检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
网关或工作负载部署应该只能访问存储在其命名空间内的Kubernetes Secret中的凭证(TLS证书和私钥)。但是,Istiod中的一个错误允许授权客户端访问和检索缓存在Istiod中的任何TLS证书和私钥。 受影响版本 参考触发场景 补丁修复版本 ASM 1.8.4-r5版本及以上 Istio
级别的安全性。 多集群安全:在多集群场景下ASM提供了全局的服务访问安全。多个集群的网格共享一套根证书,给数据面的服务实例分发密钥和证书对,并定期替换密钥证书,根据需要撤销密钥证书。在服务间访问时,网格的数据面代理就会代理本地服务和对端进行双向认证、通道加密。这里的双向认证的服务
x_asm。 图1 创建密钥对 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称,文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 为保证安全,私钥只能下载一次,请妥善保管,否则将无法登录节点。 创建负载均衡 弹性
ERMISSIVE)的对端认证策略。 严格模式(STRICT) 流量只能通过隧道进行传输,因为请求必须是TLS加密的密文,且必须带有客户端证书。 JWT认证 在服务网格中配置JWT(JSON Web Token)请求授权,可以实现来源认证。在接收用户请求时,该配置用于认证请求头信息中的Access
x_asm。 图1 创建密钥对 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称,文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 为保证安全,私钥只能下载一次,请妥善保管,否则将无法登录节点。 创建负载均衡 弹性
基于请求内容发布策略对一些服务为什么没有生效? 问题描述 基于请求内容发布策略没有生效。 原因分析 基于请求内容发布策略只对直接访问的入口服务有效。 解决方法 如果希望对所有服务有效,需要业务代码对HEAD信息传播。方法可参考如何使用Istio调用链埋点。 父主题: 灰度发布
JWT认证流程 ① 客户端连接认证服务,提供用户名和密码; ② 认证服务验证用户名和密码,生成JWT令牌,包括用户标识和过期时间等信息,并使用认证服务的私钥签名; ③ 认证服务向客户端返回生成的JWT令牌; ④ 客户端将收到的JWT令牌存储在本端,供后续请求时使用; ⑤ 客户端在向其他服务发起
已经创建和原网格网关同规格的ELB实例。 创建Ingress资源 证书secret从istio-system空间迁移到业务命令空间,可使用如下命令: kubectl -nistio-system get secret {证书名} -oyaml > /tmp/{证书名}.yaml 进行如下修改: kubectl
1.3版本特性 基于Mixer的Metric、访问日志和调用链 支持SDS,证书轮换无需重启Pod 支持Sidecar API 控制面性能优化 华为私有版本Virtual Service Delegation上线,提前为大客户提供解耦Gateway流量配置 支持v1.13、v1.15、v1
x_asm。 图4 创建密钥对 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称,文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 为保证安全,私钥只能下载一次,请妥善保管,否则将无法登录节点。 创建负载均衡。 弹
对外协议为TLS时,可选择开启/关闭TLS终止。开启TLS终止时需要绑定证书,以支持TLS数据传输加密认证;关闭TLS终止时,网关将直接转发加密的TLS数据。 密钥证书 配置TLS协议并开启TLS时,需要绑定证书,以支持TLS数据传输加密认证。 配置HTTPS协议时,需要绑定密钥证书。 TLS最低版本/TLS最高版本
请确保您的集群已经成功启用Istio。 确认已经在“服务列表”页面添加了至少一个服务,且服务的状态为“运行中”。 确认完上述几点后,如果还没有数据,请检查您是否自行卸载过集群内的ICAgent系统组件。 父主题: 流量治理
LoadBalancerIP 原因分析 istio-system命名空间下有gatewayservice残留。残留原因是一键删除模板实例前没有删除已添加的对外访问配置。 解决方法 istio-system命名空间下残留gatewayservice,需要删除该service。 kubectl
客户端使用正确的协议访问目标服务。 NC(没有上游集群) 含义: NC(NoClusterFound) 表示没有上游集群,即在网格流量路由中定义的目标服务后端不存在。 典型场景 流量策略中定义的路由后端在网格中没有定义。如分流策略中流量发送给V2标识的服务子集,但是DestinationRule中并没有定义该版本标识的服务子集。
权限管理 若用户没有应用服务网格权限,在登录应用服务网格控制台时会弹框提醒授权,单击“确定”即可完成授权,该授权永久生效。 asm_admin_trust包含的权限有:Tenant Guest和CCE FullAccess。在2024年7月前已进行授权的用户可能存在委托权限过大的
访问对端集群的VPC IP。 登录集群A的一个节点,访问集群B的内网apiserver地址。 curl https://192.168.0.180:5443 -ik 如果对端长时间没有回复,说明网络存在问题,需要重新检查配置。 集群B访问集群A的验证方法相同。 访问对端集群的容器IP(非扁平网络跳过)
拓扑的流量健康与性能、调用链监控。 前提条件 您需要创建或已有一个可用集群,并确保集群版本为1.9及以上,且已启用Istio服务网格,如果没有请参照启用Istio服务网格中内容创建。 添加服务需要先创建无状态工作负载(Deployment),并且为每个Deployment添加一个
旧版ASM与新版ASM的区别如下: Sidecar注入方式不同。旧版ASM创建的网格没有开启Sidecar的命名空间注入,新版ASM创建的网格开启了Sidecar的命名空间注入,命名空间注入详见:https://istio.io/latest/docs/setup/additional
漏洞公告 未认证的控制面DoS攻击(CVE-2022-23635) Istiod TLS证书密钥滥用(CVE-2021-34824)
其中{revision} 为版本号,如1-13-9-r5),并重启部分pod进行测试,若无问题,则可以全部切换。 1.3和1.6版本升级到1.8版本,因为证书切换,sidecar需要同时全部重启。 数据面升级结束后,请等待所有升级中的工作负载滚动升级完成。 父主题: 金丝雀升级
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
