检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
什么是应用服务网格 什么是应用服务网格 华为云应用服务网格是一种高性能、高可靠性和易用性的全托管的服务网格,支持虚拟机、容器等多种基础设施,支持跨区域多集群服务的统一治理。以基础设施的方式为用户提供服务流量管理、服务运行监控、服务访问安全以及服务发布能力。 ASM控制面和数据面均
配置流量策略 登录应用服务网格控制台,单击服务网格的名称,进入网格详情页面。 在左侧导航栏选择“服务管理”,在列表右上方选择服务所在命名空间。 选择一个服务,单击操作列的“流量治理”,在右侧页面进行重试、超时、连接池、熔断、负载均衡、HTTP头域、故障注入策略的配置。 重试 服务
如果服务的工作负载使用主机网络模式(Pod配置了hostNetwork: true),则不支持注入sidecar。 服务诊断 登录应用服务网格控制台,单击服务网格的名称,进入网格详情页面。 在左侧导航栏选择“服务管理”,服务列表中展示了各服务的诊断结果。 如果服务存在异常,请单击“处理”,根据服务异常修复进行处理。
网格配置 网格配置概述 添加集群 sidecar管理 istio资源管理 升级 网格扩展 父主题: 用户指南(新版)
网格配置概述 网格配置提供了集群管理、系统组件管理、sidecar管理、istio资源管理以及升级能力。 Istio控制面组件负责向数据面组件注入sidecar,管理数据面sidecar行为,下发策略配置,搜集监控数据等。其中,sidecar是指运行在业务Pod中,与业务容器协同
图1 创建对等连接 添加本端路由。 在对等连接列表,单击1中创建的对等连接名称,进入详情页面。 在“本端路由”页签下单击“路由表”,前往路由表页面添加路由。 将对端集群B的VPC网段、容器网段加入本端路由配置中,使得集群A能够访问集群B。下一跳类型选择“对等连接”,下一跳选择1中创建的对等连接。
服务是否配置了默认版本的服务路由,路由配置是否正确 问题描述 Istio在VirtualService和DestinationRule中定义了服务的流量路由规则,所以需要为每个服务配置VirtualService和DestinationRule,需要满足以下的规则: Virtua
io资源类型有关。详细说明请参见YAML配置资源处理策略。 支持以YAML或JSON格式显示,同时可以将配置文件下载到本地。 创建新的istio资源 登录应用服务网格控制台,单击服务网格的名称,进入网格详情页面。 在左侧导航栏选择“网格配置”,单击“istio资源管理”页签。 单击列表左上方的“创建”。
配置安全策略 ASM提供的安全功能主要分为访问授权、对端认证和JWT认证,以确保服务间通信的可靠性。 操作步骤 登录应用服务网格控制台,单击服务网格的名称,进入网格详情页面。 在左侧导航栏选择“服务管理”,在列表右上方选择服务所在命名空间。 选择一个服务,单击操作列的“安全”,在右侧页面进行访问授权和对端认证配置。
YAML配置VirtualService资源后,控制台对应服务的流量治理、灰度发布将不可用)。 处理策略 在“网格配置 > Istio资源管理”页面编辑或创建服务关联的Istio资源时,页面底部会默认勾选“控制台相关功能不开放使用”,当保持勾选状态并单击“确定”后,配置生效,但该
ar。是否重启已有服务只会影响已有服务,只要为命名空间设置了istio-injection=enabled标签,后面新建的服务实例都会自动注入sidecar。 流量拦截配置 默认情况下,ASM所注入的sidecar会拦截所有入方向和出方向流量,可通过流量拦截配置修改默认的流量拦截规则。
修改。 处理策略 为了避免多个入口的配置相冲突,以及确保Istio各工作负载持续稳定运行,ASM 1.8.6及以上版本采取如下策略: 定义工作负载的关键运行配置和非关键运行配置 表1 各资源类型下的关键运行配置 工作负载 资源类型 配置项 配置项描述 适用版本 istiod istio-ingressgateway
购买基础版网格 扁平网络和非扁平网络 大规格实例优化 服务管理 配置诊断 手动修复项 自动修复项 灰度发布 灰度发布概述 创建灰度任务 灰度任务基本操作 流量治理 流量治理概述 配置流量策略 更改流量策略 配置安全策略 网格配置 网格配置概述 添加集群 sidecar管理 istio资源管理
本章将从创建虚拟私有云开始,到创建一个灰度版本,讲解如何实现一次灰度发布。 流程说明 实现灰度发布的流程包含以下步骤: 图1 实现灰度发布的流程图 父主题: 配置式应用灰度发布(ASM 2.0)
内,也可以将多个集群的VPC通过其他方式(对等连接、云连接等)连通。网络连通请参见如何通过对等连接打通两个集群的VPC网络,实现实例跨集群通信?。 CCE集群和CCE Turbo集群混合多集群场景,CCE集群服务访问Turbo集群服务时,需要为Turbo集群的ENI安全组入方向放
通过中断,可以模拟一个有故障的上游服务。 如下图所示,注入一个指定的HTTP状态码(如599)后,对于访问的客户端来说,就跟服务端发生异常一样。 本文以配置中断故障为例,其他治理策略的配置方法可参考Istio官网。 前提条件 已执行添加虚拟机服务到网格,即已创建v1版本的Work
无需关注服务访问管理。流量治理要解决的问题类似如下: 动态修改服务间访问的负载均衡策略,比如配置一致性哈希将流量转发到特定的服务实例上; 同一个服务有两个版本在线,将一部分流量切到某个版本上; 服务保护,如限制并发连接数、限制请求数、隔离有故障的服务实例等; 动态修改服务中的内容,或者模拟一个服务运行故障等。
分sidecar重启,并连接上新版本的控制面,待所有sidecar都正常连接到新控制面之后下面老版本网格的控制面。 需要注意的是,在部署新网格版本控制面时,istio-ingressgateway和istio-egressgatway的新版本也会同时部署,新老网格版本的网关将同时工作。
18及以上版本支持对接到云日志服务(LTS)。若要启用访问日志,请提前在CCE集群插件中心中安装云原生日志采集插件(CCE Log-Agent)。 启用应用指标 登录应用服务网格ASM控制台。 单击应用服务网格名称,进入应用服务网格详情页。 单击左侧导航栏“网格配置”,选择“网格扩展”页签。
分sidecar重启,并连接上新版本的控制面,待所有sidecar都正常连接到新控制面之后下线老版本网格的控制面。 需要注意的是,在部署新网格版本控制面时,istio-ingressgateway和istio-egressgateway的新版本也会同时部署,新老网格版本的网关将同时工作。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
