检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Name配置从Kubernetes Secret中加载私钥和证书。对于Istio1.8及更高版本,Secret通过XDS API从Istiod传送到网关或工作负载。 网关或工作负载部署应该只能访问存储在其命名空间内的Kubernetes Secret中的凭证(TLS证书和私钥)。
级别的安全性。 多集群安全:在多集群场景下ASM提供了全局的服务访问安全。多个集群的网格共享一套根证书,给数据面的服务实例分发密钥和证书对,并定期替换密钥证书,根据需要撤销密钥证书。在服务间访问时,网格的数据面代理就会代理本地服务和对端进行双向认证、通道加密。这里的双向认证的服务
-n{业务命名空间} create -f /tmp/{证书名}.yaml (推荐)根据现有的Ingress-gateway配置,登录cce控制台,单击集群名称进入集群详情页面,在左侧菜单栏依次单击“服务-路由-创建路由”创建Ingress配置,并配置https证书。 验证流量是否正常,确保Ingress流量正常后方可进行下一步。
方法二:调整网格中的某个服务 修改服务的yaml文件。 kubectl edit deploy <nginx> -n <namespace> 在spec.template.metadata.annotations下添加如下配置(大小仅供参考,请自行替换)。 sidecar.istio.io/proxyCPU:
Token)请求授权,可以实现来源认证。在接收用户请求时,该配置用于认证请求头信息中的Access Token是否可信,并授权给来源合法的请求。 仅支持为HTTP协议的服务配置JWT认证。 选择“JWT认证”页签,单击“立即配置”,在弹出对话框中配置如下参数: 发行者:JWT的颁发者。 令牌受众:设置哪些服务可以使用JWT
蓝绿发布提供了一种零宕机的部署方式。不停老版本,部署新版本进行测试,确认运行正常后,将流量切到新版本,然后老版本同时也升级到新版本。升级过程中始终有两个版本同时在线,有问题可以快速切换。 流量治理 应用流量治理提供可视化云原生应用的网络状态监控,并实现在线的网络连接和安全策略的管理和配置,当前支持
althz,则必须为此URL才能访问。 支持通过YAML方式配置正则匹配规则,修改VirtualService配置文件即可: ... http: - delegate: name: nginx-80 namespace: default
基于Mixer的Metric、访问日志和调用链 支持SDS,证书轮换无需重启Pod 支持Sidecar API 控制面性能优化 华为私有版本Virtual Service Delegation上线,提前为大客户提供解耦Gateway流量配置 支持v1.13、v1.15、v1.17和v1.19
终止时需要绑定证书,以支持TLS数据传输加密认证;关闭TLS终止时,网关将直接转发加密的TLS数据。 密钥证书 配置TLS协议并开启TLS时,需要绑定证书,以支持TLS数据传输加密认证。 配置HTTPS协议时,需要绑定密钥证书。 TLS最低版本/TLS最高版本 配置TLS协议并开
管业务流量造成的访问不通问题。 相关配置如下: kubectl get deploy nginx -n namespace_name -oyaml | grep readinessProbe -a10 配置项说明: readiness探针配置项:deployment.spec.template
restart deployment nginx -n default 其中,nginx为示例服务,default为命名空间,请替换为实际取值。 执行以下命令,确认Pod重启成功。 kubectl get pod -n default | grep nginx 执行以下命令,确认Pod正常添加了postStart
选择{集群名}-cce-eni-{随机ID}的安全组,单击操作列的“配置规则”,添加入方向规则。 协议端口:选择“基本协议/全部协议”。 源地址:填写1中获取的CCE集群的容器网段。 结果验证 以场景二为例,在CCE集群中访问Turbo集群中的服务(假设为nginx-turbo),访问成功的回显示例如下: 图1
网格配置概述 网格配置提供了集群管理、系统组件管理、sidecar管理、istio资源管理以及升级能力。 Istio控制面组件负责向数据面组件注入sidecar,管理数据面sidecar行为,下发策略配置,搜集监控数据等。其中,sidecar是指运行在业务Pod中,与业务容器协同
sidecar注入失败常见原因请参考sidecar注入失败可能的原因。 流量拦截配置 默认情况下,ASM所注入的sidecar会拦截所有入方向和出方向流量,可通过流量拦截配置修改默认的流量拦截规则。 入方向端口:可用于配置端口级别拦截规则,生效于网格服务的内部端口,以逗号分隔入站端口。 仅拦
其中{revision} 为版本号,如1-13-9-r5),并重启部分pod进行测试,若无问题,则可以全部切换。 1.3和1.6版本升级到1.8版本,因为证书切换,sidecar需要同时全部重启。 数据面升级结束后,请等待所有升级中的工作负载滚动升级完成。 父主题: 金丝雀升级
部署ASM-PROXY 为了兼容不同虚拟机操作系统的版本差异,ASM-PROXY以Docker镜像的方式进行部署。部署流程如图1所示。 图1 ASM-PROXY部署流程 准备工作 已购买CCE集群,已在集群中创建虚拟机服务使用的命名空间(假设为vmns),已在该命名空间创建容器服务。具体操作请参见购买CCE集群。
漏洞公告 未认证的控制面DoS攻击(CVE-2022-23635) Istiod TLS证书密钥滥用(CVE-2021-34824)
版本。如果存在app或version标签不相等的Pod,则报此异常。 修复指导 Pod标签配置在Deployment的spec.template.metadata.labels中,建议配置为: labels: app: {serviceName} version: v1
网格配置 网格配置概述 添加集群 sidecar管理 istio资源管理 升级 网格扩展 父主题: 用户指南(新版)
配置诊断 应用服务网格会对管理集群下的所有服务进行诊断,诊断结果为正常的服务,方可进行流量治理、流量监控及灰度发布等操作。 约束与限制 如果多个服务对应一个工作负载(Deployment),则不允许将这些服务加入网格进行治理,因为可能出现灰度发布、网关访问等功能异常。 如果服务的