-
端到端的透明安全 - 应用服务网格 ASM
基础设施层上只需专注于应用程序级别的安全性。 多集群安全:在多集群场景下ASM提供了全局的服务访问安全。多个集群的网格共享一套根证书,给数据面的服务实例分发密钥和证书对,并定期替换密钥证书,根据需要撤销密钥证书。在服务间访问时,网格的数据面代理就会代理本地服务和对端进行双向认证、
-
配置安全策略 - 应用服务网格 ASM
请求可以不通过隧道进行传输,既可以是明文,也可以是TLS加密的密文。默认情况下,网格配置了宽容模式(PERMISSIVE)的对端认证策略。 严格模式(STRICT) 流量只能通过隧道进行传输,因为请求必须是TLS加密的密文,且必须带有客户端证书。 JWT认证 在服务网格中配置JWT(JSON Web
-
配置流量策略 - 应用服务网格 ASM
在确定连接已失效前,要发送的保活探测的最大数量。默认使用操作系统级别配置(除非被覆盖,Linux默认为9) 1-2147483647 健康检查间隔(s) 保活探测之间的持续时间。默认使用操作系统级别配置(除非被覆盖,Linux默认为75秒) 0.001-2592000 连接超时时间(s) TCP连接超时时间,默认值为10秒
-
流量监控 - 应用服务网格 ASM
段时间。 流量治理中的故障注入功能,不能作用于基于请求比例灰度发布的场景。只接受单一版本或基于请求内容灰度发布的场景。 托管网格多集群场景下,只支持集群内部服务之间的流量监控,暂时不支持跨集群服务之间的流量监控。 查看流量监控情况 登录应用服务网格控制台,在左侧导航栏中选择“流量监控”。
-
添加路由 - 应用服务网格 ASM
重写HTTP/HTTPS的URI和Host/Authority头,于转发前执行。默认关闭。开启后,需要配置如下参数: URI:使用此值重写URI的路径(或前缀),如果原始URI是基于前缀匹配,那么将替换相应匹配的前缀。 Host/Authority头:使用此值重写HTTP/HTTPS的Host/Authority头。
-
Istiod TLS证书密钥滥用(CVE-2021-34824) - 应用服务网格 ASM
Istiod TLS证书密钥滥用(CVE-2021-34824) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 TLS证书密钥滥用 CVE-2021-34824 2021-06-24 影响评分 9.1 高危 触发场景 同时满足下列三个条件: Istio版本为1
-
添加网关 - 应用服务网格 ASM
对外协议为TLS时,可选择开启/关闭TLS终止。开启TLS终止时需要绑定证书,以支持TLS数据传输加密认证;关闭TLS终止时,网关将直接转发加密的TLS数据。 密钥证书 配置TLS协议并开启TLS时,需要绑定证书,以支持TLS数据传输加密认证。 配置HTTPS协议时,需要绑定密钥证书。 TLS最低版本/TLS最高版本
-
1.3版本特性 - 应用服务网格 ASM
1.3版本特性 基于Mixer的Metric、访问日志和调用链 支持SDS,证书轮换无需重启Pod 支持Sidecar API 控制面性能优化 华为私有版本Virtual Service Delegation上线,提前为大客户提供解耦Gateway流量配置 支持v1.13、v1.15、v1
-
创建网格为什么会自动创建一个otel-collector工作负载? - 应用服务网格 ASM
prometheus两种协议从envoy获取遥测数据,其中prometheus定义了以每15s的间隔从/stats/prometheus路径下抓取数据。 processors配置项定义了batch、memory_limiter两种对数据处理的方式,分别是批处理和内存限制。 exp
-
基础版、企业版及社区开源版本对比 - 应用服务网格 ASM
语言无关、开发框架不限定、业务代码无侵入 √ √ √ 应用网关 支持四层协议对外访问、支持七层协议对外访问、支持入口路径映射、支持网关处TLS终止,支持配置对外证书和密钥 √ √ √ 负载均衡 支持轮询、随机、最小连接数以及一致性哈希的LB算法,可以基于特定的HTTP Header,或者基于Cookie值
