检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Secret中加载私钥和证书。对于Istio1.8及更高版本,Secret通过XDS API从Istiod传送到网关或工作负载。 网关或工作负载部署应该只能访问存储在其命名空间内的Kubernetes Secret中的凭证(TLS证书和私钥)。但是,Istiod中的一个错误允许授权客户端访
多集群安全:在多集群场景下ASM提供了全局的服务访问安全。多个集群的网格共享一套根证书,给数据面的服务实例分发密钥和证书对,并定期替换密钥证书,根据需要撤销密钥证书。在服务间访问时,网格的数据面代理就会代理本地服务和对端进行双向认证、通道加密。这里的双向认证的服务双方可以来自两个不同
已经创建和原网格网关同规格的ELB实例。 创建Ingress资源 证书secret从istio-system空间迁移到业务命令空间,可使用如下命令: kubectl -nistio-system get secret {证书名} -oyaml > /tmp/{证书名}.yaml 进行如下修改: kubectl
alive特性。 连接超时时间 TCP连接超时时间。 最大请求数 后端服务处理的最大请求数,默认为1024。 熔断配置。 连续错误数 在一个检查周期内,连续出现500及以上错误的个数,例502、503状态码。 检查周期 将会对检查周期内的响应码进行筛选。 最大隔离实例比例(%) 上游实例中,
产品优势 简单易用 无需修改任何服务代码,也无需手动安装代理,只需开启应用服务网格功能,即可实现丰富的无侵入服务治理能力。 内置金丝雀、蓝绿灰度发布流程 灰度版本一键部署,流量切换一键生效。 灰度策略可配置,支持流量比例、请求内容(Cookie、OS、浏览器等)。 一站式健康、性
ERMISSIVE)的对端认证策略。 严格模式(STRICT) 流量只能通过隧道进行传输,因为请求必须是TLS加密的密文,且必须带有客户端证书。 JWT认证 在服务网格中配置JWT(JSON Web Token)请求授权,可以实现来源认证。在接收用户请求时,该配置用于认证请求头信息中的Access
1.3版本特性 基于Mixer的Metric、访问日志和调用链 支持SDS,证书轮换无需重启Pod 支持Sidecar API 控制面性能优化 华为私有版本Virtual Service Delegation上线,提前为大客户提供解耦Gateway流量配置 支持v1.13、v1.15、v1
非企业版网格提供基于CCE接口的开放社区兼容的流量规则配置 √ √ √ 代理管理 透明流量拦截、基于Iptables流量拦截、支持代理自动注入、支持Namespace级别和工作负载级别的注入管理 √ √ √ 代理形态 支持每Pod的Sidecar模式 √ √ √ 命令行工具 支持使
非企业版网格提供基于CCE接口的开放社区兼容的流量规则配置 √ √ √ 代理管理 透明流量拦截、基于Iptables流量拦截、支持代理自动注入、支持Namespace级别和工作负载级别的注入管理 √ √ √ 代理形态 支持每Pod的Sidecar模式 √ √ √ 命令行工具 支持使
创建服务网关时,提示500错误 问题描述 一键创建体验应用Bookinfo时,提示“创建对外访问方式失败”。 排查思路 登录ASM控制台,按“F12”,切换到Network页签查看接口。发现post请求创建gateway接口全部返回500,查看返回内容提示如下信息: IP is not
漏洞公告 未认证的控制面DoS攻击(CVE-2022-23635) Istiod TLS证书密钥滥用(CVE-2021-34824)
其中{revision} 为版本号,如1-13-9-r5),并重启部分pod进行测试,若无问题,则可以全部切换。 1.3和1.6版本升级到1.8版本,因为证书切换,sidecar需要同时全部重启。 父主题: 金丝雀升级
对外协议为TLS时,可选择开启/关闭TLS终止。开启TLS终止时需要绑定证书,以支持TLS数据传输加密认证;关闭TLS终止时,网关将直接转发加密的TLS数据。 密钥证书 配置TLS协议并开启TLS时,需要绑定证书,以支持TLS数据传输加密认证。 配置HTTPS协议时,需要绑定密钥证书。 TLS最低版本/TLS最高版本
虚拟机需放通安全组,入方向需添加到<cluster-name>-cce-control安全组的规则,否则ping不通Pod IP。 获取根证书 通过kubectl访问CCE集群。 登录云容器引擎控制台,在“集群管理”页面单击集群名称,进入集群详情页。 在“连接信息”区域找到kub
服务网格如何支持自定义网段或端口拦截规则? 操作场景 某些场景下,用户希望能够指定拦截的IP网段,只有IP网段内的请求会被代理拦截;某些场景下,需要配置拦截规则仅针对特定端口的请求生效。以下将介绍两种拦截网段的配置方式。 负载级别配置拦截IP网段 通过配置业务deployment文件,可以在负载级别配置IP网段拦截:
次数、最大等待请求数、每连接最大请求数、连接最大空闲时间,从而防止一个服务的失败级联影响到整个应用。 熔断:通过熔断配置实例被驱逐前的连续错误次数、驱逐间隔时长、最小驱逐时间、最大驱逐比例等参数,从而定期考察被访问的服务实例的工作情况,如果连续出现访问异常,则将服务实例标记为异常
目标服务的服务端口不通。如客户端通过错误的端口访问目标服务时,会导致服务访问失败,客户端代理的Outbound日志会记录503UF。 目标服务的服务实例端口不通,会导致服务访问失败,同时服务端Inbound日志会记录503UF。 典型日志 服务端口错误的客户端出流量日志。 服务实例端口错误的服务端入流量日志。
用户可以将低版本的网格升级到高版本,以获取更优质的体验。基础版网格支持金丝雀升级,企业版本支持补丁原地升级。 升级影响 网格升级将自动重新注入新版本数据面代理,过程中会滚动重启服务Pod,可能造成短暂服务实例中断。 升级期间请勿进行灰度发布、流量规则配置等操作。 升级路径 网格类型 源版本 目标版本
格内所有服务的应用拓扑。 应用拓扑图中的连线颜色代表了当前连接的健康状况,连接展示什么颜色由错误率的值决定。当错误率小于1%时连线呈绿色;当错误率在[1%~10%]范围内连接呈黄色;当错误率大于10%连接呈红色。 单击拓扑中的服务节点,可以查看当前服务在所选时间内的指标数据;单击
网格数据面代理拦截到流量,使用配置的公钥验证JWT令牌; ⑦ 验证通过后,网格代理将请求转发给服务端; ⑧ 服务端处理请求; ⑨ 服务端返回应答数据给网格代理; ⑩ 网格数据面代理转发应答数据给调用方。 在这个过程中,重点是第六步,原来服务端的JWT认证功能迁移到了网格代理上。网格
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
