检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
为了抵御中间人攻击,需要用到流量加密。 为了提供灵活的服务访问控制,需要用到TLS和细粒度访问策略。 为了决定哪些人在哪些时间可以做哪些事,需要用到审计工具。 面对这些需求应用服务网格提供全面的安全解决方案,包括身份验证策略,透明的TLS加密以及授权和审计工具。 价值 默认的安
未认证的控制面DoS攻击(CVE-2022-23635) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 DoS CVE-2022-23635 2022-02-22 影响评分 7.5 高危 触发场景 简单安装时,Istiod是从集群内获取的,受攻击的可能性小一点。
Istiod TLS证书密钥滥用(CVE-2021-34824) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 TLS证书密钥滥用 CVE-2021-34824 2021-06-24 影响评分 9.1 高危 触发场景 同时满足下列三个条件: Istio版本为1
aud:令牌受众 audience 在JWT验证时,会校验发行者、受众信息和令牌负载中的发行者iss、受众audience是否匹配。JWT的内容本身不是加密的,所有拿到令牌的服务都可以看到令牌负载Payload中的内容,因此建议Payload里不要存放私密的信息。 签名Signature 签名
宽容模式(PERMISSIVE) 请求可以不通过隧道进行传输,既可以是明文,也可以是TLS加密的密文。默认情况下,网格配置了宽容模式(PERMISSIVE)的对端认证策略。 严格模式(STRICT) 流量只能通过隧道进行传输,因为请求必须是TLS加密的密文,且必须带有客户端证书。 JWT认证 在服务网格中配置JWT(JSON
对外协议为TLS时,可选择开启/关闭TLS终止。开启TLS终止时需要绑定证书,以支持TLS数据传输加密认证;关闭TLS终止时,网关将直接转发加密的TLS数据。 密钥证书 配置TLS协议并开启TLS时,需要绑定证书,以支持TLS数据传输加密认证。 配置HTTPS协议时,需要绑定密钥证书。 TLS最低版本/TLS最高版本
访问日志各字段解读 sidercar会在标准输出中打印访问日志,istio日志中每个字段的含义解读如下。由于不同istio版本的访问日志格式及其字段的内容存在差异,下面分1.15及以下版本和1.18及以上版本两大类进行说明。 1.15及以下版本 1.15版本及以下采用Istio的
务外网访问流量(即Ingress流量)进行治理 √ √ √ 运行环境支持 支持容器应用治理 √ √ √ 认证 非侵入的双向TLS认证和通道加密 √ √ √ 授权 服务访问授权管理 √ √ √ 灰度发布 支持基于浏览器、操作系统、自定义HTTP Header、Cookie内容等配置
务外网访问流量(即Ingress流量)进行治理 √ √ √ 运行环境支持 支持容器应用治理 √ √ √ 认证 非侵入的双向TLS认证和通道加密 √ √ √ 授权 服务访问授权管理 √ √ √ 灰度发布 支持基于浏览器、操作系统、自定义HTTP Header、Cookie内容等配置
如果无特殊需求,界面参数均可保持默认,单击“立即创建”。 详细参数说明可参考创建虚拟私有云和子网。 创建密钥对 新建一个密钥对,用于远程登录节点时的身份认证。 登录数据加密服务DEW控制台。 选择左侧导航中的“密钥对管理”,单击“创建密钥对”。 输入密钥对名称,单击“确定”。 密钥对名称由两部分组成:KeyP
如何对接Jaeger/Zipkin查看调用链 ASM支持向Jaeger/Zipkin导出追踪数据,导出后可在Jaeger/Zipkin界面查看应用的调用链信息。下文以对接zipkin为例介绍完整的使用流程。 前提条件 已明确待安装zipkin的集群和命名空间。 操作步骤 创建zipkin
如果无特殊需求,界面参数均可保持默认,单击“立即创建”。 详细参数说明可参考创建虚拟私有云和子网。 创建密钥对 新建一个密钥对,用于远程登录节点时的身份认证。 登录数据加密服务DEW控制台。 选择左侧导航中的“密钥对管理”,单击“创建密钥对”。 输入密钥对名称,单击“确定”。 密钥对名称由两部分组成:KeyP
详细参数说明可参考创建虚拟私有云和子网。 (可选)创建密钥对。 创建集群节点时,如果使用密钥对登录方式,需要提前创建好密钥对。 登录数据加密服务DEW控制台。 选择左侧导航中的“密钥对管理”,单击“创建密钥对”。 输入密钥对名称,单击“确定”。 密钥对名称由两部分组成:KeyP
Istio-proxy容器终止排出时间 进入CCE Console页面,单击“集群名称--工作负载”,单击待升级工作负载更多列的“编辑YAML”。 通过YAML配置如下参数: spec: template: metadata: annotations:
负载均衡器健康检查 进入CCE Console页面,单击“集群名称--服务--服务”,单击要操作服务更多列的“编辑YAML”。 通过YAML配置如下参数: metadata: annotations: kubernetes.io/elb.health-check-flag:
数据面升级说明 单击“升级”会将所有服务实例对接到新版本控制面,您可以通过修改命令空间的标签(去除istio-injection:enabled ,加上istio.io/rev: {revision} ,其中{revision} 为版本号,如1-13-9-r5),并重启部分pod进行测试,若无问题,则可以全部切换。
更改流量策略 操作场景 流量策略设置完成后,支持更改流量策略,如将负载均衡的算法由“轮询调度”转为“随机调度”。 操作步骤 登录应用服务网格控制台,单击服务网格的名称,进入网格详情页面。 在左侧导航栏选择“服务管理”,选择需要更改流量策略的服务,单击操作列的“流量治理”,在右侧页面进行流量策略更改。
卸载ASM-PROXY 如果已完成虚拟机治理任务,可以将其中的ASM-PROXY卸载,释放资源。 删除已添加的iptables规则 以root用户登录虚拟机。 执行以下命令删除添加的istio iptables规则。 iptables -t nat -D PREROUTING -p
控制面升级说明 此步骤将部署灰度版本网格控制面,所有资源都将带上版本revision标签,如负载istiod-1-13-9-r5,现有业务实例sidecar不会对接到该灰度版本,升级和回退不会对原网格业务造成影响,但是需要注意若您的版本是从非金丝雀版本升级到金丝雀版本时,升级过程
升级网格 操作场景 用户可以将低版本的网格升级到高版本,以获取更优质的体验。基础版网格支持金丝雀升级,企业版本支持补丁原地升级。 升级影响 网格升级将自动重新注入新版本数据面代理,过程中会滚动重启服务Pod,可能造成短暂服务实例中断。 升级期间请勿进行灰度发布、流量规则配置等操作。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
