升级#

#安装最新的 Global Alauda Service Mesh Essentials 集群插件

请访问 Alauda Service Mesh Essentials 获取安装说明。

#升级业务集群组件

#升级前

平台为 service mesh 中的 Istio 提供金丝雀升级方式，其中会先部署新版本的 istiod 组件。待所有 data plane 完成升级后，再下线旧版本的 istiod 组件。

鉴于 Istio 版本与 Kubernetes 版本之间存在强依赖关系，在升级 Istio 之前，请确保集群当前的 Kubernetes 版本满足 Istio 的升级要求，以便顺利完成金丝雀升级。

下表展示了当前平台版本支持的 Istio 升级路径，以及这些路径所要求的 Kubernetes 版本。

注意：

• 表格仅描述了 Istio 和 Kubernetes 的主版本；次版本不会影响兼容性。
• 你可以通过进入 Components 列表，查看集群中当前正在运行的 Istio 和 Kubernetes 版本。
• 如果集群当前的 Kubernetes 版本低于 Istio 升级所需的版本，则需要通过 Upgrade Components 将 Kubernetes 升级到兼容版本。
• 更多信息，请参考 Community 中 Istio 支持的 Kubernetes 版本。

#升级流程

完整的 service mesh 升级流程包括以下步骤：

1. 升级集群中 service mesh 的非 Istio 组件，例如 asm operator、flagger operator 等。
2. 在集群中部署新版本的 istiod。
3. 检查集群中是否存在 EnvoyFilters。
4. 升级集群中所有 Istio data plane。
5. 下线集群中的旧版本 istiod。

#升级操作

#升级集群中的非 Istio 组件

1. 在左侧导航中，点击 Platform Management > Service Mesh > Meshes。
2. 点击需要升级的 Service Mesh Name，进入 mesh 详情页。
3. 在 mesh 详情页的 Mesh Deployment 区域，会显示已部署 service mesh 的集群列表。点击 Cluster Name，在新标签页中打开集群详情页。
4. 在集群详情页切换到 Components，然后点击 upgrade，将集群中的 service mesh 非 Istio 组件升级到最新版本。关于升级组件的详细文档，请参见 Upgrade Components。

注意：service mesh 的非 Istio 组件包括 asm、Flagger Operator、Asm Operator、Jaeger Operator。

#部署新版本的 istiod

注意：在部署新版本的 istiod 之前，请先参考 升级前，确保集群的 Kubernetes 版本满足升级路径要求。

1. 返回 mesh 详情页，在 Mesh Deployment 区域，点击对应集群的 Istio Version 右侧的 Upgrade 按钮。弹窗中将显示 Istio 的升级路径。
2. 点击弹窗中的 Upgrade 按钮。

#检查集群中是否存在 EnvoyFilters

1. 在左侧导航中，点击 Platform Management > Service Mesh > EnvoyFilter。

   注意：如果平台中存在多个 service mesh，可以通过顶部导航栏切换到集群所在的 service mesh。

2. 检查 EnvoyFilter 列表中是否有数据。

   • 如果未找到数据，检查完成。
   • 如果找到数据，请联系 EnvoyFilter 创建者，将所有 EnvoyFilters 适配到新版本的 Istio，或联系技术支持。

#升级集群中的所有 Istio data plane

集群中的 Istio data plane 包括 Sidecars、ingress gateways 和 egress gateways。

方法 1：通过交互式命令行工具升级

交互式命令行工具可以批量升级集群中的所有 Sidecars 和 gateways。该方法适合熟悉命令行操作的用户，尤其适合需要一次性快速升级整个集群的场景。

kubectl -ncpaas-system exec -it deploy/asm-controller -- /app/asm-controller bfg rollout

注意：你也可以使用无需确认的快速升级参数执行升级。

kubectl -ncpaas-system exec -it deploy/asm-controller -- /app/asm-controller bfg rollout --no-prompt

注意：ingress 和 egress gateways 的滚动升级过程会先删除旧的 Pods，然后创建新的 Pods，直到所有 Pods 都更新为新的 data plane 镜像版本。因此，如果 gateway 只有一个 Pod，那么在 gateway 升级期间将无法访问。

方法 2：通过 UI 升级

通过 UI 升级可以按不同 namespace 批量升级，或指定单个 service/gateway 进行升级。该方法适合偏好在可视化界面中操作的用户，尤其适合需要灵活选择升级目标的场景。

升级 Ingress 和 Egress Gateways

1. 在左侧导航栏中，点击 Service Mesh > Gateways。 注意：在集群的 gateway 列表中，Istio Version 右侧的 图标表示该 gateway 的 data plane proxy 可以升级。
2. 点击 Istio Version 右侧的 Upgrade 按钮，并点击 Confirm。

升级 Sidecars

1. 在左侧导航中，点击 Platform Management > Service Mesh > Meshes。
2. 点击需要升级 Sidecars 的 Service Mesh Name，进入 mesh 详情页。
3. 在 mesh 详情页的 Namespaces 区域，会显示由 service mesh 管理的 namespace 列表。点击 Namespace Name，在新标签页中打开 Service Mesh，并进入 Sidecar 所在的 namespace。 注意：请按顺序依次对所有 namespace 执行 Sidecar 升级。
4. 在左侧导航栏中，点击 Service List。 注意：当 Service Name 旁边出现 图标时，表示该 service 的 Sidecar 可以升级。
5. 点击 Batch Upgrade Sidecars。 注意：点击 service 记录中 图标右侧的 Upgrade 按钮，可以升级单个 service。
6. 选择全部、一个或多个 service，然后点击 Upgrade。 注意：平台会通过滚动更新不同当前版本和目标版本 Sidecar 的 Pods，来升级 service 的 Sidecar。如果升级失败，请检查 Container Platform 中的 container group events，以了解失败原因，或尝试 Re-upgrade。

注意：Sidecar 通过对 service 的 Deployment 执行滚动更新来完成 Pod 的 data plane 镜像更新。因此，如果 service 存在长连接，在 Pod 滚动更新期间会有短暂的服务中断。

#下线集群中的旧版本 istiod

只有在集群中所有 Istio data plane 都完成升级后，才可以下线集群中的旧版本 istiod。

警告：

• 如果集群中的旧版本 istiod 未下线，将无法使用 service mesh 的 add cluster 和 Sidecar 配置功能。
• 当平台存在新的可升级版本时，如果任何集群尚未下线旧版本 istiod，平台将无法升级。
• 在多集群 service mesh 中，必须在所有集群完成 Istio data plane 升级后，才能按顺序逐个下线各集群中的旧版本 istiod。

步骤

1. 返回 mesh 详情页，在 Mesh Deployment 区域，点击对应集群的 Istio Version 右侧的 Decommission Old Version 按钮。此时将显示 Decommission Old Version 弹窗。
2. 点击弹窗中的 Confirm 按钮。

注意：如果集群中仍有未升级的 data plane，点击 Decommission Old Version 后，弹窗会显示该集群中尚未升级的 ingress gateways、egress gateways 和 Sidecars，便于快速定位待升级的 data plane。