-
Istiod TLS证书密钥滥用(CVE-2021-34824) - 应用服务网格 ASM
Name配置从Kubernetes Secret中加载私钥和证书。对于Istio1.8及更高版本,Secret通过XDS API从Istiod传送到网关或工作负载。 网关或工作负载部署应该只能访问存储在其命名空间内的Kubernetes Secret中的凭证(TLS证书和私钥)。
-
1.3版本特性 - 应用服务网格 ASM
基于Mixer的Metric、访问日志和调用链 支持SDS,证书轮换无需重启Pod 支持Sidecar API 控制面性能优化 华为私有版本Virtual Service Delegation上线,提前为大客户提供解耦Gateway流量配置 支持v1.13、v1.15、v1.17和v1.19
-
端到端的透明安全 - 应用服务网格 ASM
级别的安全性。 多集群安全:在多集群场景下ASM提供了全局的服务访问安全。多个集群的网格共享一套根证书,给数据面的服务实例分发密钥和证书对,并定期替换密钥证书,根据需要撤销密钥证书。在服务间访问时,网格的数据面代理就会代理本地服务和对端进行双向认证、通道加密。这里的双向认证的服务
-
Jaeger/Zipkin OSC插件安装指导 - 应用服务网格 ASM
Jaeger/Zipkin OSC插件安装指导 Jaeger/Zipkin OSC插件安装方式一致,下面以Jaeger为例进行安装。 进入云原生服务中心OSC控制台,在左侧菜单中选择“服务目录”,搜索“Jaeger”,单击“订阅”。 在左侧菜单中选择“我的服务--我的订阅”页面,单击Jaeger服务中的“创建实例”。
-
启用服务网格后,状态一直为安装中 - 应用服务网格 ASM
启用服务网格后,状态一直为安装中 问题描述 为CCE集群启用服务网格(即购买网格)后,网格状态一直显示为“安装中”,鼠标放上去提示“正在启用istio服务网格:开通用户安全组规则成功”。 问题定位 登录CCE控制台,进入对应集群详情页,在“资源 > 命名空间”中查看istio-system命名空间是否存在。
-
配置安全策略 - 应用服务网格 ASM
也可以是TLS加密的密文。默认情况下,网格配置了宽容模式(PERMISSIVE)的对端认证策略。 严格模式(STRICT) 流量只能通过隧道进行传输,因为请求必须是TLS加密的密文,且必须带有客户端证书。 JWT认证 在服务网格中配置JWT(JSON Web Token)请求授
-
未认证的控制面DoS攻击(CVE-2022-23635) - 应用服务网格 ASM
披露/发现时间 DoS CVE-2022-23635 2022-02-22 影响评分 7.5 高危 触发场景 简单安装时,Istiod是从集群内获取的,受攻击的可能性小一点。 多集群场景安装的时候,15012端口是暴露在公网的,受攻击影响的可能性大一些。 根本原因 15012端口接收的请求不
-
数据面升级说明 - 应用服务网格 ASM
其中{revision} 为版本号,如1-13-9-r5),并重启部分pod进行测试,若无问题,则可以全部切换。 1.3和1.6版本升级到1.8版本,因为证书切换,sidecar需要同时全部重启。 父主题: 金丝雀升级
-
添加网关 - 应用服务网格 ASM
终止时需要绑定证书,以支持TLS数据传输加密认证;关闭TLS终止时,网关将直接转发加密的TLS数据。 密钥证书 配置TLS协议并开启TLS时,需要绑定证书,以支持TLS数据传输加密认证。 配置HTTPS协议时,需要绑定密钥证书。 TLS最低版本/TLS最高版本 配置TLS协议并开
-
部署ASM-PROXY - 应用服务网格 ASM
Pod IP。 获取根证书 通过kubectl访问CCE集群。 登录云容器引擎控制台,在“集群管理”页面单击集群名称,进入集群详情页。 在“连接信息”区域找到kubectl,单击查看后,按照教程为您的客户端机器配置kubectl,并访问CCE集群。 假设配置了kubectl的客户
