检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Istiod TLS证书密钥滥用(CVE-2021-34824) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 TLS证书密钥滥用 CVE-2021-34824 2021-06-24 影响评分 9.1 高危 触发场景 同时满足下列三个条件: Istio版本为1
请求可以不通过隧道进行传输,既可以是明文,也可以是TLS加密的密文。默认情况下,网格配置了宽容模式(PERMISSIVE)的对端认证策略。 严格模式(STRICT) 流量只能通过隧道进行传输,因为请求必须是TLS加密的密文,且必须带有客户端证书。 JWT认证 在服务网格中配置JWT(JSON Web
和加密,提供Pod到Pod、服务到服务的通信安全。开发人员在这个安全基础设施层上只需专注于应用程序级别的安全性。 多集群安全:在多集群场景下ASM提供了全局的服务访问安全。多个集群的网格共享一套根证书,给数据面的服务实例分发密钥和证书对,并定期替换密钥证书,根据需要撤销密钥证书。
1.3版本特性 基于Mixer的Metric、访问日志和调用链 支持SDS,证书轮换无需重启Pod 支持Sidecar API 控制面性能优化 华为私有版本Virtual Service Delegation上线,提前为大客户提供解耦Gateway流量配置 支持v1.13、v1.15、v1
delay:健康检查间隔(秒)。 timeout:健康检查的超时时间(秒)。 max_retries:健康检查的最大重试次数。 也可在步骤1服务页面单击操作列的“更新”在更新服务页面进行设置。 父主题: 网关Service
其中{revision} 为版本号,如1-13-9-r5),并重启部分pod进行测试,若无问题,则可以全部切换。 1.3和1.6版本升级到1.8版本,因为证书切换,sidecar需要同时全部重启。 数据面升级结束后,请等待所有升级中的工作负载滚动升级完成。 父主题: 金丝雀升级
istio-operator命名空间下的Deployment、IstioOperator、ConfigMap、Secret、Role、RoleBinding、ServiceAccount资源对象; 建议您谨慎根据应用服务网格官网资料文档或在相关技术支持的指导下进行修改操作,以避免对您的业
1.6版本特性 控制面组件合一,简化控制面安装和运维 社区正式版本Virtual Service Delegation更新(华为贡献特性,API和华为1.3先发版本完全相同) Workload Entry方便对非Kubernetes负载进行定义和管理 SDS默认启用 支持基于数据面,通过Telemetry
漏洞公告 未认证的控制面DoS攻击(CVE-2022-23635) Istiod TLS证书密钥滥用(CVE-2021-34824)
在确定连接已失效前,要发送的保活探测的最大数量。默认使用操作系统级别配置(除非被覆盖,Linux默认为9) 1-4294967295 健康检查间隔(s) 保活探测之间的持续时间。默认使用操作系统级别配置(除非被覆盖,Linux默认为75秒) 0.001-2592000 连接超时时间(s) TCP连接超时时间,默认值为10秒
externalTrafficPolicy: Local allocateLoadBalancerNodePorts: true 也可在步骤1服务页面单击更多操作列的“更新”在更新服务页面进行设置。 参数说明: 参数 说明 服务亲和(externalTrafficPolicy) 有如下两个取值: 集群级别(clu
、ServiceEntry,更新VirtualService和DestinationRule,并在其中配置基于流量比例的灰度策略。 访问虚拟机服务:容器服务通过服务名访问虚拟机服务,验证灰度策略是否生效。 移除虚拟机服务灰度版本:完成灰度发布后,更新VirtualService和
使用ingress中转方案 前提 确保准备工作已完成。 网格仅使用了网关能力。 已经创建和原网格网关同规格的ELB实例。 创建Ingress资源 证书secret从istio-system空间迁移到业务命令空间,可使用如下命令: kubectl -nistio-system get
网关访问保留源IP 设置成节点亲和在某些场景下可能导致无法访问ELB,具体情况请查看 集群内部无法使用ELB地址访问负载。 操作场景 服务通过网关访问时,默认情况下,目标容器中看到的不是客户端的源IP,如果需要保留源IP,请参考本节指导操作。 配置方法 请在CCE控制台“服务发现
e中创建的VirtualService,单击操作列的“编辑”,在spec.http[0]下添加以下内容: fault: abort: httpStatus: 599 percentage:
Istio Operator保留用户关键运行配置说明 服务公告 Istio采用Istio Operator安装的场景下,有时需要更新被Istio Operator管理的组件(包括istiod、istio-ingressgateway、istio-egressgateway)的工作负载,在低版本的ASM中,Istio
Operator安装的场景下,有时需要更新被Istio Operator管理的组件(包括istiod、istio-ingressgateway、istio-egressgateway)的工作负载,例如:升级网格版本、扩容istio-ingressgateway实例数等。更新这些工作负载可在CCE控制台“工作负载”页面修改。
问题。同时,从多个维度输出了Istio相关性能模型,填补了Istio在大规模实例场景下的性能模型空白,为Istio性能提升提供了有力支撑。 提高控制面Istiod稳定性 Istio采用的是全局更新配置信息策略,如下图所示,当服务B的相关信息发生变化时,Istiod会生成全量xds
5-r2以上版本、1.18所有版本。 是否重启已有服务: :会重启命名空间下已有服务关联的Pod,新生成的Pod自动注入istio-proxy sidecar。重启将会暂时中断业务。 新勾选的命名空间,会添加自动注入标签,重启命名空间下所有Deployment类型的Pod,新生成的Pod自动注入istio-proxy
应用服务网格作为集群网络管理的重要工具,为网格内的服务提供流量治理与流量监控的能力。sidecar作为应用服务网格数据面的重要组件,需要依赖服务业务pod的更新来实现sidecar的升级和重新注入。 本章节主要介绍如何实现数据面sidecar升级过程中,不中断服务的业务流量。 配置服务实例数 为保
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
您即将访问非华为云网站,请注意账号财产安全
