检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
故障注入:支持配置延时故障和中断故障。 安全 对端认证:对端认证定义了流量如何通过隧道(或者不通过隧道)传输到当前服务的实例,当前支持配置默认模式(UNSET)、宽容模式(PERMISSIVE)和严格模式(STRICT)三种认证策略。 访问授权:访问授权用来实现对网格中服务的访问
制如图1所示。 图1 Istio JWT认证流程 ① 客户端连接认证服务,提供用户名和密码; ② 认证服务验证用户名和密码,生成JWT令牌,包括用户标识和过期时间等信息,并使用认证服务的私钥签名; ③ 认证服务向客户端返回生成的JWT令牌; ④ 客户端将收到的JWT令牌存储在本端,供后续请求时使用;
未认证的控制面DoS攻击(CVE-2022-23635) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 DoS CVE-2022-23635 2022-02-22 影响评分 7.5 高危 触发场景 简单安装时,Istiod是从集群内获取的,受攻击的可能性小一点。
息: 发行者:JWT的颁发者,本文设置为“test”。 令牌受众:JWT受众列表,设置哪些服务可以使用JWT Token访问目标服务,本文设置为“ASM”。 jwks:设置JWT信息,本文设置为{"keys": [1创建的JWK]},例如1创建的JWK为{"kty":"RSA","e":"AQAB"
SIVE)的对端认证策略。 严格模式(STRICT) 流量只能通过隧道进行传输,因为请求必须是TLS加密的密文,且必须带有客户端证书。 JWT认证 在服务网格中配置JWT(JSON Web Token)请求授权,可以实现来源认证。在接收用户请求时,该配置用于认证请求头信息中的Access
成长地图 | 华为云 应用服务网格 应用服务网格(Application Service Mesh,简称ASM)是华为云基于开源Istio推出的服务网格平台,它深度、无缝对接了华为云的企业级Kubernetes集群服务CCE,可为客户提供开箱即用的上手体验。 图说ASM 图说ASM
要撤销密钥证书。在服务间访问时,网格的数据面代理就会代理本地服务和对端进行双向认证、通道加密。这里的双向认证的服务双方可以来自两个不同的集群,从而做到跨集群的透明的端到端双向认证。 细粒度授权:在认证的基础上,就可以进行服务间的访问授权管理,可以控制某个服务,或者服务的一个特定接
登录节点时需要使用该密码,请妥善管理密码,系统无法获取您设置的密码内容。 选择“密钥对”:在选项框中选择用于登录本节点的密钥对,并单击勾选确认信息。 密钥对用于远程登录节点时的身份认证。如果没有密钥对,可单击选项框右侧的“创建密钥对”来新建,创建密钥对操作步骤请参见创建密钥对。 设置完成后,单击“下一步”。确认订单无误后,单击“提交”。
如果还未创建过网格,请单击ASM基础版中的“创建网格”。 如果当前已有网格,请在网格列表页面右上角单击“购买网格”。 网格类型选择“基础版”。 设置基础版网格参数。 图1 基础版网格参数 网格名称 基础版网格的名称,取值必须以小写字母开头,由小写字母、数字、中划线(-)组成,且不能以中
漏洞公告 未认证的控制面DoS攻击(CVE-2022-23635) Istiod TLS证书密钥滥用(CVE-2021-34824)
单击右上角“购买网格”。 设置如下参数,其余参数均采用默认值。 网格类型 选择基础版。 网格名称 设置网格的名称。 Istio版本 网格支持的Istio版本。 集群 选择4中创建的集群。 Istio控制面节点 如果需要高可用,建议选择两个或以上不同可用区的节点。 设置完成后,在右侧的配置清单中确认网格配置,单击“提交”。
集群管理”,单击“CCE集群”右侧的“购买”按钮。 创建集群的详细步骤请参见购买CCE集群。 在“服务选型”页面设置如下参数,其余参数均采用默认值。 集群名称:用户自行输入,此处设置为“cluster-test”。 虚拟私有云、所在子网:选择创建虚拟私有云中创建的虚拟私有云和子网。 单击
6-r2之前的版本会在sidecar注入时自动设置fsgroup为1337(此设置会导致挂载进业务容器的文件属组被改为1337) 解决方法 k8s 1.19以上版本解决了该问题,因此网格1.8.6-r2以上版本,如果集群为1.19以及以上版本,ASM会自动设置EnableLegacyFSGroupInjection
集群管理”,单击“CCE集群”右侧的“购买”按钮。 创建集群的详细步骤请参见购买CCE集群。 在“服务选型”页面设置如下参数,其余参数均采用默认值。 集群名称:用户自行输入,此处设置为“cluster-test”。 虚拟私有云、所在子网:选择创建虚拟私有云中创建的虚拟私有云和子网。 单击
网关访问保留源IP 设置成节点亲和在某些场景下可能导致无法访问ELB,具体情况请查看 集群内部无法使用ELB地址访问负载。 操作场景 服务通过网关访问时,默认情况下,目标容器中看到的不是客户端的源IP,如果需要保留源IP,请参考本节指导操作。 配置方法 请在CCE控制台“服务发现
ASM用户委托权限收缩指南 背景介绍 应用服务网格权限管理是通过IAM统一身份认证里的委托实现的,而2024年7月前已进行授权的用户可能存在委托权限过大的问题,鉴于安全考虑,建议通过下文指导进行委托的权限收缩。 操作步骤 登录IAM控制台。 在左侧菜单栏单击委托,在搜索框中,搜索asm_admin_trust
服务亲和 设置成节点亲和在某些场景下可能导致无法访问ELB,具体情况请参考 集群内部无法使用ELB地址访问负载处理。 进入CCE Console页面,单击“集群名称--服务--服务”,单击要操作服务更多列的“编辑YAML”。 通过YAML配置如下参数: spec: type:
如何搭建IPv4/IPv6双栈网格 当前CCE支持创建IPv4/IPv6双栈集群,在双栈集群基础上支持开启IPv4/IPv6网格。启用双栈网格后,服务拥有 IPv4地址和IPv6地址,通过这两个地址都可以进行服务间的访问。本教程将指引您搭建一个IPv4/IPv6双栈的网格,使网格
在左侧导航栏选择“资源 > 工作负载”,单击右上角“镜像创建”。 设置工作负载参数。 负载类型:选择“无状态负载”。 命名空间:选择在3中填写的命名空间“vmns”。 镜像:选择“tomcat”。 服务配置:添加服务,服务端口和容器端口设置为8080。 其余参数按需填写。 如果是TCP协议服务,需要服务监听在127
创建服务网关时,提示500错误 问题描述 一键创建体验应用Bookinfo时,提示“创建对外访问方式失败”。 排查思路 登录ASM控制台,按“F12”,切换到Network页签查看接口。发现post请求创建gateway接口全部返回500,查看返回内容提示如下信息: IP is not
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
