检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
创建完成后会在无状态负载页面新增一条名称为zipkin的记录,其状态变为运行中表示zipkin已成功安装到该集群的monitoring命名空间下。 也可参考zipkin官网资料自行完成安装。 创建负载均衡服务。 在集群详情页面,单击“服务-服务-创建服务”,如下设置参数: Service名称:自定义填写,此处以zipkin为例。
如果服务的工作负载使用主机网络模式(Pod配置了hostNetwork: true),则不支持注入sidecar。 服务诊断 登录应用服务网格控制台,单击服务网格的名称,进入网格详情页面。 在左侧导航栏选择“服务管理”,服务列表中展示了各服务的诊断结果。 如果服务存在异常,请单击“处理”,根据服务异常修复进行处理。
选择“对端认证”页签,单击“立即配置”,在弹出对话框中选择认证策略类型。 表1 参数说明 参数名称 参数说明 默认模式(UNSET) 如果父作用域配置了对端认证策略,服务将继承父作用域的配置。 宽容模式(PERMISSIVE) 请求可以不通过隧道进行传输,既可以是明文,也可以是TLS加密的密文
验证服务访问 虚拟机服务访问容器服务 容器服务访问虚拟机服务 虚拟机服务访问虚拟机服务 父主题: 虚拟机治理
流量监控 通过流量监控可以监控流量概况、组件运行状态、调用链等信息,并在系统业务异常时快速定位到问题点。 使用约束 流量监控记录的是组件过去24小时内的数据,所以当部分组件删除后并不能及时的在拓扑图上消失,而是会仍然存在一段时间。 流量治理中的故障注入功能,不能作用于基于请求比例
Gateway和DestinationRule可以通过credentialName配置从Kubernetes Secret中加载私钥和证书。对于Istio1.8及更高版本,Secret通过XDS API从Istiod传送到网关或工作负载。 网关或工作负载部署应该只能访问存储在其命名空间内的Kubernetes
企业版 网格支持虚拟机治理,其他类型不支持,本文档后续章节均以1.8.4网格版本为例。 支持v1.19及以上版本集群。 支持扁平和非扁平网络架构。 如果是多集群,需要集群在同一个VPC,否则虚拟机与其他VPC集群网络不通。 不支持容器隧道网络集群。 不支持虚拟机和容器实例属于同一个服务。
为灰度版本添加灰度策略 如果您在添加灰度版本时,未配置灰度策略,可以基于以下步骤创建策略。 登录应用服务网格控制台,在左侧导航栏中选择“灰度发布”。 单击已创建灰度任务的名称,进入查看灰度版本状态页面。 单击“查看/配置灰度策略”。在灰度策略配置中,单击策略类型下的“基于请求内容”策略或“基于流量比例”策略。
检查工作负载是否配置了主机网络模式。方法如下: 登录CCE控制台,在工作负载所在行,单击操作列的“更多 > 编辑YAML”,查看是否配置了spec.template.spec.hostNetwork: true。如果是,请确认是否可将该字段删除或者配置为false,否则不允许注入sidecar。
删除该集群上部署的网关。在待迁移网格详情页,网关管理页面查看待迁移集群上有几个网关路由。即“所属集群”字段是待迁移集群的全部网关。 将对应的集群移除出企业版网格。 在ASM控制台 ,创建基础版本网格,选择移除出企业版网格的集群。 在新建的网格详情页,依次单击“网格配置-sidec
Turbo集群服务时,如何配置安全组规则?。 操作步骤 登录应用服务网格控制台,使用以下任意一种方式进入添加集群页面。 (快捷方式)在企业版网格右上方,单击图标。 在企业版网格详情页,单击左侧导航栏的“网格配置”,在“基本信息”页签单击“添加集群”。 设置集群信息。 集群配置 在集群列表中选择
18以及后续版本网格仅支持对接到AOM,同时低版本网格升级到1.18后也可以切换到AOM,为了获取更优的使用体检,建议切换到AOM。 目前访问日志仅Istio 1.18及以上版本支持对接到云日志服务(LTS)。若要启用访问日志,请提前在CCE集群插件中心中安装云原生日志采集插件(CCE Log-Agent)。 启用应用指标
网格控制面支持对Dubbo治理规则的配置。支持灰度发布、负载均衡、访问授权等服务管理。 网关访问保留源IP 服务通过网关访问时,默认情况下,目标容器中看到的不是客户端的源IP,如果需要保留源IP,请参考本节指导操作。 虚拟机治理 容器与虚拟机共存将是一个长期的过程,但容器化的趋势不变,通过为虚拟机安装代理来实
污点。 容忍时间窗 即tolerationSeconds参数,当污点策略为NoExecute时支持配置。 在容忍时间窗内,Pod还会在拥有污点的节点上运行,超出时间后会被驱逐。 配置该参数会触发工作负载滚动升级,即Pod会立即发生重启。 父主题: 调度策略
解决办法:ASM从1.8版本开始不再支持如下插件(tracing,kiali,grafana,prometheus)部署,升级前需要将上述插件卸载。您可以自行安装开源版本插件,或者使用APM。 升级前集群状态检查任务失败。 解决办法:升级前会检查集群状态,若集群状态异常则无法进行网格升级。
网格配置概述 网格配置提供了集群管理、系统组件管理、sidecar管理、istio资源管理以及升级能力。 Istio控制面组件负责向数据面组件注入sidecar,管理数据面sidecar行为,下发策略配置,搜集监控数据等。其中,sidecar是指运行在业务Pod中,与业务容器协同
网关将直接转发加密的TLS数据。 密钥证书 配置TLS协议并开启TLS时,需要绑定证书,以支持TLS数据传输加密认证。 配置HTTPS协议时,需要绑定密钥证书。 TLS最低版本/TLS最高版本 配置TLS协议并开启TLS终止,或者配置HTTPS协议时,提供TLS最低版本/TLS最高版本的选择。
该检查项并不会导致升级失败。 升级前网关配置检查(1.8及以上的版本不涉及)。 1.8及以上版本网关监听端口需要大于1024,若您的网关使用了小于1024以及以下的端口需要进行整改。 升级前组件亲和性检查。 金丝雀升级将在集群里新部署一套网格控制面和网关实例,升级前需要至少确保如下一个条件。
在这个过程中,重点是第六步,原来服务端的JWT认证功能迁移到了网格代理上。网格数据面从控制面配置的认证策略中获取验证JWT令牌的公钥,可以是jwks(JSON Web Key Set)上配置的公钥,也可以是从jwksUri配置的公钥地址获取到的公钥。获得公钥后,网格代理使用该公钥对认证服务私钥签名的
某些场景下,用户希望能够指定拦截的IP网段,只有IP网段内的请求会被代理拦截;某些场景下,需要配置拦截规则仅针对特定端口的请求生效。以下将介绍两种拦截网段的配置方式。 负载级别配置拦截IP网段 通过配置业务deployment文件,可以在负载级别配置IP网段拦截: 执行kubectl edit deploy –n
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
