检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
已进行授权的用户可能存在委托权限过大的问题,鉴于安全考虑,建议通过下文指导进行委托的权限收缩。 操作步骤 登录IAM控制台。 在左侧菜单栏单击委托,在搜索框中,搜索asm_admin_trust,单击搜索出来的委托名称。 单击进入“授权记录”页签,删除所有权限。 单击“授权”,搜索“CCE
若用户没有应用服务网格权限,在登录应用服务网格控制台时会弹框提醒授权,单击“确定”即可完成授权,该授权永久生效。 asm_admin_trust包含的权限有:Tenant Guest和CCE FullAccess。在2024年7月前已进行授权的用户可能存在委托权限过大的问题,鉴于安全考虑,建议
到当前服务的实例,当前支持配置默认模式(UNSET)、宽容模式(PERMISSIVE)和严格模式(STRICT)三种认证策略。 访问授权:访问授权用来实现对网格中服务的访问控制功能,即判断一个请求是否允许发送到当前的服务。 可观察性 应用访问拓扑:支持网格应用访问拓扑,体现服务间依赖。
访问授权 用来实现对网格中服务的访问控制功能,即判断一个请求是否允许发送到当前的服务。 选择“访问授权”,单击“立即配置”,在弹出对话框中,单击,选择指定命名空间下的一个或多个服务进行访问授权设置。 对端认证 Istio通过客户端和服务端的PEP(Policy Enforcement
成长地图 | 华为云 应用服务网格 应用服务网格(Application Service Mesh,简称ASM)是华为云基于开源Istio推出的服务网格平台,它深度、无缝对接了华为云的企业级Kubernetes集群服务CCE,可为客户提供开箱即用的上手体验。 图说ASM 图说ASM
网格服务数据面Envoy支持对Dubbo协议的解析和流量管理。 网格控制面支持对Dubbo治理规则的配置。支持灰度发布、负载均衡、访问授权等服务管理。 另外,Dubbo的服务发现模型和Kubernetes、Spring Cloud等服务发现模型不一致,需要额外的处理。 父主题:
网格服务数据面Envoy支持对Dubbo协议的解析和流量管理。 网格控制面支持对Dubbo治理规则的配置。支持灰度发布、负载均衡、访问授权等服务管理。 网关访问保留源IP 服务通过网关访问时,默认情况下,目标容器中看到的不是客户端的源IP,如果需要保留源IP,请参考本节指导操作。
双向认证的服务双方可以来自两个不同的集群,从而做到跨集群的透明的端到端双向认证。 细粒度授权:在认证的基础上,就可以进行服务间的访问授权管理,可以控制某个服务,或者服务的一个特定接口进行授权管理。如只开放给特定的一个Namespace下的服务,或者开放给某个特定的服务。源服务和目
设置托管网格参数。 计费模式 当前可支持包年/包月和按需计费模式。包年/包月创建后不能删除,如需停止使用,请到费用中心执行退订操作。 区域 指在同一区域下,电力、网络隔离的物理区域,可用区之间内网互通,不同可用区之间物理隔离。如果您需要提高工作负载的高可靠性,建议您将云服务器创建在不同的可用区。
一键创建体验应用部署成功以后,为何不能访问页面? 问题描述 一键创建体验应用部署成功后不能访问页面。 原因分析 弹性负载均衡ELB未成功监听端口。 解决方法 请在弹性负载均衡ELB中查看该端口监听器是否创建,后端服务器健康状态是否正常。弹性负载均衡监听器创建方法请参见监听器。 父主题:
Service的选择器中是否配置了version标签 问题描述 Service的选择器(spec.selector)中不能包含version标签。如果包含,则报此异常。 修复指导 登录CCE控制台,单击集群名称进入详情页面。 在左侧导航栏选择“资源 > 服务发现”,单击对应服务后的“更多
梳理网格下各个集群的网关和跨集群svc。 集群 网关 跨集群访问的服务 A a-gw 集群A 、集群B B b-gw 集群B ... ... ... 关闭mtls以及访问授权,是用如下命名查看是否存在对应资源。 kubectl get PeerAuthentication -A kubectl get AuthorizationPolicy
梳理网格下各个集群的网关和跨集群svc。 集群 网关 跨集群访问的服务 A a-gw 集群A 、集群B B b-gw 集群B ... ... ... 关闭mtls以及访问授权,是用如下命名查看是否存在对应资源。 kubectl get PeerAuthentication -A kubectl get AuthorizationPolicy
Bookinfo应用的灰度发布实践 应用服务网格(Application Service Mesh,简称ASM)是基于开源Istio推出的服务网格平台,它深度、无缝对接了企业级Kubernetes集群服务云容器引擎(CCE),在易用性、可靠性、可视化等方面进行了一系列增强,可为客户提供开箱即用的上手体验。
并且自动开启Mutual TLS。 关闭访问鉴权:当前服务能够被所有服务访问。 访问鉴权会默认授权给网关实例(ingressgateway),通过网关间接访问当前服务不会受到访问授权配置的影响。 查看流量监控 轮询算法为默认负载均衡算法。即当组件有多个实例时,访问基本接近于平均
路由管理 Y N 负载均衡 Y N 调用链分析 Y Y 服务认证 Y Y 可观测性数据 Y Y 重试 Y N 重写 Y N 重定向 Y N 授权 N Y 故障注入 Y N 超时 Y N 连接池 Y N 熔断 Y N HTTP头域 Y N 约束与限制 配置诊断失败的服务不能进行流量治
网关或工作负载部署应该只能访问存储在其命名空间内的Kubernetes Secret中的凭证(TLS证书和私钥)。但是,Istiod中的一个错误允许授权客户端访问和检索缓存在Istiod中的任何TLS证书和私钥。 受影响版本 参考触发场景 补丁修复版本 ASM 1.8.4-r5版本及以上 Istio
集 EnvoyFilter增强,支持更多灵活的Insert操作 支持VM类型服务治理 启用基于AuthorizationPolicy的新的授权策略 支持Istio 1.8.4、1.8.6版本 支持v1.15、v1.17、v1.19和v1.21 CCE集群版本 详细内容请参阅:https://istio
ess流量)进行治理 √ √ √ 运行环境支持 支持容器应用治理 √ √ √ 认证 非侵入的双向TLS认证和通道加密 √ √ √ 授权 服务访问授权管理 √ √ √ 灰度发布 支持基于浏览器、操作系统、自定义HTTP Header、Cookie内容等配置灰度分流策略,支持基于UR
ess流量)进行治理 √ √ √ 运行环境支持 支持容器应用治理 √ √ √ 认证 非侵入的双向TLS认证和通道加密 √ √ √ 授权 服务访问授权管理 √ √ √ 灰度发布 支持基于浏览器、操作系统、自定义HTTP Header、Cookie内容等配置灰度分流策略,支持基于UR
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
