检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
按需计费 适用场景 按需计费适用于具有不能中断的短期、突增或不可预测的应用或服务,例如电商抢购、临时测试、科学计算。 适用计费项 网格管理规模,指服务网格可管理的最大实例数(Pod个数)。 计费周期 按需计费资源按秒计费,每一个小时整点结算一次费用(以UTC+8时间为准),结算完
虚拟机服务添加网关和路由 网关(Gateway)定义了在网格出入口操作的负载均衡器,用于接收传入或传出的HTTP/TCP连接。 前提条件 已执行添加虚拟机服务到网格,即已创建v1版本的WorkloadEntry、ServiceEntry,已创建VirtualService、DestinationRule。
简单安装时,Istiod是从集群内获取的,受攻击的可能性小一点。 多集群场景安装的时候,15012端口是暴露在公网的,受攻击影响的可能性大一些。 根本原因 15012端口接收的请求不需要认证信息即可被Istiod处理,在大量向Istiod该端口发送请求时会导致Istiod服务不可用。 受影响版本 低于1.13.1版本的Istio
虚拟机服务访问虚拟机服务 启动ASM-PROXY后,虚拟机服务之间可以互相访问,如下图所示。 验证流程 准备两台ECS虚拟机。 虚拟机1请参考部署ASM-PROXY部署PROXY,虚拟机2可以不用部署。但请确保虚拟机间网络正常,且安全组、防火墙已放通。 在虚拟机1上部署httptest应用。
TLS加密的密文,且必须带有客户端证书。 JWT认证 在服务网格中配置JWT(JSON Web Token)请求授权,可以实现来源认证。在接收用户请求时,该配置用于认证请求头信息中的Access Token是否可信,并授权给来源合法的请求。 仅支持为HTTP协议的服务配置JWT认证。
验证服务访问 虚拟机服务访问容器服务 容器服务访问虚拟机服务 虚拟机服务访问虚拟机服务 父主题: 虚拟机治理
流量治理 通过修改负载均衡方式,进行故障注入测试及配置基本连接池管理。 配置流量策略 登录应用服务网格控制台,在左侧导航栏中选择“流量治理”。 选择组件所在的集群和命名空间。 在拓扑图中,单击组件名称。在服务流量策略中,进行流量策略配置。 负载均衡算法 ROUND_ROBIN:轮询,默认负载均衡算法。
如上图的架构图所示,otel-collector包含了四个模块: Receivers 接收器Receivers是遥测数据进入otel-collector的方式,可以是推送或拉取。Receivers可以以多种格式接收遥测数据,例如上图中的OTLP、Jaeger、Prometheus格式。 Processors
x-b3-sampled x-b3-flags x-ot-span-context 下面以一个典型的例子来说明如何在接收和发送请求时,通过修改代码来传递调用链相关Header信息。 Python代码示例 服务接收端在处理请求时,从请求端解析相关Header。在调用后端请求时,传递Trace相关的header。
x-b3-sampled x-b3-flags x-ot-span-context 下面以一个典型的例子来说明如何在接收和发送请求时,通过修改代码来传递调用链相关Header信息。 Python代码示例 服务接收端在处理请求时,从请求端解析相关Header。在调用后端请求时,传递Trace相关的header。
配置相应的灰度策略,将原有生产环境的默认版本的流量引流一部分到新版本中。 下面将以为“reviews”服务添加一个v3新版本,且v3新版本接收Bookinfo应用的30%流量为例进行配置。 部署灰度版本 在左侧导航中选择“灰度发布”,在金丝雀发布下,单击“立即发布”。 配置灰度发布基本信息。
容器服务访问虚拟机服务 启动ASM-PROXY后,容器内的服务可以访问虚拟机上的服务,如下图所示。 验证流程如下: 部署虚拟机服务:在虚拟机中部署httptest应用。 部署容器服务:在CCE集群中部署容器服务tomcat。 添加虚拟机服务到网格:不同于容器服务有自动注册能力,当
虚拟机服务访问容器服务 启动ASM-PROXY后,虚拟机服务可以访问容器内的服务,如下图所示。 验证流程如下: 部署容器服务:在CCE集群中部署容器服务tomcat。 容器服务加入网格:将tomcat服务加入网格,确保服务诊断状态为正常。 访问容器服务:编辑虚拟机的/etc/ho
从服务级别下钻到服务版本级别,还可以进一步下钻到服务实例级别。通过实例级别的拓扑可以观察到配置了熔断规则后,网格如何隔离故障实例,使其逐渐接收不到流量。并且可以在故障实例正常时,如何进行实例的故障恢复,自动给恢复的实例重新分配流量。 父主题: 应用场景
yload和签名Signature。 头部Header 头部描述JWT的元数据,包括算法alg和类别typ等信息。alg描述签名算法,这样接收者可以根据对应的算法来验证签名,默认是如下所示的HS256,表示 HMAC-SHA256;typ表示令牌类型,设置为JWT,表示这是一个JWT类型的令牌。
端到端的透明安全 适用场景 众所周知,将传统的单体应用拆分为一个个微服务固然带来了各种好处,包括更好的灵活性、可伸缩性、重用性,但微服务也同样面临着特殊的安全需求,如下所示: 为了抵御中间人攻击,需要用到流量加密。 为了提供灵活的服务访问控制,需要用到TLS和细粒度访问策略。 为
束的流量才可访问到灰度版本。例如,仅Cookie满足“User=Internal”的HTTP请求才能转发到灰度版本,其余请求仍然由默认版本接收。 图5 基于请求内容 Cookie内容 正则匹配:此处需要您使用正则表达式来匹配相应的规则。 自定义Header 完全匹配:只有完全匹配
假设配置了kubectl的客户端机器称为kubectl节点,下文将一律使用kubectl节点进行描述。 在kubectl节点执行以下命令,创建临时工作目录。 export VM1_DIR="<a working directory for vm1>" mkdir -p ${VM1_DIR}
er/Zipkin服务”,当选择“第三方Jaeger/Zipkin服务”时,需要配置“服务地址”和“服务端口”两个参数,即第三方调用链服务接收请求信息的地址和端口。 仅Istio 1.15及以上版本支持第三方调用链。 如果您要使用“第三方Jaeger/Zipkin服务”调用链,请
越大。一般适用于设备需求量长期稳定的成熟业务。 按需计费:一种后付费模式,即先使用再付费,按照网格实际使用时长计费,秒级计费,按小时结算。按需计费模式允许您根据实际业务需求灵活地调整资源使用,无需提前预置资源,从而降低预置过多或不足的风险。一般适用于电商抢购等设备需求量瞬间大幅波动的场景。