检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
可参考sidecar注入为您的某个负载或者命名空间下的所有工作负载关联的Pod注入sidecar。 这两种场景注入的方法如下: 为命名空间下所有工作负载关联的Pod注入sidecar ,即打上标签。请根据下面说明中的不同istio版本打不同的标签。打标签命令如下: kubectl
在Istio中实现这些服务治理功能时无须修改任何应用的代码。 应用服务网格ASM基于Istio可以为管理的服务提供非侵入的流量治理能力。根据服务的协议,提供策略化、场景化的网络连接管理。在应用拓扑上对选定服务的选定端口,根据需要配置各种不同的治理规则。 优势 重试:服务访问失败自动重试,
拟机上的非容器化服务是否可以像容器化服务一样进行流量治理?虚拟机如何访问容器中的服务?是否可以将容器和虚拟机纳入一个统一的控制平面来管理? 本文介绍一种通过为虚拟机安装代理来实现虚拟机治理的方案,可以有效解决以上几个问题。 解决方案 原理上网格可以提供对容器和虚拟机同等的治理能力
backup 请确保网络三层连通性: 为了保证虚拟机与CCE集群的Pod互通,准备的虚拟机需要与CCE集群处于同一VPC内。 虚拟机需放通安全组,入方向需添加到<cluster-name>-cce-control安全组的规则,否则ping不通Pod IP。 获取根证书 通过kubectl访问CCE集群。
在这个过程中,重点是第六步,原来服务端的JWT认证功能迁移到了网格代理上。网格数据面从控制面配置的认证策略中获取验证JWT令牌的公钥,可以是jwks(JSON Web Key Set)上配置的公钥,也可以是从jwksUri配置的公钥地址获取到的公钥。获得公钥后,网格代理使用该公钥对认证服务私钥签名的令牌进行验
中填写的命名空间。配置v1、v2版本分别50%的流量比例。 示例: 单击“确定”完成修改。 访问虚拟机服务 如果虚拟机2未部署ASM-PROXY,未加入网格,要想正常访问到v2版本,需要配置关闭mTLS认证,即在vmns命名空间下的DestinationRule资源对象的spec下添加如下内容:
置路由策略。 单击托管网格的名称,查看数据面所有组件和Sidecar的业务pod信息。 “集群管理”页签:展示已添加的到网格中的集群信息,以及添加新的集群到网格,或移除已添加的集群。 “数据面组件管理”页签:展示Istio数据面的所有组件,以及每个组件的运行状态,CPU、内存占用率,命名空间等信息。
虚拟机服务配置故障注入 故障注入是一种评估系统可靠性的有效方法,故意在待测试的系统中引入故障,从而测试其健壮性和应对故障的能力。有两种类型的故障注入,可以在转发前延迟(delay)请求,模拟缓慢的网络或过载的服务,也可以中断(abort)HTTP请求,并返回一个特定的HTTP状态码给调用者。通过中断,可以模拟一个有故障的上游服务。
YAML配置资源处理策略 通过控制台和“Istio资源管理”中的YAML方式均可以创建Istio资源,为了避免两个入口的配置相冲突,建议您: 控制台创建的资源,在控制台维护 YAML创建的资源,YAML方式维护 如果控制台创建的资源通过YAML方式修改,将会导致控制台对应功能不可用(例
应用服务网格权限管理是通过IAM统一身份认证里的委托实现的,而2024年7月前已进行授权的用户可能存在委托权限过大的问题,鉴于安全考虑,建议通过下文指导进行委托的权限收缩。 操作步骤 登录IAM控制台。 在左侧菜单栏单击委托,在搜索框中,搜索asm_admin_trust,单击搜索出来的委托名称。 单击进入“授权记录”页签,删除所有权限。
表现,在保证系统整体稳定运行的前提下,尽早发现新版本在实际环境上的问题。 金丝雀发布的特点: 通过在线上运行的服务中,新加入少量的新版本的服务,然后从这少量的新版本中快速获得反馈,根据反馈决定最后的交付形态。 蓝绿发布 蓝绿发布提供了一种零宕机的部署方式。不停老版本,部署新版本进
Istio版本支持机制 本文为您介绍应用服务网格(ASM)的Istio版本支持机制。 版本支持 网格维护 ASM最多同时支持Istio三个大版本的维护。假设现存维护的是v1.17、v1.15、v1.13三个版本。当v1.18版本商用后,之前较早的版本v1.13将被停用。 版本约束 网格升级到新版本后,不支持回退到老版本。
您根据您的业务需求,选择合适的独享节点规格,以提高应用服务网格的可用性。 QPS(每秒请求数)总数 0~20000 20000~60000 节点规格 8U16G 16U32G 其中QPS总数为集群中所有应用的所有组件QPS总和。 即将提供应用服务实例个数与控制面内存资源的匹配推荐。
%BYTES_RECEIVED% 收到的Body体大小 收到的数据包大小 \ 0 - %BYTES_SENT% 发送的Body体大小 发送的数据包大小 \ 135 - %DURATION% 从开始到发送最后1个Bytes的时间(毫秒) 整个TCP连接的时间(毫秒) \ 4 - %RES
配置安全策略 ASM提供的安全功能主要分为访问授权、对端认证和JWT认证,以确保服务间通信的可靠性。 操作步骤 登录应用服务网格控制台,单击服务网格的名称,进入网格详情页面。 在左侧导航栏选择“服务管理”,在列表右上方选择服务所在命名空间。 选择一个服务,单击操作列的“安全”,在右侧页面进行访问授权和对端认证配置。
默认不支持 HTTP/1.0。 原因分析 Istio中负责流量转发的是Envoy,负责分配规则的是Pilot。Pilot的环境变量PILOT_HTTP10 默认为 0,即默认不支持 HTTP/1.0。 解决方法 编辑iop中的环境变量.values.pilot.env.PILOT_HT
格内所有服务的应用拓扑。 应用拓扑图中的连线颜色代表了当前连接的健康状况,连接展示什么颜色由错误率的值决定。当错误率小于1%时连线呈绿色;当错误率在[1%~10%]范围内连接呈黄色;当错误率大于10%连接呈红色。 单击拓扑中的服务节点,可以查看当前服务在所选时间内的指标数据;单击
灰度发布部署版本为什么不能更换镜像? 问题描述 灰度发布部署灰度版本时不能更换镜像类型。 原因分析 灰度发布针对服务的同一镜像,只允许选择不同的版本号。 解决方法 将所需镜像打包成同一镜像的不同版本并上传至镜像仓库。 父主题: 灰度发布
将 Init 容器的 uid 设置为 1337。 1337 是 Sidecar 代理使用的 uid。 这个 uid 发送的流量并非通过 Istio 的 iptables 规则进行捕获。 应用容器流量仍将像往常一样被捕获。 对 initContainer 所访问的目标 CIDR,通过设置
rge,不会触发工作负载滚动升级,即Pod不会发生重启。新配置值在工作负载的下一次滚动升级中生效。 在CCE Console中执行工作负载的重新部署,实际上就是完成一次工作负载的滚动升级流程,只是工作负载的版本没有发生变化。 父主题: 网关工作负载
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
