检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Service的端口名称是否符合istio规范 问题描述 Service端口名称必须包含指定的协议和前缀,按以下格式命名: name: <protocol>[-<suffix>] 其中,<protocol>可以是http、tcp、grpc等,Istio根据在端口上定义的协议来提供对应的路由能力。例如“name:
with routes, ports=[%v] 原因分析 配置诊断正常的多端口服务删除了其中的一些端口,如service01存在80和81端口,在CCE界面删除了81端口。 解决方法 恢复删除的service端口。 父主题: 灰度发布
服务网格如何支持自定义网段或端口拦截规则? 操作场景 某些场景下,用户希望能够指定拦截的IP网段,只有IP网段内的请求会被代理拦截;某些场景下,需要配置拦截规则仅针对特定端口的请求生效。以下将介绍两种拦截网段的配置方式。 负载级别配置拦截IP网段 通过配置业务deployment文件,可以在负载级别配置IP网段拦截:
简单安装时,Istiod是从集群内获取的,受攻击的可能性小一点。 多集群场景安装的时候,15012端口是暴露在公网的,受攻击影响的可能性大一些。 根本原因 15012端口接收的请求不需要认证信息即可被Istiod处理,在大量向Istiod该端口发送请求时会导致Istiod服务不可用。 受影响版本
一键创建体验应用部署成功以后,为何不能访问页面? 问题描述 一键创建体验应用部署成功后不能访问页面。 原因分析 弹性负载均衡ELB未成功监听端口。 解决方法 请在弹性负载均衡ELB中查看该端口监听器是否创建,后端服务器健康状态是否正常。弹性负载均衡监听器创建方法请参见监听器。 父主题:
网关访问服务时,必须带有可信赖的Access Token。 准备工作 已创建一个1.13或1.15或1.18版本网格。 网格中有诊断通过的httpbin服务,镜像为httpbin,端口协议为http,端口号为80。 网格中已为httpbin服务创建可访问的网关。 创建JWT认证 创建JWK。
程序级别的安全性。 多集群安全:在多集群场景下ASM提供了全局的服务访问安全。多个集群的网格共享一套根证书,给数据面的服务实例分发密钥和证书对,并定期替换密钥证书,根据需要撤销密钥证书。在服务间访问时,网格的数据面代理就会代理本地服务和对端进行双向认证、通道加密。这里的双向认证的
VirtualService中必须配置了Service的所有端口。 VirtualService中的协议类型必须和Service中端口协议类型一致。 VirtualService和DestinationRule中必须配置了默认的服务版本。 如果检查结果发生改变,可能Service的端口号或端口名称被修改。 修复指导
teway是否有对应的IP和端口,且未处于pending状态。 核实加入服务网格的内部访问协议和添加网络配置的外部访问协议一致。 如果通过浏览器访问出现“ERR_UNSAFE_PORT”错误,是因为该端口被浏览器识别为危险端口,此时应更换为其他外部端口。 父主题: 添加服务
对外协议为TLS时,可选择开启/关闭TLS终止。开启TLS终止时需要绑定证书,以支持TLS数据传输加密认证;关闭TLS终止时,网关将直接转发加密的TLS数据。 密钥证书 配置TLS协议并开启TLS时,需要绑定证书,以支持TLS数据传输加密认证。 配置HTTPS协议时,需要绑定密钥证书。 TLS最低版本/TLS最高版本
服务?。 配置诊断失败的服务无法选择,需要先根据手动修复项或自动修复项进行修复。 访问端口 仅显示匹配对外协议的端口。 重写 (对外协议为HTTP/HTTPS时可配置) 重写HTTP/HTTPS的URI和Host/Authority头,于转发前执行。默认关闭。开启后,需要配置如下参数:
所在命名空间。 选择一个服务,单击操作列的“安全”,在右侧页面进行访问授权和对端认证配置。 访问授权 用来实现对网格中服务的访问控制功能,即判断一个请求是否允许发送到当前的服务。 选择“访问授权”,单击“立即配置”,在弹出对话框中,单击,选择指定命名空间下的一个或多个服务进行访问授权设置。
服务所属集群。 关联工作负载 该服务所属的工作负载,界面自动关联。 访问端口-->容器端口 容器端口:工作负载程序实际监听的端口,需用户确定。 访问端口:容器端口映射到集群虚拟IP上的端口,用虚拟IP访问工作负载时使用,端口范围为1-65535,可任意指定。 访问协议 请根据业务的协议类
入方向端口:可用于配置端口级别拦截规则,生效于网格服务的内部端口,以逗号分隔入站端口。 仅拦截指定端口表示访问网格服务指定端口范围内的请求将被重定向到sidecar中。 仅排除指定端口表示访问网格服务的请求,除端口范围外的请求将被重定向到sidecar中。 出方向端口:可用于配
Secret中加载私钥和证书。对于Istio1.8及更高版本,Secret通过XDS API从Istiod传送到网关或工作负载。 网关或工作负载部署应该只能访问存储在其命名空间内的Kubernetes Secret中的凭证(TLS证书和私钥)。但是,Istiod中的一个错误允许授权客户
诊断异常的服务,需要先手动修复异常状态的手动处理项,再一键修复可自动处理项。 在诊断状态为异常的服务下单击“处理”,若手动处理项有异常,根据修复指导进行手动修复。 图2 手动处理项 手动修复异常状态的手动处理项后,单击“下一步”进入自动修复项页面,单击“一键修复”,自动处理异常状态的检查项。 图3
initContainer 所访问的目标端口,通过设置 traffic.sidecar.istio.io/excludeOutboundPorts 注解以使访问该端口的流量不会被重定向到 Sidecar。 请谨慎使用注解方式排除流量拦截,因为 IP/端口排除注解不仅适用于 Init 容器流量,还适用于应用容器流量。
服务创建分版本管理、支持分版本进行监控 - √ √ 支持分版本进行服务负载管理 √ √ √ 服务多端口 支持管理多个端口的服务、支持管理多个端口多协议的服务 √ √ √ 灰度发布支持多端口 - √ √ 服务多形态 支持容器类型的服务后端 √ √ √ 协议及语言支持 HTTP协议灰度、
服务创建分版本管理、支持分版本进行监控 - √ √ 支持分版本进行服务负载管理 √ √ √ 服务多端口 支持管理多个端口的服务、支持管理多个端口多协议的服务 √ √ √ 灰度发布支持多端口 - √ √ 服务多形态 支持容器类型的服务后端 √ √ √ 协议及语言支持 HTTP协议灰度、
支持基于数据面,通过Telemetry V2的非Mixer方式的监控数据采集 支持控制面托管和非托管形态 支持多端口服务基于端口粒度的服务治理 支持v1.15和v1.17 CCE集群版本 详细内容请参阅:https://istio.io/latest/news/releases/1.6.x/announcing-1
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
