检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
服务通过网关访问时,默认情况下,目标容器中看到的不是客户端的源IP,如果需要保留源IP,请参考本节指导操作。 配置方法 请在CCE控制台“服务发现”页面,istio-system命名空间下,更新服务所关联的网关服务,将服务亲和改成“节点级别”。前提是已开启ELB的获取客户端IP功能(当前为默认开启)。 exte
多端口的服务创建灰度任务时报不合法的请求体,提示“ASM.0002 不合法的请求体”。 排查思路 登录ASM控制台,按“F12”,切换到Network页签查看接口。发现post请求创建release接口全部返回400,查看返回内容提示如下信息: some ports of the service
ationRule中并没有定义该版本标识的服务子集。 典型日志 客户端日志。 应对建议 检查VirtualService和DestinationRule中定义的后端一致,保证VirtualService中引用的服务子集在DestinationRule中正确定义。 NR(没有匹配路由)
可能原因:控制面组件istiod异常。 检查方法:请检查istio-system命名空间下的istiod组件是否异常。 登录云容器引擎CCE控制台,依次单击您的集群名称-工作负载,选择istio-system命名空间,查看istiod-1-18-7-r4组件工作负载状态列是否是
如果多个服务对应一个工作负载(Deployment),则不允许将这些服务加入网格进行治理,因为可能出现灰度发布、网关访问等功能异常。 如果服务的工作负载使用主机网络模式(Pod配置了hostNetwork: true),则不支持注入sidecar。 服务诊断 登录应用服务网格控制台,单击服务网格的名称,进入网格详情页面。
数据面sidecar升级不中断业务 应用服务网格作为集群网络管理的重要工具,为网格内的服务提供流量治理与流量监控的能力。sidecar作为应用服务网格数据面的重要组件,需要依赖服务业务pod的更新来实现sidecar的升级和重新注入。 本章节主要介绍如何实现数据面sidecar升级过程中,不中断服务的业务流量。
网格控制面支持对Dubbo治理规则的配置。支持灰度发布、负载均衡、访问授权等服务管理。 另外,Dubbo的服务发现模型和Kubernetes、Spring Cloud等服务发现模型不一致,需要额外的处理。 父主题: 面向Dubbo协议的服务治理
需要配置拦截规则仅针对特定端口的请求生效。以下将介绍两种拦截网段的配置方式。 负载级别配置拦截IP网段 通过配置业务deployment文件,可以在负载级别配置IP网段拦截: 执行kubectl edit deploy –n user_namespace user_deployment
附录 1.3升级1.8 VirtualService支持Delegate切换 父主题: 用户指南(旧版)
每个集群中,同名命名空间下有同名同类型的服务。 每个同名服务中的labels、端口信息,以及selector中的内容完全相同。 除服务本身所在集群中的YAML文件annotations下带有asm/clusterId、asm/clusterName字段外,其他集群的同名服务都不包含上述字段。 通过以
升级 升级网格 1.3版本特性 1.6版本特性 1.8版本特性 1.13版本特性 1.15版本特性 1.18版本特性 1.3升级1.8 VirtualService支持Delegate切换 金丝雀升级 父主题: 网格配置
产品公告 Istio Operator保留用户关键运行配置说明 ASM企业版关闭创建入口说明 ASM关于istio-system、istio-operator命名空间下重要系统资源修改风险说明
为服务添加灰度版本 一个服务仅支持发布一个灰度版本,并支持为版本添加灰度策略。 基本概念 灰度版本 一个服务仅支持发布一个灰度版本,可以对灰度版本配置相应的灰度策略。 灰度策略 当您需要在生产环境发布一个新的待上线版本时,您可以选择添加一个灰度版本,并配置相应的灰度策略,将原有的
升级前vs格式检查(1.8及以上的版本不涉及)。 1.8及以上版本网格界面仅支持显示 delegate 格式的 VirtualService,请用户根据指南1.3升级1.8 VirtualService支持Delegate切换进行修改,否则升级后将看不到创建的网关路由。注:该检查项并不会导致升级失败。
需要的业务打开此开关。 全局配置 执行以下命令,编辑IOP CR资源。 kubectl edit iop private-data-plane -n istio-system 在spec.values.global.proxy字段下添加以下配置: holdApplicationUntilProxyStarts:
工具。 价值 默认的安全性:无需修改即可保证应用程序代码和架构的安全性。 纵深防御:与现有的安全系统结合并提供多层防御。 零信任网络:在不受信任的网络上构建安全解决方案。 优势 非侵入安全:应用服务网格是以一种安全基础设施的方式向用户提供透明的安全能力,让不涉及安全问题的代码安全
最新动态(html) 本文介绍了Huawei Cloud EulerOS产品新特性和对应的文档动态,新特性将在各个区域(Region)陆续发布,欢迎体验。
Istio 1.12.4版本及以上 Istio 1.11.7版本及以上 规避和消减措施 除了升级版本没有有效的规避措施。将客户端对Istiod的网络访问限制在最小范围可以帮助减少某种程度上的漏洞的影响范围。 相关链接 Istio官方安全公告 Istio社区漏洞公告 父主题: 漏洞公告
Secret中加载私钥和证书。对于Istio1.8及更高版本,Secret通过XDS API从Istiod传送到网关或工作负载。 网关或工作负载部署应该只能访问存储在其命名空间内的Kubernetes Secret中的凭证(TLS证书和私钥)。但是,Istiod中的一个错误允许授权客户端访问和检索缓存
vice转发到Pod,建议值为节点级别(local)。流量最终转发给本节点上的Pod,而不会负载均衡到其他节点上的Pod,避免出现因跨节点网络故障而导致请求异常。 父主题: 网关Service
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
