检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如何解决应用数据获取失败的问题? 问题描述 服务添加完成后,在“服务列表”中,查看不到已创建的服务,页面提示“应用数据获取失败”。 排查思路 登录ASM控制台,按“F12”,切换到Network页签查看接口,接口全部返回200。查看Console输出存在如下报错: TypeError:
端到端的透明安全 适用场景 众所周知,将传统的单体应用拆分为一个个微服务固然带来了各种好处,包括更好的灵活性、可伸缩性、重用性,但微服务也同样面临着特殊的安全需求,如下所示: 为了抵御中间人攻击,需要用到流量加密。 为了提供灵活的服务访问控制,需要用到TLS和细粒度访问策略。 为
配置安全策略 ASM提供的安全功能主要分为访问授权、对端认证和JWT认证,以确保服务间通信的可靠性。 操作步骤 登录应用服务网格控制台,单击服务网格的名称,进入网格详情页面。 在左侧导航栏选择“服务管理”,在列表右上方选择服务所在命名空间。 选择一个服务,单击操作列的“安全”,在右侧页面进行访问授权和对端认证配置。
Istiod TLS证书密钥滥用(CVE-2021-34824) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 TLS证书密钥滥用 CVE-2021-34824 2021-06-24 影响评分 9.1 高危 触发场景 同时满足下列三个条件: Istio版本为1
披露/发现时间 DoS CVE-2022-23635 2022-02-22 影响评分 7.5 高危 触发场景 简单安装时,Istiod是从集群内获取的,受攻击的可能性小一点。 多集群场景安装的时候,15012端口是暴露在公网的,受攻击影响的可能性大一些。 根本原因 15012端口接收的
1.3版本特性 基于Mixer的Metric、访问日志和调用链 支持SDS,证书轮换无需重启Pod 支持Sidecar API 控制面性能优化 华为私有版本Virtual Service Delegation上线,提前为大客户提供解耦Gateway流量配置 支持v1.13、v1.15、v1
连接打通两个集群的网络,从而实现实例的跨集群通信。 准备工作 创建对等连接之前,需要获取两个集群的VPC网段和容器网段,可以单击集群名称进入集群在总览页面查看: 集群的VPC网段在VPC详情页获取: 操作步骤 下文以打通集群A、集群B的网络为例进行介绍。 创建对等连接。 登录管理控制台,选择“网络
${VM1_DIR}/root-cert.pem 设置启动参数 在kubectl节点执行以下命令,获取相关参数并写入${VM1_DIR}目录下的asm_proxy.env文件中。 获取ASM控制面通信地址 ISTIO_PILOT_ADDR=$(kubectl get pod -n istio-system
场景一:CCE集群服务访问CCE集群服务 为方便描述,假设两个集群名称为ccecluster01、ccecluster02。 登录CCE控制台,在集群信息页面获取ccecluster01、ccecluster02集群的容器网段。 进入VPC控制台,在左侧导航栏选择“访问控制 > 安全组”,搜索框输入集群名称“ccecluster01”。
使用ingress中转方案 前提 确保准备工作已完成。 网格仅使用了网关能力。 已经创建和原网格网关同规格的ELB实例。 创建Ingress资源 证书secret从istio-system空间迁移到业务命令空间,可使用如下命令: kubectl -nistio-system get
域名单独配置路由 为网关中某个域名单独配置路由规则。 图2 添加路由 配置完成后,单击“确定”。 网关添加完成后,可前往“服务管理”页面,获取服务外网访问地址。 图3 服务外网访问地址 父主题: 网关管理
访问容器服务 获取tomcat服务在集群中的IP地址。 登录云容器引擎控制台,在“集群管理”页面单击集群名称,进入集群详情页。 在左侧导航栏选择“资源 > 工作负载”,选择命名空间“vmns”。 单击工作负载名称“tomcat”,进入详情页面。 单击“访问方式”页签,获取服务在集群中的IP地址。
x-ot-span-context 下面以一个典型的例子来说明如何在接收和发送请求时,通过修改代码来传递调用链相关Header信息。 Python代码示例 服务接收端在处理请求时,从请求端解析相关Header。在调用后端请求时,传递Trace相关的header。 def getF
x-ot-span-context 下面以一个典型的例子来说明如何在接收和发送请求时,通过修改代码来传递调用链相关Header信息。 Python代码示例 服务接收端在处理请求时,从请求端解析相关Header。在调用后端请求时,传递Trace相关的header。 def getF
是运行中,如果不是运行中则可能是组件异常了。 组件中的1-18-7-r4即网格的版本。网格版本号可从网格详情页面的“网格配置-基本信息”中获取,即“当前版本”的值。此处展示的版本号是中划线连接。 解决方案:若异常可以联系运维工程师或提交工单处理。 可能原因:命名空间未打上自动注入标签。
功能点 社区开源版本 基础版 企业版 规格 管理规模 支持最大管理实例数 - 200 5000 基础功能 服务发现和服务注册 通过服务中心集群获取服务列表、服务实例状态自动刷新、容器服务自动服务注册,业务无需实现注册逻辑、容器服务自动服务发现,业务无需实现发现订阅逻辑、服务实例副本数动态管理
18之前版本的应用指标仅支持对接APM。1.18以及后续版本网格仅支持对接到AOM,同时低版本网格升级到1.18后也可以切换到AOM,为了获取更优的使用体检,建议切换到AOM。 目前访问日志仅Istio 1.18及以上版本支持对接到云日志服务(LTS)。若要启用访问日志,请提前在
加一个health_check的健康检查功能,获取有关Collector健康状况的信息。 otel-collector在ASM基础版网格中的使用 可通过以下命令获取otel-collector工作负载的配置信息: 以在基础版网格获取到的配置文件为例: receivers配置项定义
升级网格 操作场景 用户可以将低版本的网格升级到高版本,以获取更优质的体验。基础版网格支持金丝雀升级,企业版本支持补丁原地升级。 升级影响 网格升级将自动重新注入新版本数据面代理,过程中会滚动重启服务Pod,可能造成短暂服务实例中断。 升级期间请勿进行灰度发布、流量规则配置等操作。
一键创建体验应用为什么启动很慢? 一键创建体验应用部署成功以后,为何不能访问页面? 创建服务网关时,提示500错误 添加路由时,为什么选不到对应的服务? 如何解决应用数据获取失败的问题? 如何为普通任务(Job)和定时任务(CronJob)类型负载注入sidecar
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
