检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Istiod TLS证书密钥滥用(CVE-2021-34824) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 TLS证书密钥滥用 CVE-2021-34824 2021-06-24 影响评分 9.1 高危 触发场景 同时满足下列三个条件: Istio版本为1
通信通道,管理服务通信的认证、授权和加密,提供Pod到Pod、服务到服务的通信安全。开发人员在这个安全基础设施层上只需专注于应用程序级别的安全性。 多集群安全:在多集群场景下ASM提供了全局的服务访问安全。多个集群的网格共享一套根证书,给数据面的服务实例分发密钥和证书对,并定期替
和JWT认证,以确保服务间通信的可靠性。 操作步骤 登录应用服务网格控制台,单击服务网格的名称,进入网格详情页面。 在左侧导航栏选择“服务管理”,在列表右上方选择服务所在命名空间。 选择一个服务,单击操作列的“安全”,在右侧页面进行访问授权和对端认证配置。 访问授权 用来实现对网
漏洞公告 未认证的控制面DoS攻击(CVE-2022-23635) Istiod TLS证书密钥滥用(CVE-2021-34824)
对外协议为TLS时,可选择开启/关闭TLS终止。开启TLS终止时需要绑定证书,以支持TLS数据传输加密认证;关闭TLS终止时,网关将直接转发加密的TLS数据。 密钥证书 配置TLS协议并开启TLS时,需要绑定证书,以支持TLS数据传输加密认证。 配置HTTPS协议时,需要绑定密钥证书。 TLS最低版本/TLS最高版本
1.3版本特性 基于Mixer的Metric、访问日志和调用链 支持SDS,证书轮换无需重启Pod 支持Sidecar API 控制面性能优化 华为私有版本Virtual Service Delegation上线,提前为大客户提供解耦Gateway流量配置 支持v1.13、v1.15、v1
已经创建和原网格网关同规格的ELB实例。 创建Ingress资源 证书secret从istio-system空间迁移到业务命令空间,可使用如下命令: kubectl -nistio-system get secret {证书名} -oyaml > /tmp/{证书名}.yaml 进行如下修改: kubectl
进入续费页面。 选择续费时长,单击“去支付”,选择支付方式后,单击“确认付款”即可成功续费。 更多信息(自动续费、导出续费清单等)请参考续费管理。 父主题: 网格管理
DOWNSTREAM连接的对端地址 同HTTP 同HTTP 10.44.x.x:46520 - %REQUESTED_SERVER_NAME% SSL连接的SNI 同HTTP \ xxx - %ROUTE_NAME% 路由的名称 同HTTP \ default - 1.18及以后版本 1
selector中存在version标签,会被删除。 加入网格后,会重启负载进行sidecar注入以实现网格流量治理能力,期间服务访问会短暂终止。 加入网格后,会在网格管理下的所有集群中创建相应的namespace和service,请确保多个集群中不能存在名称相同的不同服务。 加入网格后,会修改集群安全组规则,以保证服务能被其他集群访问。
如何对接Jaeger/Zipkin查看调用链 ASM支持向Jaeger/Zipkin导出追踪数据,导出后可在Jaeger/Zipkin界面查看应用的调用链信息。下文以对接zipkin为例介绍完整的使用流程。 前提条件 已明确待安装zipkin的集群和命名空间。 操作步骤 创建zipkin
虚拟机需放通安全组,入方向需添加到<cluster-name>-cce-control安全组的规则,否则ping不通Pod IP。 获取根证书 通过kubectl访问CCE集群。 登录云容器引擎控制台,在“集群管理”页面单击集群名称,进入集群详情页。 在“连接信息”区域找到kubectl,单击查看后,按照教程为您的
权限管理 若用户没有应用服务网格权限,在登录应用服务网格控制台时会弹框提醒授权,单击“确定”即可完成授权,该授权永久生效。 asm_admin_trust包含的权限有:Tenant Guest和CCE FullAccess。在2024年7月前已进行授权的用户可能存在委托权限过大的
其中{revision} 为版本号,如1-13-9-r5),并重启部分pod进行测试,若无问题,则可以全部切换。 1.3和1.6版本升级到1.8版本,因为证书切换,sidecar需要同时全部重启。 数据面升级结束后,请等待所有升级中的工作负载滚动升级完成。 父主题: 金丝雀升级
服务多版本 服务创建分版本管理、支持分版本进行监控 - √ √ 支持分版本进行服务负载管理 √ √ √ 服务多端口 支持管理多个端口的服务、支持管理多个端口多协议的服务 √ √ √ 灰度发布支持多端口 - √ √ 服务多形态 支持容器类型的服务后端 √ √ √ 协议及语言支持 HT
服务多版本 服务创建分版本管理、支持分版本进行监控 - √ √ 支持分版本进行服务负载管理 √ √ √ 服务多端口 支持管理多个端口的服务、支持管理多个端口多协议的服务 √ √ √ 灰度发布支持多端口 - √ √ 服务多形态 支持容器类型的服务后端 √ √ √ 协议及语言支持 HT
登录应用服务网格控制台,在左侧导航栏中选择“网格管理”。 单击专有网格名称进入网格管理详情。 在“istioctl”页签,参照界面提示完成对应配置。 配置管理 登录应用服务网格控制台,在左侧导航栏中选择“网格管理”。 单击专有网格名称进入网格管理详情。 在“配置管理”页签,根据实际需求进行如下配置。
网格管理 续费网格 按需转包周期 变更规格 网格事件 专有版转基础版 退订与卸载 父主题: 用户指南(新版)
网格管理 为什么我的集群不能启用网格? 包周期的独享节点如何退订? Istio卸载之后,为什么独享节点还在? 如何升级ICAgent? 企业版网格添加集群时,选择非扁平网络,为什么查询不到ELB? 集群校验报错常见场景及解决方案 如何为集群开放命名空间注入? 某些工作负载不注入Sidecar,该如何配置?
-collector工作负载。创建这个工作负载的原因是需要利用其对envoy收集遥测数据(trace、log、metric),并进行处理,导出到相应的后端,实现网格的可观测性。 otel-collector架构简介 图1 otel-collector架构图 如上图的架构图所示,o
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
