检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
ayload里不要存放私密的信息。 签名Signature 签名字段是对头部和负载的签名,确保只有特定合法的认证服务才可以发行令牌。实际使用中一般是把头部和负载分别执行Base64转换成字符串,然后使用认证服务的密钥对拼接的字符串进行签名,签名算法正是前面介绍的头域中定义的算法。
端到端的透明安全 适用场景 众所周知,将传统的单体应用拆分为一个个微服务固然带来了各种好处,包括更好的灵活性、可伸缩性、重用性,但微服务也同样面临着特殊的安全需求,如下所示: 为了抵御中间人攻击,需要用到流量加密。 为了提供灵活的服务访问控制,需要用到TLS和细粒度访问策略。 为
NotIn:亲和/反亲和对象的标签不在标签值列表(values字段)中。 Exists:亲和/反亲和对象存在指定标签名。 DoesNotExist:亲和/反亲和对象不存在指定标签名。 Gt:仅在节点亲和性中设置,调度节点的标签值大于列表值 (字符串比较)。 Lt:仅在节点亲和性中设置,调度节点的标签值小于列表值
sidecar注入失败可能的原因 sidecar注入失败常见场景和解决方案: 可能原因:网格管理实例数到达上限,无法继续注入。 检查方法:统计网格注入Pod总数是否已达上限。 登录应用服务网格ASM控制台,在网格列表页面查看您的网格卡片展示的实例个数是否达到网格规格。如果达到即网格注入Pod总数已达上限。
配置安全策略 ASM提供的安全功能主要分为访问授权、对端认证和JWT认证,以确保服务间通信的可靠性。 操作步骤 登录应用服务网格控制台,单击服务网格的名称,进入网格详情页面。 在左侧导航栏选择“服务管理”,在列表右上方选择服务所在命名空间。 选择一个服务,单击操作列的“安全”,在右侧页面进行访问授权和对端认证配置。
Sidecar未就绪导致Pod启动失败 问题背景 加入网格的服务有时可能遇到Pod启动失败,且一直重启。排查原因发现业务容器与外部通信时流量会经过istio-proxy容器,但业务容器比istio-proxy容器先启动,在istio-proxy容器没启动成功时,业务容器已经启动,与外部通信将会失败,Pod一直重启。
节点。 根据拓扑域确定节点范围后,然后再选择策略定义的内容(通过标签名、操作符、标签值确定)进行调度,调度时最小单位为拓扑域。例如,某个拓扑域中的一个节点满足负载亲和性规则,则该拓扑域中的节点均可以被调度。 标签名 设置工作负载亲和/反亲和性时,填写需要匹配的工作负载标签。 该标
如何解决应用数据获取失败的问题? 问题描述 服务添加完成后,在“服务列表”中,查看不到已创建的服务,页面提示“应用数据获取失败”。 排查思路 登录ASM控制台,按“F12”,切换到Network页签查看接口,接口全部返回200。查看Console输出存在如下报错: TypeError:
金丝雀升级失败常见场景及解决方案 进行金丝雀升级时,升级失败的常见场景和解决方案: CRD检查失败。 解决办法:新版本Istio 将不支持部分CRD,包括:clusterrbacconfigs 、serviceroles 、servicerolebindings 、policie
登录CCE控制台,进入对应集群详情页,在左侧导航栏选择“运维 > 模板管理”。 单击“模板实例”页签,查看模板实例和卸载失败最新事件。 可以看到istio-master模板实例的执行状态为“卸载失败”,并且最新事件提示如下信息: deletion failed with 1 error(s): clusterroles:rbac
Istiod TLS证书密钥滥用(CVE-2021-34824) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 TLS证书密钥滥用 CVE-2021-34824 2021-06-24 影响评分 9.1 高危 触发场景 同时满足下列三个条件: Istio版本为1
选择一个服务,单击操作列的“流量治理”,在右侧页面进行重试、超时、连接池、熔断、负载均衡、HTTP头域、故障注入策略的配置。 重试 服务访问失败自动重试,提高总体访问成功率和质量。 选择“重试”页签,单击“立即配置”,在弹出对话框中,根据实际需求配置如下参数: 表1 重试参数说明 参数名称
为什么我的集群不能启用网格? 问题描述 集群不能启用网格。 原因分析 暂不支持v1.21以下版本集群启用网格。 解决方法 检查您的集群版本,目前仅对v1.21及以上版本集群生效。 检查您的浏览器,请尽量使用Chrome浏览器访问服务,火狐等浏览器可能因为适配的问题,导致启用网格按钮灰化。
使用ingress中转方案 前提 确保准备工作已完成。 网格仅使用了网关能力。 已经创建和原网格网关同规格的ELB实例。 创建Ingress资源 证书secret从istio-system空间迁移到业务命令空间,可使用如下命令: kubectl -nistio-system get
eader信息进行传播。 例如:如果您基于review组件,配置了基于请求内容的灰度发布策略,通过访问productpage组件的界面,是无法看到效果的。 原因为,您的客户端访问productpage组件携带了HTTP请求的header信息,而productpage组件请求rev
灰度发布部署版本为什么不能更换镜像? 问题描述 灰度发布部署灰度版本时不能更换镜像类型。 原因分析 灰度发布针对服务的同一镜像,只允许选择不同的版本号。 解决方法 将所需镜像打包成同一镜像的不同版本并上传至镜像仓库。 父主题: 灰度发布
添加的对外访问方式不能生效,如何排查? 出现上述问题可能是访问相关的资源配置有缺失或错误,请按照如下方法进行排查: 通过弹性负载均衡服务界面查看使用的ELB是否成功监听使用的外部端口和弹性云服务器。 登录集群,使用kubectl get gateway -n istio-syst
Pod刚刚启动后,为什么不能立即看到流量监控数据? 请确保集群已开通APM。 流量监控对采集到的数据进行了聚合处理,需积累一分钟才能看到数据。 父主题: 流量监控
创建服务网关时,提示500错误 问题描述 一键创建体验应用Bookinfo时,提示“创建对外访问方式失败”。 排查思路 登录ASM控制台,按“F12”,切换到Network页签查看接口。发现post请求创建gateway接口全部返回500,查看返回内容提示如下信息: IP is not
一键创建体验应用部署成功以后,为何不能访问页面? 问题描述 一键创建体验应用部署成功后不能访问页面。 原因分析 弹性负载均衡ELB未成功监听端口。 解决方法 请在弹性负载均衡ELB中查看该端口监听器是否创建,后端服务器健康状态是否正常。弹性负载均衡监听器创建方法请参见监听器。 父主题:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
