升级#

#安装最新的全局 Alauda Service Mesh Essentials 集群插件

请访问 Alauda Service Mesh Essentials 获取安装说明。

#升级业务集群组件

#升级前

平台为 service mesh 中的 Istio 提供金丝雀升级，先部署 istiod 组件的新版本。待所有数据平面升级完成后，再下线 istiod 组件的旧版本。

由于 Istio 版本与 Kubernetes 版本之间存在强依赖关系，在升级 Istio 之前，请确保集群当前的 Kubernetes 版本满足 Istio 的升级要求，以便顺利完成金丝雀升级。

下表展示了当前平台版本所支持的 Istio 升级路径，以及这些路径所需的 Kubernetes 版本。

注意：

• 表格中仅描述了 Istio 和 Kubernetes 的主版本；次版本不会影响兼容性。
• 你可以在 Components 列表中查看集群当前运行的 Istio 和 Kubernetes 版本。
• 如果集群当前的 Kubernetes 版本低于 Istio 升级所需版本，则需要通过 升级组件 将 Kubernetes 升级到兼容版本。
• 更多信息，请参阅 Community 中 Istio 支持的 Kubernetes 版本。

#升级流程

完整的 service mesh 升级流程包括以下步骤：

1. 升级集群中 service mesh 的非 Istio 组件，例如 asm operator、flagger operator 等。
2. 在集群中部署新版本的 istiod。
3. 检查集群中是否存在 EnvoyFilters。
4. 升级集群中所有 Istio 数据平面。
5. 下线集群中旧版本的 istiod。

#升级操作

#升级集群中的非 Istio 组件

1. 在左侧导航栏中的 Platform Management 下，单击 Service Mesh > Meshes。
2. 单击需要升级的 Service Mesh Name，进入网格详情页面。
3. 在网格详情的 Mesh Deployment 区域中，会显示已部署 service mesh 的集群列表。单击 Cluster Name，在新标签页中打开集群详情页面。
4. 在集群详情页面中切换到 Components，然后单击升级，将集群中的非 Istio 组件升级到最新版本。有关升级组件的详细文档，请参阅 升级组件。

注意：service mesh 的非 Istio 组件包括 asm、Flagger Operator、Asm Operator、Jaeger Operator。

#部署新版本的 istiod

注意：在部署新版本的 istiod 之前，请先参考 升级前，确保集群的 Kubernetes 版本满足升级路径要求。

1. 返回网格详情页面，在 Mesh Deployment 区域中，单击对应集群 Istio Version 右侧的 Upgrade 按钮。弹出的窗口中会显示 Istio 的升级路径。
2. 在弹窗中单击 Upgrade 按钮。

#检查集群中是否存在 EnvoyFilters

1. 在左侧导航栏中的 Platform Management 下，单击 Service Mesh > EnvoyFilter。

   注意：如果平台上存在多个 service mesh，可以通过顶部导航栏切换到集群所在的 service mesh。

2. 检查 EnvoyFilter 列表中是否有数据。

   • 如果未找到数据，则检查完成。
   • 如果找到数据，请联系 EnvoyFilter 创建者，将所有 EnvoyFilters 适配到新版本的 Istio，或者联系技术支持。

#升级集群中所有 Istio 数据平面

集群中的 Istio 数据平面包括 Sidecars、ingress gateways 和 egress gateways。

方法 1：通过交互式命令行工具升级

交互式命令行工具可以批量升级集群中的所有 Sidecar 和 gateway。此方法适用于熟悉命令行操作的用户，尤其适合需要一次性快速升级整个集群的场景。

kubectl -ncpaas-system exec -it deploy/asm-controller -- /app/asm-controller bfg rollout

注意：你也可以使用快速升级参数，无需确认即可执行升级。

kubectl -ncpaas-system exec -it deploy/asm-controller -- /app/asm-controller bfg rollout --no-prompt

注意：ingress 和 egress gateway 的滚动升级过程会先删除旧的 Pod，然后创建新的 Pod，直到所有 Pod 都更新为新的数据平面镜像版本。因此，如果 gateway 只有一个 Pod，在 gateway 升级期间将不可访问。

方法 2：通过 UI 升级

通过 UI 升级可以按不同 namespace 批量升级，或指定单个 service/gateway 进行升级。此方法适用于偏好在可视化界面中操作的用户，尤其适合需要灵活选择升级目标的场景。

升级 Ingress 和 Egress Gateway

1. 在左侧导航栏中，单击 Service Mesh > Gateways。 注意：在集群的 gateway 列表中，Istio Version 右侧的 图标表示该 gateway 的数据平面代理可以升级。
2. 单击 Istio Version 右侧的 Upgrade 按钮，然后单击 Confirm。

升级 Sidecar

1. 在左侧导航栏中的 Platform Management 下，单击 Service Mesh > Meshes。
2. 单击需要升级 Sidecar 的 Service Mesh Name，进入网格详情页面。
3. 在网格详情的 Namespaces 区域中，会显示由 service mesh 管理的 namespace 列表。单击 Namespace Name，在新标签页中打开 Service Mesh，并进入 Sidecar 所在的 namespace。 注意：请依次对所有 namespace 执行 Sidecar 升级。
4. 在左侧导航栏中，单击 Service List。 注意：当 Service Name 旁边出现 图标时，表示该 service 的 Sidecar 可以升级。
5. 单击 Batch Upgrade Sidecars。 注意：单击 service 记录中 图标右侧的 Upgrade 按钮，可以升级单个 service。
6. 选择全部、一个或多个 service，然后单击 Upgrade。 注意：平台会通过滚动更新不同当前版本和目标版本 Sidecar 的 Pod 来升级该 service 的 Sidecar。如果升级失败，请检查 Container Platform 中的容器组事件，以了解失败原因，或尝试 Re-upgrade。

注意：Sidecar 通过对 service 的 Deployment 执行滚动更新来完成 Pod 数据平面镜像更新。因此，如果 service 存在长连接，在 Pod 滚动更新期间会出现短暂的服务中断。

#下线集群中的旧版本 istiod

只有在集群中所有 Istio 数据平面都升级完成后，才能下线集群中的旧版本 istiod。

警告：

• 如果集群中的旧版本 istiod 未下线，则无法使用 service mesh 的添加集群和 Sidecar 配置功能。
• 当平台上出现新的可升级版本时，如果任一集群尚未下线旧版本 istiod，平台将无法升级。
• 在多集群 service mesh 中，只有在所有集群都完成 Istio 数据平面升级后，才能依次下线各集群中的旧版本 istiod。

步骤

1. 返回网格详情页面，在 Mesh Deployment 区域中，单击对应集群 Istio Version 右侧的 Decommission Old Version 按钮。将显示 Decommission Old Version 弹窗。
2. 单击弹窗中的 Confirm 按钮。

注意：如果集群中仍有未升级的数据平面，单击 Decommission Old Version 后，弹窗会显示集群中尚未升级的 ingress gateways、egress gateways 和 Sidecars，便于快速定位需要升级的数据平面。