-
虚拟机服务访问容器服务 - 应用服务网格 ASM
sts文件,添加域名解析,然后通过curl命令访问容器服务。 部署容器服务 登录云容器引擎控制台,在“集群管理”页面单击集群名称,进入集群详情页。 在左侧导航栏选择“资源 > 工作负载”,单击右上角“镜像创建”。 设置工作负载参数。 负载类型:选择“无状态负载”。 命名空间:选择在3中填写的命名空间“vmns”。
-
Istiod TLS证书密钥滥用(CVE-2021-34824) - 应用服务网格 ASM
Secret中加载私钥和证书。对于Istio1.8及更高版本,Secret通过XDS API从Istiod传送到网关或工作负载。 网关或工作负载部署应该只能访问存储在其命名空间内的Kubernetes Secret中的凭证(TLS证书和私钥)。但是,Istiod中的一个错误允许授权客户端访问和检索
-
容器服务访问虚拟机服务 - 应用服务网格 ASM
虚拟机服务加入网格时,需要用户手动注册服务的基础信息。因此需要手动创建如下资源:Service、WorkloadEntry、ServiceEntry、DestinationRule和VirtualService。 访问虚拟机服务:容器服务通过服务名访问虚拟机服务。 部署虚拟机服务
-
访问日志 - 应用服务网格 ASM
访问日志 服务网格提供了访问日志查询能力,可对网格中数据面所有Proxy的AccessLog进行采集。本文介绍如何查看采集的访问日志。 网格需已“启用访问日志”能力,如何开启请参考设置可观测性配置。 操作步骤 登录应用服务网格ASM控制台。 单击服务网格名称,进入服务网格详情页。
-
虚拟机服务访问虚拟机服务 - 应用服务网格 ASM
执行以下命令,访问虚拟机1上的服务。 curl <vm-server1>.<vmns>.svc.cluster.local:8080 若回显“hello, http protocol server”,则虚拟机2访问虚拟机1上的服务成功。 父主题: 验证服务访问
-
访问日志 - 应用服务网格 ASM
访问日志 访问日志 访问日志的响应标记解读 父主题: 监控中心
-
1.3版本特性 - 应用服务网格 ASM
1.3版本特性 基于Mixer的Metric、访问日志和调用链 支持SDS,证书轮换无需重启Pod 支持Sidecar API 控制面性能优化 华为私有版本Virtual Service Delegation上线,提前为大客户提供解耦Gateway流量配置 支持v1.13、v1.15、v1
-
访问日志的响应标记解读 - 应用服务网格 ASM
访问日志的响应标记解读 UH(没有健康后端) 含义 UH(NoHealthyUpstream)表示上游服务没有健康的后端实例。 典型现象 目标服务的后端实例都不可用,如构造将目标服务的实例数设置为0。 典型日志 客户端日志。 应对建议 检查目标服务的负载配置,确认服务的实例均正常运行。
-
验证服务访问 - 应用服务网格 ASM
验证服务访问 虚拟机服务访问容器服务 容器服务访问虚拟机服务 虚拟机服务访问虚拟机服务 父主题: 虚拟机治理
-
在ASM中对入口网关进行JWT请求认证 - 应用服务网格 ASM
Token 通过入口网关访问httpbin服务。 执行以下命令,带1创建的JWT Token访问服务。 TOKEN=1创建的JWT Token curl -I -H "Authorization: Bearer $TOKEN" http://{httpbin服务的外部访问地址}/ 预期输出:
-
如何通过对等连接打通两个集群的VPC网络,实现实例跨集群通信? - 应用服务网格 ASM
使得集群B能够访问集群A。下一跳类型选择“对等连接”,下一跳选择1中创建的对等连接。 如果两个集群都是非扁平网络,在路由表中可以只配置VPC网段。关于非扁平网络的介绍,请参见非扁平网络。 测试网络是否已连通。 访问对端集群的VPC IP。 登录集群A的一个节点,访问集群B的内网apiserver地址。
-
网关访问保留源IP - 应用服务网格 ASM
对外端口:自定义端口。 外部访问地址:负载均衡中所选elb公网地址。 单击“路由配置”下方的“+”在弹出“添加路由”页面添加路由。 URL:选择完全匹配并输入映射。 命名空间:服务所在命名空间。 目标服务:默认设置。 配置完成后单击“确定”。 单击“确定”完成网关添加。 选择左侧“服务管理”页签,可
-
端到端的透明安全 - 应用服务网格 ASM
于应用程序级别的安全性。 多集群安全:在多集群场景下ASM提供了全局的服务访问安全。多个集群的网格共享一套根证书,给数据面的服务实例分发密钥和证书对,并定期替换密钥证书,根据需要撤销密钥证书。在服务间访问时,网格的数据面代理就会代理本地服务和对端进行双向认证、通道加密。这里的双向
-
配置安全策略 - 应用服务网格 ASM
ASM提供的安全功能主要分为访问授权、对端认证和JWT认证,以确保服务间通信的可靠性。 操作步骤 登录应用服务网格控制台,单击服务网格的名称,进入网格详情页面。 在左侧导航栏选择“服务管理”,在列表右上方选择服务所在命名空间。 选择一个服务,单击操作列的“安全”,在右侧页面进行访问授权和对端认证配置。
-
Service是否支持跨集群访问 - 应用服务网格 ASM
Service是否支持跨集群访问 问题描述 服务支持跨集群访问,需要满足以下规则: 每个集群中必须有和此服务所在命名空间同名的命名空间。 每个集群中,同名命名空间下有同名同类型的服务。 每个同名服务中的labels、端口信息,以及selector中的内容完全相同。 除服务本身所在
-
如何为普通任务(Job)和定时任务(CronJob)类型负载注入sidecar - 应用服务网格 ASM
trap "curl --max-time 2 -s -f -XPOST http://127.0.0.1:15000/quitquitquit" EXIT while ! curl -s -f http://127.0
-
添加的对外访问方式不能生效,如何排查? - 应用服务网格 ASM
添加的对外访问方式不能生效,如何排查? 出现上述问题可能是访问相关的资源配置有缺失或错误,请按照如下方法进行排查: 通过弹性负载均衡服务界面查看使用的ELB是否成功监听使用的外部端口和弹性云服务器。 登录集群,使用kubectl get gateway -n istio-syst
-
添加网关 - 应用服务网格 ASM
请求的访问地址与转发规则匹配(转发规则由外部访问地址+URL组成)时,此请求将被转发到对应的目标服务处理。单击图标,弹出“添加路由”对话框。 URL匹配规则 前缀匹配:例如映射URL为/healthz,只要符合此前缀的URL均可访问。例如/healthz/v1、/healthz/v2。 完全匹配:
-
JWT认证原理 - 应用服务网格 ASM
"weather@cloudnative-istio" } # Signature RSASHA512( base64UrlEncode(header) + "." + base64UrlEncode(payload) ) 以上结构最终输出的令牌如下,可以看到“.”分割的三个字符串分别对应JWT结构的头部、负载和签名三部分。
-
一键创建体验应用部署成功以后,为何不能访问页面? - 应用服务网格 ASM
一键创建体验应用部署成功以后,为何不能访问页面? 问题描述 一键创建体验应用部署成功后不能访问页面。 原因分析 弹性负载均衡ELB未成功监听端口。 解决方法 请在弹性负载均衡ELB中查看该端口监听器是否创建,后端服务器健康状态是否正常。弹性负载均衡监听器创建方法请参见监听器。 父主题: