检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
labels: istio: ingressgateway configPatches: - applyTo: NETWORK_FILTER # http connection manager is a filter in Envoy match:
p/sidecar-injection/。 Istio资源格式不同。旧版ASM创建的网格和新版ASM创建的网格管理的Istio资源(VirtualService和DestinationRule)格式不同。 灰度发布功能不兼容。例如:在新版ASM加入网格的服务不支持在旧版ASM进行
多端口的服务创建灰度任务时报不合法的请求体,提示“ASM.0002 不合法的请求体”。 排查思路 登录ASM控制台,按“F12”,切换到Network页签查看接口。发现post请求创建release接口全部返回400,查看返回内容提示如下信息: some ports of the service
get Secret --all-namespaces -o yaml > all-secret.yaml kubectl get VirtualService --all-namespaces -o yaml > all-vs.yaml kubectl get DestinationRule
test-payment multiCluster: clusterName: test-yy network: test-yy-network proxy: autoInject: enabled remotePilotAddress:
数据面sidecar升级不中断业务 应用服务网格作为集群网络管理的重要工具,为网格内的服务提供流量治理与流量监控的能力。sidecar作为应用服务网格数据面的重要组件,需要依赖服务业务pod的更新来实现sidecar的升级和重新注入。 本章节主要介绍如何实现数据面sidecar升级过程中,不中断服务的业务流量。
完全匹配:只有完全匹配上才能生效。例如映射URL为/healthz,则必须为此URL才能访问。 支持通过YAML方式配置正则匹配规则,修改VirtualService配置文件即可: ... http: - delegate: name: nginx-80
如果多个服务对应一个工作负载(Deployment),则不允许将这些服务加入网格进行治理,因为可能出现灰度发布、网关访问等功能异常。 如果服务的工作负载使用主机网络模式(Pod配置了hostNetwork: true),则不支持注入sidecar。 服务诊断 登录应用服务网格控制台,单击服务网格的名称,进入网格详情页面。
应用服务网格与其他服务的关系 表1 应用服务网格与其他服务的关系 服务名称 应用服务网格与其他服务的关系 主要交互功能 云容器引擎 CCE 云容器引擎(Cloud Container Engine,CCE)提供高可靠高性能的企业级容器应用管理服务,支持Kubernetes社区原生应用和工具,简化云上自动化容器运行环境搭建。
创建网关。 约束与限制 支持启用双栈网格的约束。 网格类型 Istio版本 支持启用的集群类型 集群网络类型 其他说明 基础版 1.18及以上 CCE Turbo集群 云原生网络2.0 集群需要已启用IPv6,请参考通过CCE搭建IPv4/IPv6双栈集群 支持创建IPv4/IPv6网关的约束。
工具。 价值 默认的安全性:无需修改即可保证应用程序代码和架构的安全性。 纵深防御:与现有的安全系统结合并提供多层防御。 零信任网络:在不受信任的网络上构建安全解决方案。 优势 非侵入安全:应用服务网格是以一种安全基础设施的方式向用户提供透明的安全能力,让不涉及安全问题的代码安全
istio-system命令查看使用的ingressgateway是否有对应的IP和端口,且未处于pending状态。 核实加入服务网格的内部访问协议和添加网络配置的外部访问协议一致。 如果通过浏览器访问出现“ERR_UNSAFE_PORT”错误,是因为该端口被浏览器识别为危险端口,此时应更换为其他外部端口。
PU、内存占用率,边车版本,边车升级操作入口等信息。 “运行节点”页签:查看节点的相关信息,包括节点名称、状态、节点模式(独享)、可用区、私有IP地址、规格、可用CPU、可用内存。 “插件管理”页签:可以对grafana、prometheus、kiali、tracing四个插件进
Istio 1.12.4版本及以上 Istio 1.11.7版本及以上 规避和消减措施 除了升级版本没有有效的规避措施。将客户端对Istiod的网络访问限制在最小范围可以帮助减少某种程度上的漏洞的影响范围。 相关链接 Istio官方安全公告 Istio社区漏洞公告 父主题: 漏洞公告
CE控制台手动重启Pod。方法如下: 登录CCE控制台,在工作负载所在行,单击操作列的“更多 > 重新部署”。 检查工作负载是否配置了主机网络模式。方法如下: 登录CCE控制台,在工作负载所在行,单击操作列的“更多 > 编辑YAML”,查看是否配置了spec.template.spec
积。 是否开启Mutual TLS。 开启Mutual TLS:组件仅会通过基于TLS建立的安全信道通信。 关闭Mutual TLS:组件之间通过明文通信。 故障注入。 在故障类型中选择时延故障或中断故障。当前版本仅支持基于请求内容策略。 故障版本 故障所作用的版本。 故障类型
vice转发到Pod,建议值为节点级别(local)。流量最终转发给本节点上的Pod,而不会负载均衡到其他节点上的Pod,避免出现因跨节点网络故障而导致请求异常。 父主题: 网关Service
响应头X-ENVOY-UPSTREAM-SERVICE-TIME的内容 \ \ 4 该头代表UPSTREAM处理请求和Envoy与UPSTREAM之间的网络延迟 \"%REQ(X-FORWARDED-FOR)%\" 请求头X-FORWARDED-FOR的内容 \ \ "10.44.x.x" -
利用局部配置的方法,只给需要的业务打开此开关。 全局配置 执行以下命令,编辑IOP CR资源。 kubectl edit iop private-data-plane -n istio-system 在spec.values.global.proxy字段下添加以下配置: hol
在确定连接已失效前,要发送的保活探测的最大数量。默认使用操作系统级别配置(除非被覆盖,Linux默认为9) 1- 健康检查间隔(s) 保活探测之间的持续时间。默认使用操作系统级别配置(除非被覆盖,Linux默认为75秒) 0.001-2592000 连接超时时间(s) TCP连接超时时间,默认值为10秒
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
