检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
me配置从Kubernetes Secret中加载私钥和证书。对于Istio1.8及更高版本,Secret通过XDS API从Istiod传送到网关或工作负载。 网关或工作负载部署应该只能访问存储在其命名空间内的Kubernetes Secret中的凭证(TLS证书和私钥)。但是
JWT认证 在服务网格中配置JWT(JSON Web Token)请求授权,可以实现来源认证。在接收用户请求时,该配置用于认证请求头信息中的Access Token是否可信,并授权给来源合法的请求。 仅支持为HTTP协议的服务配置JWT认证。 选择“JWT认证”页签,单击“立即配置”,在弹出对话框中配置如下参数:
podAffinityTerm: labelSelector: matchExpressions: - key: app operator: In values: -
ayload里不要存放私密的信息。 签名Signature 签名字段是对头部和负载的签名,确保只有特定合法的认证服务才可以发行令牌。实际使用中一般是把头部和负载分别执行Base64转换成字符串,然后使用认证服务的密钥对拼接的字符串进行签名,签名算法正是前面介绍的头域中定义的算法。
已经创建和原网格网关同规格的ELB实例。 创建Ingress资源 证书secret从istio-system空间迁移到业务命令空间,可使用如下命令: kubectl -nistio-system get secret {证书名} -oyaml > /tmp/{证书名}.yaml 进行如下修改:
网格中已为httpbin服务创建可访问的网关。 创建JWT认证 创建JWK。 访问JWT工具网站,选择“Algorithm”为“RS512”,获取公钥(PUBLIC KEY)。 图1 生成公钥 在JWK to PEM Convertor online工具中选中“PEM-to-JWK (RSA Only
添加新的请求Headers参数,需要设置key和value。还可以单击图标,添加更多同类型参数。 修改请求的Headers 修改已有的请求Headers参数,需要设置key和value。还可以单击图标,添加更多同类型参数。 移除请求的Headers 删除已有的请求Headers参数,需要设置key。还可以单击图标,添加更多同类型参数。
完全匹配:只有完全匹配上才能生效。例如:设置Header的Key=User,Vaule=Internal,那么仅当Header中包含User且值为Internal的请求才由灰度版本响应。 正则匹配:此处需要您使用正则表达式来匹配相应的规则。 可以自定义请求头的key和value,value支持完全匹配和正则匹配。
ing、policy。 Istio 网关标签检查(1.8及以上的版本不涉及)。 Istio 网关标签(matchLabels)必须为 {app: istio-ingressgateway, istio: ingressgateway}。 升级前vs格式检查(1.8及以上的版本不涉及)。
info cache GenerateSecret default 2022-02-07T09:23:32.056570Z info sds resource:default pushed key/cert pair to proxy 在虚拟机上执行以下命令,确认iptables规则正确配置。
Console页面,单击“集群名称-节点管理-节点”,单击更多列的|“编辑YAML”。 通过YAML配置如下参数: spec: taints: - key: istio value: ingressgateway effect: NoExecute 也可通过步骤1节点页面更多列的“污点管理”按钮配置。
1.3版本特性 基于Mixer的Metric、访问日志和调用链 支持SDS,证书轮换无需重启Pod 支持Sidecar API 控制面性能优化 华为私有版本Virtual Service Delegation上线,提前为大客户提供解耦Gateway流量配置 支持v1.13、v1.15、v1
NotIn:亲和/反亲和对象的标签不在标签值列表(values字段)中。 Exists:亲和/反亲和对象存在指定标签名。 DoesNotExist:亲和/反亲和对象不存在指定标签名。 Gt:仅在节点亲和性中设置,调度节点的标签值大于列表值 (字符串比较)。 Lt:仅在节点亲和性中设置,调度节点的标签值小于列表值
所有Pod的app和version标签是否都相等 问题描述 Service关联的所有Pod的app和version标签必须都相等。app标签在流量监控中用于流量的跟踪,version标签在灰度发布中用于区分不同版本。如果存在app或version标签不相等的Pod,则报此异常。 修复指导
labelSelector: matchExpressions: - key: app operator: In values:
所有Pod是否都配置了app和version标签 问题描述 Service关联的所有Pod都必须配置app和version标签。app标签在流量监控中用于流量的跟踪,version标签在灰度发布中用于区分不同版本。如果存在未配置app或version标签的Pod,则报此异常。 修复指导
84961386-6d84-929d-98bd-c5aee93b5c88 了解更多 Istio官方日志介绍:Istio / Envoy Access Logs Envoy官方日志字段含义:Access logging — envoy 1.31.0-dev-3d906a documentation (envoyproxy
完全匹配:当且仅当表达式完全符合此情况时,流量才会走到这个版本。 正则匹配:此处需要您使用正则表达式来匹配相应的规则。 可以自定义请求头的key和value,value支持完全匹配和正则匹配。 允许访问的操作系统:请选择允许访问的操作系统,包括iOS、android、windows、macOS。
自定义Header: 完全匹配:当且仅当表达式完全符合此情况时,流量才会走到这个版本 正则匹配:此处需要您使用正则表达式来匹配相应的规则 可以自定义请求头的key和value,value支持完全匹配和正则匹配。 允许访问的操作系统:请选择允许访问的操作系统。 允许访问的浏览器:请选择允许访问的浏览器。
选择User-Agent:将以HTTP请求中的User_agent来计算哈希,UA哈希值相同的请求将会转发至同一个实例进行处理。 流量治理也支持用户使用自定义Key来计算哈希,只需选择自定义模式并且输入键的名称。 根据Cookie键中的内容获取哈希:支持用户输入Cookie键的名称,转发方式则由设定的
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
