检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
细粒度授权:在认证的基础上,就可以进行服务间的访问授权管理,可以控制某个服务,或者服务的一个特定接口进行授权管理。如只开放给特定的一个Namespace下的服务,或者开放给某个特定的服务。源服务和目标服务可以在不同的集群,甚至源服务的不同实例在不同的集群,目标服务的不同实例在不同的集群。 父主题:
s(JSON Web Key Set)上配置的公钥,也可以是从jwksUri配置的公钥地址获取到的公钥。获得公钥后,网格代理使用该公钥对认证服务私钥签名的令牌进行验证,并解开令牌中的iss,验证是否匹配认证策略中的签发者信息。验证通过的请求发送给应用程序,验证不通过则直接拒绝,不会发送给应用程序。
多云多集群、多基础设施 提供免运维的托管控制面,提供多云多集群的全局统一的服务治理、灰度、安全和服务运行监控能力,并支持容器和VM等多种基础设施的统一服务发现和管理。 协议扩展 社区通用的HTTP、gRPC、TCP、TLS外,扩展对Dubbo协议的支持。 传统SDK集成 提供Spring
API 非企业版网格提供基于CCE接口的开放社区兼容的流量规则配置 √ √ √ 代理管理 透明流量拦截、基于Iptables流量拦截、支持代理自动注入、支持Namespace级别和工作负载级别的注入管理 √ √ √ 代理形态 支持每Pod的Sidecar模式 √ √ √ 命令行工具
API 非企业版网格提供基于CCE接口的开放社区兼容的流量规则配置 √ √ √ 代理管理 透明流量拦截、基于Iptables流量拦截、支持代理自动注入、支持Namespace级别和工作负载级别的注入管理 √ √ √ 代理形态 支持每Pod的Sidecar模式 √ √ √ 命令行工具
istio资源管理 YAML方式配置Istio资源 YAML配置资源处理策略 IstioOperator配置资源处理策略 父主题: 网格配置
应用场景 服务灰度发布 服务流量管理 端到端的透明安全 服务运行监控 传统微服务SDK结合
面向Dubbo协议的服务治理 简介 服务发现模型 SDK适配方式
使用说明 对灰度版本的相关操作,其原理是修改Istio的DestinationRule和VirtualService两个资源的配置信息。修改完成后,需要等待10秒左右,新的策略规则才会生效。 修改灰度版本的流量策略 修改基于流量比例的策略 选择基于流量比例的策略时,一般会逐步加大
允许访问的浏览器:请选择允许访问的浏览器。 灰度策略规则描述:当前服务的流量转发的规则描述信息及Yaml的查看。 基于流量比例发布 对当前版本配置相应的流量权重,服务流量将会按照权重比率以对应的概率分发当前版本。例如10%的流量走版本A,90%的流量走版本B。 流量配比:根据输入的流量配比来确定流量分发的比重。
18版本特性。 金丝雀升级原理 ASM基础版网格支持金丝雀升级,金丝雀升级过程中将允许新老网格控制面同时存在,通过在命名空间打上版本对应的标签,可以选择一部分sidecar重启,并连接上新版本的控制面,待所有sidecar都正常连接到新控制面之后下面老版本网格的控制面。 需要注意的是,在部署新
网关管理 添加网关 添加路由 父主题: 用户指南(新版)
服务网格如何支持自定义网段或端口拦截规则? 操作场景 某些场景下,用户希望能够指定拦截的IP网段,只有IP网段内的请求会被代理拦截;某些场景下,需要配置拦截规则仅针对特定端口的请求生效。以下将介绍两种拦截网段的配置方式。 负载级别配置拦截IP网段 通过配置业务deployment文件,可以在负载级别配置IP网段拦截:
安全 配置安全策略 JWT认证原理 在ASM中对入口网关进行JWT请求认证 父主题: 用户指南(新版)
流量治理 流量治理页面,我创建的集群、命名空间和应用为什么不显示? 如何调整istio-proxy容器resources requests取值? ASM支持HTTP/1.0吗? 服务网格如何支持自定义网段或端口拦截规则? 网关如何配置最大并发流max_concurrent_streams
拟机上的非容器化服务是否可以像容器化服务一样进行流量治理?虚拟机如何访问容器中的服务?是否可以将容器和虚拟机纳入一个统一的控制平面来管理? 本文介绍一种通过为虚拟机安装代理来实现虚拟机治理的方案,可以有效解决以上几个问题。 解决方案 原理上网格可以提供对容器和虚拟机同等的治理能力
Istio是一个提供连接、保护、控制以及观测功能的开放平台,通过提供完整的非侵入式的微服务治理解决方案,能够很好的解决云原生服务的管理、网络连接以及安全管理等服务网络治理问题。 随着微服务的大量应用,其构成的分布式应用架构在运维、调试和安全管理等维度变得更加复杂,开发者需要面临更大的挑战,如:服务发现、负
NR(NoRouteFound)表示没有匹配的路由来处理请求的流量,一般伴随“404”状态码。 典型场景 实际的访问流量不匹配VirtualService中定义的路由匹配条件,因而没有找到匹配的路由处理流量。 典型日志 客户端出流量日志。 应对建议 客户端的流量满足路由中定义的流量特征,保证所有请求都有服务端定义的路由处理。
配置安全策略 ASM提供的安全功能主要分为访问授权、对端认证和JWT认证,以确保服务间通信的可靠性。 操作步骤 登录应用服务网格控制台,单击服务网格的名称,进入网格详情页面。 在左侧导航栏选择“服务管理”,在列表右上方选择服务所在命名空间。 选择一个服务,单击操作列的“安全”,在右侧页面进行访问授权和对端认证配置。
对每一个需要跨集群访问的服务都要执行此操作。除此之外,用户还需要维护各个服务的对外访问配置。 图5 传统跨集群访问 ASM企业版网格提供的服务跨集群访问能力,不需要用户进行复杂的配置,只需要将集群添加到网格,网格管理的所有集群的所有服务之间都是能够相互访问的,不管服务属于哪个集群。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