-
漏洞公告 - 应用服务网格 ASM
漏洞公告 未认证的控制面DoS攻击(CVE-2022-23635) Istiod TLS证书密钥滥用(CVE-2021-34824)
-
创建灰度任务 - 应用服务网格 ASM
d监控,包括启动日志和性能监控信息。 (仅金丝雀发布涉及)单击“配置流量策略”,进行流量策略配置。 策略类型:分为“基于流量比例”和“基于请求内容”两种类型,通过页签选择确定。 基于流量比例 根据流量比例配置规则,从默认版本中切分指定比例的流量到灰度版本。例如75%的流量走默认版
-
基础版、企业版及社区开源版本对比 - 应用服务网格 ASM
√ √ 插件管理 支持社区插件按需一键安装,支持Grafana、Prometheus - √ √ 支持社区插件按需一键安装,支持Tracing插件 - √ √ 支持社区插件按需一键安装,支持Kiali插件 - √ √ 支持社区插件按需一键安装,支持ELK插件 - √ √ API
-
基础版、企业版、社区开源版本对比 - 应用服务网格 ASM
√ √ 插件管理 支持社区插件按需一键安装,支持Grafana、Prometheus - √ √ 支持社区插件按需一键安装,支持Tracing插件 - √ √ 支持社区插件按需一键安装,支持Kiali插件 - √ √ 支持社区插件按需一键安装,支持ELK插件 - √ √ API
-
配置流量策略 - 应用服务网格 ASM
求,默认值与配置的超时时间相同 0.001-2592000 重试条件 配置重试的条件,详情请参照retry policies和gRPC retry policies。 - 超时 服务访问超时自动处理,快速失败,避免资源锁定和请求卡顿。 选择“超时”页签,单击“立即配置”,在弹出对话框中,根据实际需求配置如下参数:
-
网格类型概述 - 应用服务网格 ASM
组件的部署模式。基础版网格的控制面组件安装在用户集群,企业版网格将控制面组件从用户集群中分离,由华为云管理和维护,简化了用户的运维负担和资源消耗,二者在具体功能上的差异请参见基础版、企业版、社区开源版本对比。推荐您使用企业版网格进行服务管理,本文也将着重介绍企业版网格的部署架构和工作原理。
-
为服务添加灰度版本 - 应用服务网格 ASM
请确保灰度版本的实例状态为正常时,再开始下一步进行灰度策略的配置。 单击“配置灰度策略”,进行灰度策略配置(可选)。 策略类型:分为“基于请求内容发布”和“基于流量比例发布”两种类型,通过页签选择确定。 基于请求内容发布 对当前版本配置相应的请求内容规则,服务流量在满足此规则的情况下,会
-
使用ingress中转方案 - 应用服务网格 ASM
创建Ingress资源 (推荐)根据现有的Ingress-gateway配置,登录cce控制台,单击集群名称进入集群详情页面,在左侧菜单栏依次单击“服务-路由-创建路由”创建Ingress配置,并配置https证书。 验证流量是否正常,确保Ingress流量正常后方可进行下一步。 i
-
IstioOperator配置资源处理策略 - 应用服务网格 ASM
修改。 处理策略 为了避免多个入口的配置相冲突,以及确保Istio各工作负载持续稳定运行,ASM 1.8.6及以上版本采取如下策略: 定义工作负载的关键运行配置和非关键运行配置 表1 各资源类型下的关键运行配置 工作负载 资源类型 配置项 配置项描述 istiod istio-ingressgateway
-
流量监控拓扑图中为何找不到我的组件? - 应用服务网格 ASM
流量监控拓扑图中为何找不到我的组件? 请选择网格、集群及命名空间后进行观察。 请检查集群中是否正确安装ICAgent采集器。 请检查该组件是否已加入服务网格。 父主题: 流量监控