检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Istiod TLS证书密钥滥用(CVE-2021-34824) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 TLS证书密钥滥用 CVE-2021-34824 2021-06-24 影响评分 9.1 高危 触发场景 同时满足下列三个条件: Istio版本为1
漏洞公告 未认证的控制面DoS攻击(CVE-2022-23635) Istiod TLS证书密钥滥用(CVE-2021-34824)
规避和消减措施 除了升级版本没有有效的规避措施。将客户端对Istiod的网络访问限制在最小范围可以帮助减少某种程度上的漏洞的影响范围。 相关链接 Istio官方安全公告 Istio社区漏洞公告 父主题: 漏洞公告
添加的对外访问方式不能生效,如何排查? 出现上述问题可能是访问相关的资源配置有缺失或错误,请按照如下方法进行排查: 通过弹性负载均衡服务界面查看使用的ELB是否成功监听使用的外部端口和弹性云服务器。 登录集群,使用kubectl get gateway -n istio-syst
Token 通过入口网关访问httpbin服务。 执行以下命令,带1创建的JWT Token访问服务。 TOKEN=1创建的JWT Token curl -I -H "Authorization: Bearer $TOKEN" http://{httpbin服务的外部访问地址}/ 预期输出:
虚拟机服务访问容器服务 启动ASM-PROXY后,虚拟机服务可以访问容器内的服务,如下图所示。 验证流程如下: 部署容器服务:在CCE集群中部署容器服务tomcat。 容器服务加入网格:将tomcat服务加入网格,确保服务诊断状态为正常。 访问容器服务:编辑虚拟机的/etc/ho
访问日志 服务网格提供了访问日志查询能力,可对网格中数据面所有Proxy的AccessLog进行采集。本文介绍如何查看采集的访问日志。 网格需已“启用访问日志”能力,如何开启请参考设置可观测性配置。 操作步骤 登录应用服务网格ASM控制台。 单击服务网格名称,进入服务网格详情页。
面向Dubbo协议的服务治理 简介 服务发现模型 SDK适配方式
访问日志各字段解读 sidercar会在标准输出中打印访问日志,istio日志中每个字段的含义解读如下。由于不同istio版本的访问日志格式及其字段的内容存在差异,下面分1.15及以下版本和1.18及以上版本两大类进行说明。 1.15及以下版本 1.15版本及以下采用Istio的
"type.googleapis.com/envoy.extensions.filters.network.http_connection_manager.v3.HttpConnectionManager" http2_protocol_options:
配置完成后单击“确定”。 单击“确定”完成网关添加。 选择左侧“服务管理”页签,可以在“访问地址”查看到所创建路由的外部访问地址。 在映射的外部访问地址后加上“?show_env=1”,访问添加字段后的外部访问地址,例如:http://xxx.xxx.xxx:80/get?show_env
cluster.local替换成istio-system/tomcat-default-gateway 修改apiVersion: networking.istio.io/v1alpha3为apiVersion: networking.istio.io/v1beta1 destination
购买网格 网格类型概述 购买基础版网格 基础版、企业版、社区开源版本对比 扁平网络和非扁平网络 大规格实例优化 父主题: 用户指南(新版)
添加服务 添加的对外访问方式不能生效,如何排查? 一键创建体验应用为什么启动很慢? 一键创建体验应用部署成功以后,为何不能访问页面? 创建服务网关时,提示500错误 添加路由时,为什么选不到对应的服务? 如何解决应用数据获取失败的问题? 如何为普通任务(Job)和定时任务(CronJob)类型负载注入sidecar
传统的服务跨集群访问,用户需要创建NodePort或LoadBalancer服务,绑定ELB,配置转发端口,而且对每一个需要跨集群访问的服务都要执行此操作。除此之外,用户还需要维护各个服务的对外访问配置。 图5 传统跨集群访问 ASM企业版网格提供的服务跨集群访问能力,不需要用户
25、v1.27 CCE集群版本 修复了 CVE-2023-44487、CVE-2023-39325、CVE-2023-27487 等安全漏洞 详细内容请参阅:https://istio.io/latest/news/releases/1.15.x/announcing-1.15
范 Service的选择器中是否配置了version标签 服务是否配置了默认版本的服务路由,路由配置是否正确 Service是否支持跨集群访问 父主题: 服务管理
虚拟私有云、所在子网:选择创建虚拟私有云中创建的虚拟私有云和子网。 单击“下一步:创建节点”,配置添加节点的参数。除节点规格和登录方式外,其余参数保持默认。 节点规格:vCPUs为4核,内存为8GB。 登录方式:选择创建密钥对中创建的密钥对,用于远程登录节点时的身份认证。 单击“下一步:安装插件”,在“安装插件”步骤中选择要安装的插件。
enRequest API。 kubectl get --raw /api/v1 | grep "serviceaccounts/token" 如果没有返回,则需要参考Service Account Token Volume Projection开启该API。 在kubectl节点执行以下命令,获取证书密钥文件。
务间的访问拓扑,调用链,监控等都是对服务整体运行状况进行管理,服务访问异常时进行定位定界的必要手段。服务网格技术的一项重要能力就是以应用非侵入的方式提供这些监控数据的采集,用户只需关注自己的业务开发,无需额外关注监控数据的生成。 丰富APM能力:ASM基于网格生成服务访问数据,集
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