-
基础版、企业版、社区开源版本对比 - 应用服务网格 ASM
语言无关、开发框架不限定、业务代码无侵入 √ √ √ 应用网关 支持四层协议对外访问、支持七层协议对外访问、支持入口路径映射、支持网关处TLS终止,支持配置对外证书和密钥 √ √ √ 负载均衡 支持轮询、随机、最小连接数以及一致性哈希的LB算法,可以基于特定的HTTP Header,或者基于Cookie值
-
服务网格如何支持自定义网段或端口拦截规则? - 应用服务网格 ASM
服务网格如何支持自定义网段或端口拦截规则? 操作场景 某些场景下,用户希望能够指定拦截的IP网段,只有IP网段内的请求会被代理拦截;某些场景下,需要配置拦截规则仅针对特定端口的请求生效。以下将介绍两种拦截网段的配置方式。 负载级别配置拦截IP网段 通过配置业务deployment文件,可以在负载级别配置IP网段拦截:
-
升级网格 - 应用服务网格 ASM
网格升级将自动重新注入新版本数据面代理,过程中会滚动重启服务Pod,可能造成短暂服务实例中断。 升级期间请勿进行灰度发布、流量规则配置等操作。 升级路径 网格类型 源版本 目标版本 升级方式 企业版 1.8.4-r1 1.8.6-r3 补丁更新(原地升级) 1.8.4-r2 1.8.6-r3
-
网关访问保留源IP - 应用服务网格 ASM
网关访问保留源IP 操作场景 服务通过网关访问时,默认情况下,目标容器中看到的不是客户端的源IP,如果需要保留源IP,请参考本节指导操作。 配置方法 请在CCE控制台“服务发现”页面,istio-system命名空间下,更新服务所关联的网关服务,将服务亲和改成“节点级别”。前提是
-
IstioOperator配置资源处理策略 - 应用服务网格 ASM
IstioOperator配置资源处理策略 Istio采用Istio Operator安装的场景下,有时需要更新被Istio Operator管理的组件(包括istiod、istio-ingressgateway、istio-egressgateway)的工作负载,例如:升级网格
-
某些工作负载不注入Sidecar,该如何配置? - 应用服务网格 ASM
某些工作负载不注入Sidecar,该如何配置? 为集群的命名空间开启Sidecar注入后,该命名空间下所有工作负载关联的Pod将自动注入Sidecar。不过有些工作负载因为种种原因不能注入Sidecar,可参考如下指导进行配置: 登录CCE控制台,进入对应集群详情页,在左侧导航栏选择“资源
-
1.0企业版多集群场景(新建集群和网格方案) - 应用服务网格 ASM
1.0企业版多集群场景(新建集群和网格方案) 前提 确保准备工作已完成。 梳理网格下各个集群的网关和跨集群svc。 集群 网关 跨集群访问的服务 A a-gw 集群A 、集群B B b-gw 集群B ... ... ... 关闭mtls以及访问授权,是用如下命名查看是否存在对应资源。
-
1.0企业版多集群场景(使用原集群创建网格) - 应用服务网格 ASM
1.0企业版多集群场景(使用原集群创建网格) 前提 确保准备工作已完成。 梳理网格下各个集群的网关和跨集群svc。 集群 网关 跨集群访问的服务 A a-gw 集群A 、集群B B b-gw 集群B ... ... ... 关闭mtls以及访问授权,是用如下命名查看是否存在对应资源。
-
Istio Operator保留用户关键运行配置说明 - 应用服务网格 ASM
Istio Operator保留用户关键运行配置说明 服务公告 Istio采用Istio Operator安装的场景下,有时需要更新被Istio Operator管理的组件(包括istiod、istio-ingressgateway、istio-egressgateway)的工作负载,在低版本的ASM中,Istio
-
漏洞公告 - 应用服务网格 ASM
漏洞公告 未认证的控制面DoS攻击(CVE-2022-23635) Istiod TLS证书密钥滥用(CVE-2021-34824)