检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Istiod TLS证书密钥滥用(CVE-2021-34824) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 TLS证书密钥滥用 CVE-2021-34824 2021-06-24 影响评分 9.1 高危 触发场景 同时满足下列三个条件: Istio版本为1
配置安全策略 ASM提供的安全功能主要分为访问授权、对端认证和JWT认证,以确保服务间通信的可靠性。 操作步骤 登录应用服务网格控制台,单击服务网格的名称,进入网格详情页面。 在左侧导航栏选择“服务管理”,在列表右上方选择服务所在命名空间。 选择一个服务,单击操作列的“安全”,在右侧页面进行访问授权和对端认证配置。
端到端的透明安全 适用场景 众所周知,将传统的单体应用拆分为一个个微服务固然带来了各种好处,包括更好的灵活性、可伸缩性、重用性,但微服务也同样面临着特殊的安全需求,如下所示: 为了抵御中间人攻击,需要用到流量加密。 为了提供灵活的服务访问控制,需要用到TLS和细粒度访问策略。 为
1.6版本特性 控制面组件合一,简化控制面安装和运维 社区正式版本Virtual Service Delegation更新(华为贡献特性,API和华为1.3先发版本完全相同) Workload Entry方便对非Kubernetes负载进行定义和管理 SDS默认启用 支持基于数据面,通过Telemetry
在确定连接已失效前,要发送的保活探测的最大数量。默认使用操作系统级别配置(除非被覆盖,Linux默认为9) 1- 健康检查间隔(s) 保活探测之间的持续时间。默认使用操作系统级别配置(除非被覆盖,Linux默认为75秒) 0.001-2592000 连接超时时间(s) TCP连接超时时间,默认值为10秒
1.3版本特性 基于Mixer的Metric、访问日志和调用链 支持SDS,证书轮换无需重启Pod 支持Sidecar API 控制面性能优化 华为私有版本Virtual Service Delegation上线,提前为大客户提供解耦Gateway流量配置 支持v1.13、v1.15、v1
delay:健康检查间隔(秒)。 timeout:健康检查的超时时间(秒)。 max_retries:健康检查的最大重试次数。 也可在步骤1服务页面单击操作列的“更新”在更新服务页面进行设置。 父主题: 网关Service
1.8.6-r3 补丁更新(原地升级) 1.8.4-r2 1.8.6-r3 补丁更新(原地升级) 1.8.4-r3 1.8.6-r3 补丁更新(原地升级) 1.8.4-r4 1.8.6-r3 补丁更新(原地升级) 1.8.4-r5 1.8.6-r3 补丁更新(原地升级) 1.8.6-r1
漏洞公告 未认证的控制面DoS攻击(CVE-2022-23635) Istiod TLS证书密钥滥用(CVE-2021-34824)
使用ingress中转方案 前提 确保准备工作已完成。 网格仅使用了网关能力。 已经创建和原网格网关同规格的ELB实例。 创建Ingress资源 证书secret从istio-system空间迁移到业务命令空间,可使用如下命令: kubectl -nistio-system get
通知到华为云账号的创建者。 到期后影响 当您的包年/包月ASM应用服务网格到期未续费,首先会进入宽限期,资源状态变为“已过期”。部分操作(更新网格,升级网格等)受限。 如果您在宽限期内仍未续费包年/包月ASM应用服务网格,那么就会进入保留期,资源状态变为“已冻结”,您将无法对处于保留期的包年/包月资源执行任何操作。
提高控制面Istiod稳定性 Istio采用的是全局更新配置信息策略,如下图所示,当服务B的相关信息发生变化时,Istiod会生成全量xds并推送给网格内所有Proxy,这会导致Istiod的瞬时CPU、内存占用过高,可能导致Istiod重启。 Mantis根据服务依赖关系按需更新配置,当服务B的相关信息发
Operator安装的场景下,有时需要更新被Istio Operator管理的组件(包括istiod、istio-ingressgateway、istio-egressgateway)的工作负载,例如:升级网格版本、扩容istio-ingressgateway实例数等。更新这些工作负载可在CCE控制台“工作负载”页面修改。
卸载服务网格将会卸载Istio控制面组件及数据面sidecar。 卸载后,应用的对外访问方式将无法继续使用,请将旧的对外访问方式改为用service方式对外发布。 如需更新对外访问方式,请在CCE控制台“资源 > 服务发现”页面创建服务暴露对外访问方式。 对于专有版网格,卸载时将自动为您清理istio独享节点
已执行添加虚拟机服务到网格,即已创建v1版本的WorkloadEntry、ServiceEntry,已创建VirtualService、DestinationRule。 更新VirtualService 登录应用服务网格控制台,单击服务网格的名称,进入网格详情页面。 在左侧导航栏选择“网格配置”,单击“istio资源管理”页签。
externalTrafficPolicy: Local allocateLoadBalancerNodePorts: true 也可在步骤1服务页面单击更多操作列的“更新”在更新服务页面进行设置。 参数说明: 参数 说明 服务亲和(externalTrafficPolicy) 有如下两个取值: 集群级别(clu
应用服务网格作为集群网络管理的重要工具,为网格内的服务提供流量治理与流量监控的能力。sidecar作为应用服务网格数据面的重要组件,需要依赖服务业务pod的更新来实现sidecar的升级和重新注入。 本章节主要介绍如何实现数据面sidecar升级过程中,不中断服务的业务流量。 配置服务实例数 为保
务所关联的网关服务的配置。方法如下: 下拉上方“命名空间”列表选择“istio-system”。 展开服务后方“更多”选项,单击“更新”,在弹出“更新服务”页面将“服务亲和”更改为“节点级别”,勾选“我已阅读《负载均衡使用须知》”,单击“确定”。 返回13中访问的外部地址并刷新,
、ServiceEntry,更新VirtualService和DestinationRule,并在其中配置基于流量比例的灰度策略。 访问虚拟机服务:容器服务通过服务名访问虚拟机服务,验证灰度策略是否生效。 移除虚拟机服务灰度版本:完成灰度发布后,更新VirtualService和
Istio Operator保留用户关键运行配置说明 服务公告 Istio采用Istio Operator安装的场景下,有时需要更新被Istio Operator管理的组件(包括istiod、istio-ingressgateway、istio-egressgateway)的工作负载,在低版本的ASM中,Istio
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
