检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
服务网格如何支持自定义网段或端口拦截规则? 操作场景 某些场景下,用户希望能够指定拦截的IP网段,只有IP网段内的请求会被代理拦截;某些场景下,需要配置拦截规则仅针对特定端口的请求生效。以下将介绍两种拦截网段的配置方式。 负载级别配置拦截IP网段 通过配置业务deployment文件,可以在负载级别配置IP网段拦截:
Service的端口名称是否符合istio规范 问题描述 Service端口名称必须包含指定的协议和前缀,按以下格式命名: name: <protocol>[-<suffix>] 其中,<protocol>可以是http、tcp、grpc等,Istio根据在端口上定义的协议来提供对应的路由能力。例如“name:
with routes, ports=[%v] 原因分析 配置诊断正常的多端口服务删除了其中的一些端口,如service01存在80和81端口,在CCE界面删除了81端口。 解决方法 恢复删除的service端口。 父主题: 灰度发布
teway是否有对应的IP和端口,且未处于pending状态。 核实加入服务网格的内部访问协议和添加网络配置的外部访问协议一致。 如果通过浏览器访问出现“ERR_UNSAFE_PORT”错误,是因为该端口被浏览器识别为危险端口,此时应更换为其他外部端口。 父主题: 添加服务
简单安装时,Istiod是从集群内获取的,受攻击的可能性小一点。 多集群场景安装的时候,15012端口是暴露在公网的,受攻击影响的可能性大一些。 根本原因 15012端口接收的请求不需要认证信息即可被Istiod处理,在大量向Istiod该端口发送请求时会导致Istiod服务不可用。 受影响版本
一键创建体验应用部署成功以后,为何不能访问页面? 问题描述 一键创建体验应用部署成功后不能访问页面。 原因分析 弹性负载均衡ELB未成功监听端口。 解决方法 请在弹性负载均衡ELB中查看该端口监听器是否创建,后端服务器健康状态是否正常。弹性负载均衡监听器创建方法请参见监听器。 父主题:
添加网关 服务网关在微服务实践中可以做到统一接入、流量管控、安全防护、业务隔离等功能。 前提条件 服务网关使用弹性负载均衡服务(ELB)的负载均衡器提供网络访问,因此在添加网关前,请提前创建负载均衡。 创建负载均衡时,需要确保所属VPC与集群的VPC一致,详情请参见创建独享型负载均衡器或
网关访问服务时,必须带有可信赖的Access Token。 准备工作 已创建一个1.13或1.15或1.18版本网格。 网格中有诊断通过的httpbin服务,镜像为httpbin,端口协议为http,端口号为80。 网格中已为httpbin服务创建可访问的网关。 创建JWT认证 创建JWK。
VirtualService中必须配置了Service的所有端口。 VirtualService中的协议类型必须和Service中端口协议类型一致。 VirtualService和DestinationRule中必须配置了默认的服务版本。 如果检查结果发生改变,可能Service的端口号或端口名称被修改。 修复指导
服务所属集群。 关联工作负载 该服务所属的工作负载,界面自动关联。 访问端口-->容器端口 容器端口:工作负载程序实际监听的端口,需用户确定。 访问端口:容器端口映射到集群虚拟IP上的端口,用虚拟IP访问工作负载时使用,端口范围为1-65535,可任意指定。 访问协议 请根据业务的协议类
则请参见添加路由时,为什么选不到对应的服务?。 配置诊断失败的服务无法选择,需要先根据手动修复项或自动修复项进行修复。 访问端口 仅显示匹配对外协议的端口。 重写 (对外协议为HTTP/HTTPS时可配置) 重写HTTP/HTTPS的URI和Host/Authority头,于转发
零信任网络:在不受信任的网络上构建安全解决方案。 优势 非侵入安全:应用服务网格是以一种安全基础设施的方式向用户提供透明的安全能力,让不涉及安全问题的代码安全运行,让不太懂安全的人可以开发和运维安全的服务,不用修改业务代码就能提供服务访问安全。应用服务网格提供了一个透明的分布式安全层,并提供了底层安全的通信通道,
所在命名空间。 选择一个服务,单击操作列的“安全”,在右侧页面进行访问授权和对端认证配置。 访问授权 用来实现对网格中服务的访问控制功能,即判断一个请求是否允许发送到当前的服务。 选择“访问授权”,单击“立即配置”,在弹出对话框中,单击,选择指定命名空间下的一个或多个服务进行访问授权设置。
服务支持跨集群访问,需要满足以下规则: 每个集群中必须有和此服务所在命名空间同名的命名空间。 每个集群中,同名命名空间下有同名同类型的服务。 每个同名服务中的labels、端口信息,以及selector中的内容完全相同。 除服务本身所在集群中的YAML文件annotations下带有asm/clusterId、a
目标服务的服务实例端口不通,会导致服务访问失败,同时服务端Inbound日志会记录503UF。 典型日志 服务端口错误的客户端出流量日志。 服务实例端口错误的服务端入流量日志。 应对建议 检查服务定义,确保服务端口和服务端口定义正确。客户端通过正确的端口访问目标服务。 URX(超过重试次数)
入方向端口:可用于配置端口级别拦截规则,生效于网格服务的内部端口,以逗号分隔入站端口。 仅拦截指定端口表示访问网格服务指定端口范围内的请求将被重定向到sidecar中。 仅排除指定端口表示访问网格服务的请求,除端口范围外的请求将被重定向到sidecar中。 出方向端口:可用于配
n为例。 访问类型:选择负载均衡。 选择器:单击“引用负载标签”,自动添加。 端口配置:配置容器端口和服务端口,此处以9411为例。 其他参数使用默认值即可。 预期结果: 设置完成后会在服务页面增加一条服务名称为zipkin的记录,如下: 如果不需要访问Zipkin UI,访问类型可选择集群内访问。
property 'slice' of undefined 原因分析 存在端口为空的服务。 解决方法 查看服务端口。 kubectl get svc --all-namespaces 给Ports为空的服务添加端口。 父主题: 添加服务
入方向端口:可用于配置端口级别拦截规则,生效于网格服务的内部端口,以逗号分隔入站端口。 仅拦截指定端口表示访问网格服务指定端口范围内的请求将被重定向到sidecar中。 仅排除指定端口表示访问网格服务的请求,除端口范围外的请求将被重定向到sidecar中。 出方向端口:可用于配
诊断异常的服务,需要先手动修复异常状态的手动处理项,再一键修复可自动处理项。 在诊断状态为异常的服务下单击“处理”,若手动处理项有异常,根据修复指导进行手动修复。 图2 手动处理项 手动修复异常状态的手动处理项后,单击“下一步”进入自动修复项页面,单击“一键修复”,自动处理异常状态的检查项。 图3
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
