Cloud Service Mesh をアンインストールする

このページでは、Cloud Service Mesh をアンインストールする方法について説明します。

Cloud Service Mesh をアンインストールする

以下のコマンドを使用して、Cloud Service Mesh のすべてのコンポーネントをアンインストールします。また、これらのコマンドでは、istio-system 名前空間と、すべてのカスタム リソース定義（CRD）（お客様が適用した CRD も含む）が削除されます。

1. アプリケーション トラフィックが中断されないようにするには:

   • STRICT mTLS ポリシーを PERMISSIVE にダウングレードします。
   • トラフィックをブロックする可能性のある AuthorizationPolicy をすべて削除します。

2. 次のコマンドで、このクラスタで自動管理を無効にします（直接適用したか、フリートのデフォルト構成を使用して適用したかに関わらず）。

     gcloud container fleet mesh update --management manual
   

3. 名前空間でサイドカーの自動挿入機能が有効になっている場合は、これを無効にします。次のコマンドを実行して、名前空間ラベルを表示します。

    kubectl get namespace YOUR_NAMESPACE --show-labels
   

   出力は次のようになります。

    NAME   STATUS   AGE     LABELS
    demo   Active   4d17h   istio.io/rev=asm-181-5

   出力の LABELS 列の下に istio.io/rev= が表示されている場合は、削除します。

    kubectl label namespace YOUR_NAMESPACE istio.io/rev-
   

   出力の LABELS 列の下に istio-injection が表示されている場合は、削除します。

    kubectl label namespace YOUR_NAMESPACE istio-injection-
   

   istio.io/rev ラベルまたは istio-injection ラベルが表示されていない場合、名前空間で自動挿入が有効になっていません。

4. サイドカーが挿入されたワークロードを再起動してプロキシを削除します。

5. マネージド Cloud Service Mesh を使用している場合は、クラスタ内の controlplanerevision リソースを削除します。

   kubectl delete controlplanerevision RELEASE_CHANNEL -n istio-system
   

   RELEASE_CHANNEL は、asm-managed、asm-managed-rapid、asm-managed-stable など、プロビジョニングしたリリース チャンネルを示します。

6. クラスタ内に Webhook が存在する場合は、それを削除します。

   クラスタ内 Cloud Service Mesh

   validatingwebhooksconfiguration と mutatingwebhookconfiguration を削除します。

   kubectl delete validatingwebhookconfiguration,mutatingwebhookconfiguration -l operator.istio.io/component=Pilot
   

   マネージド Cloud Service Mesh

   A. validatingwebhooksconfiguration を削除します。

   kubectl delete validatingwebhookconfiguration istiod-istio-system-mcp
   

   B. mutatingwebhookconfiguration を削除します。

   kubectl delete mutatingwebhookconfiguration istiod-RELEASE_CHANNEL
   

7. すべてのワークロードが稼働し、プロキシが確認されなくなったら、クラスタ内コントロール プレーンを安全に削除して課金を停止できます。マネージド コントロール プレーンをデプロイした場合は、前のステップで自動的に削除されます。

   クラスタ内コントロール プレーンを削除するには、次のコマンドを実行します。

   istioctl x uninstall --purge
   

   コントロール プレーンが他にない場合は、istio-system 名前空間を削除して、すべての Cloud Service Mesh リソースを削除できます。他のコントロール プレーンがある場合は、Cloud Service Mesh のリビジョンに対応するサービスを削除します。これにより、CRD などの共有リソースの削除を回避できます。

8. 名前空間 istio-system と asm-system を削除します。

    kubectl delete namespace istio-system asm-system --ignore-not-found=true
   

9. 削除が成功したかどうかを確認します。

    kubectl get ns
   

   次に示すように、Terminating 状態を示す出力が返されます。出力されない場合は、名前空間内の残りのリソースを手動で削除して、もう一度試してください。

    NAME                 STATUS       AGE
    istio-system         Terminating  71m
    asm-system           Terminating  71m
   

   1. クラスタを削除する場合、またはすでに削除している場合は、各クラスタがフリートから登録解除されていることを確認してください。

10. マネージド Cloud Service Mesh のフリートのデフォルト構成を有効にしていて、将来のクラスタで無効にする場合は、無効にします。単一クラスタからのアンインストールのみを行う場合は、この手順をスキップできます。

     gcloud container hub mesh disable --fleet-default-member-config --project FLEET_PROJECT_ID
    

    ここで、FLEET_PROJECT_ID はフリート ホスト プロジェクトの ID です。

11. マネージド Cloud Service Mesh を使用している場合は、mdp-controller Deployment を削除します。

     kubectl delete deployment mdp-controller -n kube-system
    

12. istio-cni-plugin-config configmap が存在するかどうかを確認します。

     kubectl get configmap istio-cni-plugin-config -n kube-system
    

    istio-cni-plugin-config configmap が存在する場合は削除します。

     kubectl delete configmap istio-cni-plugin-config -n kube-system
    

13. istio-cni-node daemonset を削除します。

     kubectl delete daemonset istio-cni-node -n kube-system
    

これらの手順を完了すると、プロキシ、クラスタ内認証局、RBAC のロールとバインディングを含むすべての Cloud Service Mesh コンポーネントが、クラスタから体系的に削除されます。インストール プロセス中に、Google 所有のサービス アカウントに、クラスタ内のサービス メッシュ リソースを確立するために必要な権限が付与されます。これらのアンインストール手順を実施しても、これらの権限は取り消されないため、今後 Cloud Service Mesh をシームレスに再有効化できます。