/inject: "true"
       spec:
         containers:
           - name: istio-proxy
             image: auto
         serviceAccountName: istio-ingressgateway
   ---
   apiVersion: v1
   kind: ServiceAccount
   metadata:
     name: istio-ingressgateway
     namespace: istio-system
   ---
   apiVersion: rbac.authorization.k8s.io/v1
   kind: Role
   metadata:
     name: secret-reader
     namespace: istio-system
   rules:
     - apiGroups: [""]
       resources: ["secrets"]
       verbs: ["get", "watch", "list"]
   ---
   apiVersion: rbac.authorization.k8s.io/v1
   kind: RoleBinding
   metadata:
     name: istio-ingressgateway-secret-reader
     namespace: istio-system
   roleRef:
     apiGroup: rbac.authorization.k8s.io
     kind: Role
     name: secret-reader
   subjects:
     - kind: ServiceAccount
       name: istio-ingressgateway
   ---
   apiVersion: networking.k8s.io/v1
   kind: NetworkPolicy 3
   metadata:
     name: gatewayingress
     namespace: istio-system
   spec:
     podSelector:
       matchLabels:
         istio: ingressgateway
     ingress:
       - {}
     policyTypes:
       - Ingress

   1

   ゲートウェイインジェクションのデプロイメントとすべてのサポートリソースは、SMCP 定義ゲートウェイと同じ namespace にデプロイする必要があります。

   2

   Pod テンプレートで指定されているラベルに、既存の SMCP 定義ゲートウェイに関連する Service オブジェクトで指定されているすべてのラベルセレクターが含まれていることを確認します。

   3

   クラスターの外部から新しいゲートウェイへのアクセスを許可します。このアクセスは、ServiceMeshControlPlane リソースの spec.security.manageNetworkPolicy が true (デフォルト設定) に設定されている場合に必要です。

2. 新しいゲートウェイデプロイメントが要求を正常に処理していることを確認します。

   ServiceMeshControlPlane リソースでアクセスロギングが設定されている場合は、新しいゲートウェイデプロイメントのアクセスログを表示して動作を確認します。

3. 古いデプロイメントをスケールダウンし、新しいデプロイメントをスケールアップします。

   次の手順を実行して、古いゲートウェイデプロイメントから新しいゲートウェイデプロイメントにトラフィックを徐々に移行します。

   1. 次のコマンドを実行して、新しいゲートウェイデプロイメントのレプリカの数を増やします。

      $ oc scale -n istio-system deployment/<new_gateway_deployment> --replicas <new_number_of_replicas>

   2. 次のコマンドを実行して、古いゲートウェイデプロイメントのレプリカの数を減らします。

      $ oc scale -n istio-system deployment/<old_gateway_deployment> --replicas <new_number_of_replicas>

   3. 前の 2 つのコマンドを繰り返し実行します。毎回、新しいゲートウェイデプロイメントのレプリカの数を増やし、古いゲートウェイデプロイメントのレプリカの数を減らします。新しいゲートウェイデプロイメントによって、ゲートウェイの Service オブジェクトへのトラフィックがすべて処理されるまで繰り返します。

4. 次のコマンドを実行して、ゲートウェイの Service オブジェクトから app.kubernetes.io/managed-by ラベルを削除します。

   $ oc label service -n istio-system istio-ingressgateway app.kubernetes.io/managed-by-

   ラベルを削除すると、ServiceMeshControlPlane リソースでゲートウェイが無効にされたときにサービスが削除されなくなります。

5. 次のコマンドを実行して、ゲートウェイの Service オブジェクトから ownerReferences オブジェクトを削除します。

   $ oc patch service -n istio-system istio-ingressgateway --type='json' -p='[{"op": "remove", "path": "/metadata/ownerReferences"}]'

   このオブジェクトを削除すると、ServiceMeshControlPlane リソースが削除されたときにサービスがガベージコレクションされなくなります。

6. 次のコマンドを実行して、ServiceMeshControlPlane リソースによって管理されていた古いゲートウェイデプロイメントを無効にします。

   $ oc patch smcp -n istio-system <smcp_name> --type='json' -p='[{"op": "replace", "path": "/spec/gateways/ingress/enabled", "value": false}]'

   注記

   古い Ingress ゲートウェイの Service オブジェクトを無効にしても、このオブジェクトは削除されません。この Service オブジェクトをファイルに保存し、新しいゲートウェイインジェクションリソースと一緒に管理できます。