检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
漏洞公告 未认证的控制面DoS攻击(CVE-2022-23635) Istiod TLS证书密钥滥用(CVE-2021-34824)
未认证的控制面DoS攻击(CVE-2022-23635) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 DoS CVE-2022-23635 2022-02-22 影响评分 7.5 高危 触发场景 简单安装时,Istiod是从集群内获取的,受攻击的可能性小一点。
Istiod TLS证书密钥滥用(CVE-2021-34824) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 TLS证书密钥滥用 CVE-2021-34824 2021-06-24 影响评分 9.1 高危 触发场景 同时满足下列三个条件: Istio版本为1
单击“确定”完成创建。 访问虚拟机服务 在kubectl节点执行以下命令,获取tomcat工作负载的Pod名称。 kubectl get pods -n <vmns>|grep tomcat 回显示例: tomcat-75cbb4b948-nzrfs 2/2 Running
启动ASM-PROXY后,虚拟机服务可以访问容器内的服务,如下图所示。 验证流程如下: 部署容器服务:在CCE集群中部署容器服务tomcat。 容器服务加入网格:将tomcat服务加入网格,确保服务诊断状态为正常。 访问容器服务:编辑虚拟机的/etc/hosts文件,添加域名解析,然后通过curl命令访问容器服务。
网格中已为httpbin服务创建可访问的网关。 创建JWT认证 创建JWK。 访问JWT工具网站,选择“Algorithm”为“RS512”,获取公钥(PUBLIC KEY)。 图1 生成公钥 在JWK to PEM Convertor online工具中选中“PEM-to-JWK (RSA Only)”,输入
理自动注入、支持Namespace级别和工作负载级别的注入管理 √ √ √ 代理形态 支持每Pod的Sidecar模式 √ √ √ 命令行工具 支持使用命令行进行流量策略管理(如istioctl、kubectl) - √ √ 企业版高阶能力 多集群 支持扁平网络多集群统一流量治理
理自动注入、支持Namespace级别和工作负载级别的注入管理 √ √ √ 代理形态 支持每Pod的Sidecar模式 √ √ √ 命令行工具 支持使用命令行进行流量策略管理(如istioctl、kubectl) - √ √ 企业版高阶能力 多集群 支持扁平网络多集群统一流量治理
25、v1.27 CCE集群版本 修复了 CVE-2023-44487、CVE-2023-39325、CVE-2023-27487 等安全漏洞 详细内容请参阅:https://istio.io/latest/news/releases/1.15.x/announcing-1.15
验证故障注入 在CCE集群中部署容器服务tomcat,具体操作请参见部署容器服务。 在kubectl节点执行以下命令,获取tomcat工作负载的Pod名称。 kubectl get pod -n <vmns>|grep tomcat 回显示例: tomcat-75cbb4b948-nzrfs
YAML文件。 文件名:tomcat-default-gateway.yaml 其中, tomcat:为修改的服务名 tomcat-default-gateway:为该virtualservice名,格式为{服务名}-default-gateway tomcat-route:为修改virtualservice的名字
YAML文件。 文件名:tomcat-default-gateway.yaml 其中, tomcat:为修改的服务名 tomcat-default-gateway:为该VirtualService名,格式为{服务名}-default-gateway tomcat-route:为修改VirtualService的名字
现,在虚拟机场景下需要手动安装数据面Proxy(ASM-PROXY),在安装过程中初始化流量拦截。具体来说,ASM-PROXY是虚拟机部署工具包,用于连接虚拟机应用所在的数据平面与ASM提供的控制平面。ASM-PROXY部署在虚拟机节点中,负责与ASM通信获取xDS信息,拦截非容
DISABLE 在CCE集群中部署容器服务tomcat,具体操作请参见部署容器服务。 在kubectl节点执行以下命令,获取tomcat工作负载的Pod名称。 kubectl get pods -n <vmns>|grep tomcat 回显示例: tomcat-75cbb4b948-nzrfs
“配置管理”页签:支持公共配置和性能调优配置,请根据实际需求选择。详情请参见配置管理。 “istioctl”页签:使用Istio命令行工具配置路由策略。详情请参见使用Istio命令行工具配置路由策略。 单击托管网格的名称,查看数据面所有组件和Sidecar的业务pod信息。 “集群管理”页签:展示已
为了提供灵活的服务访问控制,需要用到TLS和细粒度访问策略。 为了决定哪些人在哪些时间可以做哪些事,需要用到审计工具。 面对这些需求应用服务网格提供全面的安全解决方案,包括身份验证策略,透明的TLS加密以及授权和审计工具。 价值 默认的安全性:无需修改即可保证应用程序代码和架构的安全性。 纵深防御:与现有的安全系统结合并提供多层防御。
云容器引擎(Cloud Container Engine,CCE)提供高可靠高性能的企业级容器应用管理服务,支持Kubernetes社区原生应用和工具,简化云上自动化容器运行环境搭建。 您可以为CCE集群启用服务网格功能,对集群中的服务进行治理。 购买CCE集群 弹性负载均衡 ELB 弹性负载均衡(Elastic
数据面sidecar升级不中断业务 应用服务网格作为集群网络管理的重要工具,为网格内的服务提供流量治理与流量监控的能力。sidecar作为应用服务网格数据面的重要组件,需要依赖服务业务pod的更新来实现sidecar的升级和重新注入。 本章节主要介绍如何实现数据面sidecar升级过程中,不中断服务的业务流量。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
