检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
基础版网格的控制面组件安装在用户集群,用户需要自行管理和维护集群内的控制面组件。 前提条件 已创建CCE集群,如果未创建,请参照购买CCE集群创建。 约束与限制 应用服务网格依赖集群CoreDNS的域名解析能力,请确保集群拥有足够资源,且CoreDNS插件运行正常。 集群启用Istio时
现灰度发布、流量管理、熔断、监控、拓扑、调用链等丰富的服务治理能力。 前提条件 已创建CCE混合集群,如果未创建,请参照购买CCE集群创建。 使用须知 Istio服务网格依赖集群coreDNS的域名解析能力,启用Istio服务网格前请确保集群拥有足够资源,且coreDNS组件运行正常。
常,且安全组、防火墙已放通。 在虚拟机1上部署httptest应用。 具体操作请参见部署虚拟机服务。 添加虚拟机1上的服务到网格。 具体操作请参见添加虚拟机服务到网格。 虚拟机2访问虚拟机1上的服务。 登录虚拟机2,执行vim /etc/hosts添加本地域名解析。 10.66.xx
cat。 容器服务加入网格:将tomcat服务加入网格,确保服务诊断状态为正常。 访问容器服务:编辑虚拟机的/etc/hosts文件,添加域名解析,然后通过curl命令访问容器服务。 部署容器服务 登录云容器引擎控制台,在“集群管理”页面单击集群名称,进入集群详情页。 在左侧导航栏选择“资源
登录集群,使用kubectl get gateway -n istio-system命令查看使用的gateway是否配置好使用的IP/域名和端口。使用kubectl get svc -n istio-system命令查看使用的ingressgateway是否有对应的IP和端口,且未处于pending状态。
Token。 准备工作 已创建一个1.13或1.15或1.18版本网格。 网格中有诊断通过的httpbin服务,镜像为httpbin,端口协议为http,端口号为80。 网格中已为httpbin服务创建可访问的网关。 创建JWT认证 创建JWK。 访问JWT工具网站,选择“Algor
其他配置参数根据实际情况填写。 当前IPv4/IPv6双栈网关添加IPv6外部访问地址时,只支持添加域名,通过域名访问,不支持添加IPv6地址访问。 验证方式 客户端通过配置域名解析,解析域名到网关的IPv6地址,可以通过域名访问实现IPv6客户端访问。 查看ingressgateway日志有对应IPv6请求日志信息。
用于接收传入或传出的HTTP/TCP连接。 前提条件 已执行添加虚拟机服务到网格,即已创建v1版本的WorkloadEntry、ServiceEntry,已创建VirtualService、DestinationRule。 已创建负载均衡实例,要求所属VPC为集群所在的VPC。 创建Loadbalancer服务
替换相应匹配的前缀。 Host/Authority头:使用此值重写HTTP/HTTPS的Host/Authority头。 域名单独配置路由 为网关中某个域名单独配置路由规则。 图1 添加路由 配置完成后,单击“确定”。 父主题: 网关管理
ingress和istio-gateway同时支持httpbin.example.com域名,通过更改host可以切换不同的流量。 业务切流 在本地host将域名对应的ELB IP地址改为新的ELB IP。 本地验证功能,验证成功后修改DNS 配置,将域名解析IP地址改为新ELB的IP。 迁移 登录应用服务网格
请根据业务的协议类型选择。 对外端口 开放在负载均衡服务地址的端口,可任意指定。 转发策略配置 域名 请填写组件对外发布域名。不配置访问地址默认为负载均衡实例IP地址。如果您开启了TLS认证,则必须填写证书内认证域名,以完成SNI域名校验。 URL匹配规则 前缀匹配:例如映射URL为/healthz,只要
替换相应匹配的前缀。 Host/Authority头:使用此值重写HTTP/HTTPS的Host/Authority头。 域名单独配置路由 为网关中某个域名单独配置路由规则。 图2 添加路由 配置完成后,单击“确定”。 网关添加完成后,可前往“服务管理”页面,获取服务外网访问地址。
数据面sidecar升级不中断业务 应用服务网格作为集群网络管理的重要工具,为网格内的服务提供流量治理与流量监控的能力。sidecar作为应用服务网格数据面的重要组件,需要依赖服务业务pod的更新来实现sidecar的升级和重新注入。 本章节主要介绍如何实现数据面sidecar升级过程中,不中断服务的业务流量。
业务切流有两种方案,可根据需要进行选择。 方案一 使用DNS切换后端ELB IP 在本地host将域名对应的ELB IP地址改为新的ELB IP。 本地验证功能,验证成功后修改DNS 配置,将域名解析IP地址改为新ELB的IP。 方案二 使用ServiceEntry和WorkloadEn
图1 ASM-PROXY部署流程 准备工作 已购买CCE集群,已在集群中创建虚拟机服务使用的命名空间(假设为vmns),已在该命名空间创建容器服务。具体操作请参见购买CCE集群。 已购买企业版网格,并添加集群到网格,虚拟机服务使用的命名空间已开启sidecar注入。具体操作请参购买网格、添加集群和sidecar管理。
terface到服务的映射关系。如可以使用在服务注册时通过扩展信息的方式提供服务名等信息。 客户实际使用中可以根据自己的SDK使用情况选择灵活的处理方式。对于老版本的SDK可以基于现有的服务注册和服务发现流程,做如下处理: 在注册信息中扩展Service的定义。在服务部署时会通过
为了提供灵活的服务访问控制,需要用到TLS和细粒度访问策略。 为了决定哪些人在哪些时间可以做哪些事,需要用到审计工具。 面对这些需求应用服务网格提供全面的安全解决方案,包括身份验证策略,透明的TLS加密以及授权和审计工具。 价值 默认的安全性:无需修改即可保证应用程序代码和架构的安全性。 纵深防御:与现有的安全系统结合并提供多层防御。
登录应用服务网格控制台,确认网格是否需要续费。判断方法如下: 列表上方是否提示已超期冻结需及时续费的网格。 网格计费模式中是否存在已超期或即将到期提示。 图1 已超期提示 图2 即将到期提示 若存在已超期或即将到期的网格,单击网格右上角的图标,进入续费页面。 选择续费时长,单击“
“istioctl”页签:使用Istio命令行工具配置路由策略。详情请参见使用Istio命令行工具配置路由策略。 单击托管网格的名称,查看数据面所有组件和Sidecar的业务pod信息。 “集群管理”页签:展示已添加的到网格中的集群信息,以及添加新的集群到网格,或移除已添加的集群。 “数据面组件管
Pod刚刚启动后,为什么不能立即看到流量监控数据? 请确保集群已开通APM。 流量监控对采集到的数据进行了聚合处理,需积累一分钟才能看到数据。 父主题: 流量监控
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
