检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
快速定位到问题点。 使用约束 流量监控记录的是组件过去24小时内的数据,所以当部分组件删除后并不能及时的在拓扑图上消失,而是会仍然存在一段时间。 流量治理中的故障注入功能,不能作用于基于请求比例灰度发布的场景。只接受单一版本或基于请求内容灰度发布的场景。 托管网格多集群场景下,只
网格管理规模,指服务网格可管理的最大实例数(Pod个数)。 计费周期 包年/包月ASM的计费周期是根据您购买的时长来确定的(以UTC+8时间为准)。一个计费周期的起点是您创建网格成功或续费资源的时间(精确到秒),终点则是到期日的23:59:59。 例如,如果您在2023/03/08 15:50:04购买了一
求,如下所示: 为了抵御中间人攻击,需要用到流量加密。 为了提供灵活的服务访问控制,需要用到TLS和细粒度访问策略。 为了决定哪些人在哪些时间可以做哪些事,需要用到审计工具。 面对这些需求应用服务网格提供全面的安全解决方案,包括身份验证策略,透明的TLS加密以及授权和审计工具。 价值
out)表示上游请求超时,一般伴随返回“504”的HTTP状态码。 典型场景 VirtualService中给目标服务配置了超时时间,在配置的超时时间后,客户端代理自动超时,取消请求。 典型日志 客户端出流量日志。 应对建议 用户为了保证目标服务快速失败,配置了服务访问超时,超时会返回该应答标记,无需特殊处理。
containers[i].readinessProbe 其中,包括探针检查初始时间,检查间隔,超时时间等配置。 设置服务就绪时间 服务就绪时间,minReadySeconds:用于标识pod的ready时间至少保持多长时间,才会认为服务是运行中。 相关配置如下: kubectl get deploy
Pod优雅删除 Istio-proxy容器终止排出时间 Pod缩容时间窗 父主题: 网关工作负载
围内连接呈黄色;当错误率大于10%连接呈红色。 单击拓扑中的服务节点,可以查看当前服务在所选时间内的指标数据;单击拓扑中某条连接,可以查看当前连接在所选时间内的指标数据。 自定义查询时间范围不能大于7天。 父主题: 监控中心
配置。 策略类型:分为“基于流量比例”和“基于请求内容”两种类型,通过页签选择确定。 基于流量比例 根据流量比例配置规则,从默认版本中切分指定比例的流量到灰度版本。例如75%的流量走默认版本,25%的流量走灰度版本。实际应用时,可根据需求将灰度版本的流量配比逐步增大并进行策略下发,来观测灰度版本的表现情况。
HTTP场景含义 TCP场景含义 UDP场景含义 样例 备注 [%START_TIME%] 请求开始时间,毫秒 Downstream发起连接的时间 UDP proxy会话开始的时间 [2020-11-25T21:26:18.409Z] - \"%REQ(:METHOD)% %RE
指在同一区域下,电力、网络隔离的物理区域,可用区之间内网互通,不同可用区之间物理隔离。如果您需要提高工作负载的高可靠性,建议您将云服务器创建在不同的可用区。 版本 指定购买的Istio版本。 网格名称 新建服务网格的名称,取值必须以小写字母开头,由小写字母、数字、中划线(-)组成,且不能以中划线(-)结尾。
用一个容易记住的名称,如KeyPair-xxxx_asm。 图4 创建密钥对 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称,文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 为保证安全,私钥只能下载一次,请妥善保管,否则将无法登录节点。
health-check-option protocol:健康检查的协议。 delay:健康检查间隔(秒)。 timeout:健康检查的超时时间(秒)。 max_retries:健康检查的最大重试次数。 也可在步骤1服务页面单击操作列的“更新”在更新服务页面进行设置。 父主题: 网关Service
登录集群A的一个节点,访问集群B的内网apiserver地址。 curl https://192.168.0.180:5443 -ik 如果对端长时间没有回复,说明网络存在问题,需要重新检查配置。 集群B访问集群A的验证方法相同。 访问对端集群的容器IP(非扁平网络跳过) 本端和对端集群
未认证的控制面DoS攻击(CVE-2022-23635) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 DoS CVE-2022-23635 2022-02-22 影响评分 7.5 高危 触发场景 简单安装时,Istiod是从集群内获取的,受攻击的可能性小一点。
Istiod TLS证书密钥滥用(CVE-2021-34824) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 TLS证书密钥滥用 CVE-2021-34824 2021-06-24 影响评分 9.1 高危 触发场景 同时满足下列三个条件: Istio版本为1
在部署应用的过程中,应用始终在线。并且新版本上线过程中,不会修改老版本的任何内容,在部署期间老版本状态不受影响。只要老版本的资源不被删除,可以在任何时间回滚到老版本。 灰度发布流程 在ASM中,用户无需使用繁琐的命令行配置,只需通过清晰友好的图形界面,就可轻松直观的完成灰度发布整个过程,如图1。
{serviceName} version: v1 修改或删除Deployment会触发Pod滚动升级,可能会导致业务短暂中断,请根据业务场景选择适当的时间修改。 复制原有工作负载配置,保存为YAML文件。 kubectl get deployment {deploymentName} -n {namespace}
图1 金丝雀发布流程 蓝绿发布 蓝绿发布提供了一种零宕机的部署方式,是一种以可预测的方式发布应用的技术,目的是减少发布过程中服务停止的时间。在保留老版本的同时部署新版本,将两个版本同时在线,新版本和老版本相互热备,通过切换路由权重的方式(非0即100)实现应用的不同版本上线或
gion已开通。 约束与限制 流量监控记录的是组件过去24小时内的数据,所以当部分组件删除后并不能及时的在拓扑图上消失,而是会仍然存在一段时间。 企业版网格多集群场景下,只支持集群内部服务之间的流量监控,暂时不支持跨集群服务之间的流量监控。 查看流量监控情况 登录应用服务网格控制
Service的端口名称是否符合istio规范 问题描述 Service端口名称必须包含指定的协议和前缀,按以下格式命名: name: <protocol>[-<suffix>] 其中,<protocol>可以是http、tcp、grpc等,Istio根据在端口上定义的协议来提供对应的路由能力。例如“name:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
