检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
若用户没有应用服务网格权限,在登录应用服务网格控制台时会弹框提醒授权,单击“确定”即可完成授权,该授权永久生效。 asm_admin_trust包含的权限有:Tenant Guest和CCE FullAccess。在2024年7月前已进行授权的用户可能存在委托权限过大的问题,鉴于安全考虑,建议
已进行授权的用户可能存在委托权限过大的问题,鉴于安全考虑,建议通过下文指导进行委托的权限收缩。 操作步骤 登录IAM控制台。 在左侧菜单栏单击委托,在搜索框中,搜索asm_admin_trust,单击搜索出来的委托名称。 单击进入“授权记录”页签,删除所有权限。 单击“授权”,搜索“CCE
梳理网格下各个集群的网关和跨集群svc。 集群 网关 跨集群访问的服务 A a-gw 集群A 、集群B B b-gw 集群B ... ... ... 关闭mtls以及访问授权,是用如下命名查看是否存在对应资源。 kubectl get PeerAuthentication -A kubectl get AuthorizationPolicy
梳理网格下各个集群的网关和跨集群svc。 集群 网关 跨集群访问的服务 A a-gw 集群A 、集群B B b-gw 集群B ... ... ... 关闭mtls以及访问授权,是用如下命名查看是否存在对应资源。 kubectl get PeerAuthentication -A kubectl get AuthorizationPolicy
访问授权 用来实现对网格中服务的访问控制功能,即判断一个请求是否允许发送到当前的服务。 选择“访问授权”,单击“立即配置”,在弹出对话框中,单击,选择指定命名空间下的一个或多个服务进行访问授权设置。 对端认证 Istio通过客户端和服务端的PEP(Policy Enforcement
网格服务数据面Envoy支持对Dubbo协议的解析和流量管理。 网格控制面支持对Dubbo治理规则的配置。支持灰度发布、负载均衡、访问授权等服务管理。 另外,Dubbo的服务发现模型和Kubernetes、Spring Cloud等服务发现模型不一致,需要额外的处理。 父主题:
网格配置 网格配置概述 添加集群 sidecar管理 istio资源管理 升级网格 监控 流量监控 06 实践 弹性云服务器(Elastic Cloud Server)是一种可随时自动获取、计算能力可弹性伸缩的云服务器。 部署web环境 什么是ECS 创建容器应用基本流程 快速创建一个kubernetes集群
ess流量)进行治理 √ √ √ 运行环境支持 支持容器应用治理 √ √ √ 认证 非侵入的双向TLS认证和通道加密 √ √ √ 授权 服务访问授权管理 √ √ √ 灰度发布 支持基于浏览器、操作系统、自定义HTTP Header、Cookie内容等配置灰度分流策略,支持基于UR
并且自动开启Mutual TLS。 关闭访问鉴权:当前服务能够被所有服务访问。 访问鉴权会默认授权给网关实例(ingressgateway),通过网关间接访问当前服务不会受到访问授权配置的影响。 查看流量监控 轮询算法为默认负载均衡算法。即当组件有多个实例时,访问基本接近于平均
ess流量)进行治理 √ √ √ 运行环境支持 支持容器应用治理 √ √ √ 认证 非侵入的双向TLS认证和通道加密 √ √ √ 授权 服务访问授权管理 √ √ √ 灰度发布 支持基于浏览器、操作系统、自定义HTTP Header、Cookie内容等配置灰度分流策略,支持基于UR
路由管理 Y N 负载均衡 Y N 调用链分析 Y Y 服务认证 Y Y 可观测性数据 Y Y 重试 Y N 重写 Y N 重定向 Y N 授权 N Y 故障注入 Y N 超时 Y N 连接池 Y N 熔断 Y N HTTP头域 Y N 约束与限制 配置诊断失败的服务不能进行流量治
集 EnvoyFilter增强,支持更多灵活的Insert操作 支持VM类型服务治理 启用基于AuthorizationPolicy的新的授权策略 支持Istio 1.8.4、1.8.6版本 支持v1.15、v1.17、v1.19和v1.21 CCE集群版本 详细内容请参阅:https://istio
网格服务数据面Envoy支持对Dubbo协议的解析和流量管理。 网格控制面支持对Dubbo治理规则的配置。支持灰度发布、负载均衡、访问授权等服务管理。 网关访问保留源IP 服务通过网关访问时,默认情况下,目标容器中看到的不是客户端的源IP,如果需要保留源IP,请参考本节指导操作。
到当前服务的实例,当前支持配置默认模式(UNSET)、宽容模式(PERMISSIVE)和严格模式(STRICT)三种认证策略。 访问授权:访问授权用来实现对网格中服务的访问控制功能,即判断一个请求是否允许发送到当前的服务。 可观察性 应用访问拓扑:支持网格应用访问拓扑,体现服务间依赖。
ISTIO_SERVICE_CIDR=x.x.x.x/x # 虚拟机使用的Pod名称,自定义 POD_NAME=<vmapp1> # 不指定代理云平台 CLOUD_PLATFORM=none 执行以下命令检查文件内容。 cat ${VM1_DIR}/asm_proxy.env 正常回显如下: ISTIO_PILOT_ADDR=10
双向认证的服务双方可以来自两个不同的集群,从而做到跨集群的透明的端到端双向认证。 细粒度授权:在认证的基础上,就可以进行服务间的访问授权管理,可以控制某个服务,或者服务的一个特定接口进行授权管理。如只开放给特定的一个Namespace下的服务,或者开放给某个特定的服务。源服务和目
有状态工作负载(即Kubernetes中的“StatefulSets”):Pod之间不完全独立,具有稳定的持久化存储和网络标示,以及有序的部署、收缩和删除等特性。如:mysql-HA、etcd。 实例(Pod) Pod是Kubernetes部署应用或服务的最小的基本单位。一个Pod 封装多个应用容器(也可以只有一个容器)、存储资源、一个独立的网络
网关或工作负载部署应该只能访问存储在其命名空间内的Kubernetes Secret中的凭证(TLS证书和私钥)。但是,Istiod中的一个错误允许授权客户端访问和检索缓存在Istiod中的任何TLS证书和私钥。 受影响版本 参考触发场景 补丁修复版本 ASM 1.8.4-r5版本及以上 Istio
YAML配置资源处理策略。 Istio资源说明 表1 Istio资源说明 资源类型 说明 AuthorizationPolicy 用于配置授权规则。 DestinationRule 定义路由的目标服务和流量策略。VirtualService和DestinationRule是流量控
准备工作 应用灰度发布之前,您需要完成如下的准备工作。 创建虚拟私有云 虚拟私有云(Virtual Private Cloud,简称VPC)是用户在华为云上申请的隔离的、私密的虚拟网络环境。用户可以自由配置VPC内的IP地址段、子网、安全组等子服务,也可以申请弹性带宽和弹性IP搭建业务系统。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
