检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
华为云 应用服务网格 应用服务网格(Application Service Mesh,简称ASM)是华为云基于开源Istio推出的服务网格平台,它深度、无缝对接了华为云的企业级Kubernetes集群服务CCE,可为客户提供开箱即用的上手体验。 图说ASM 图说ASM 立即使用 立即使用
负载均衡,满足业务处理高可用性诉求。 熔断,实现服务间链路稳定、可靠。 网络长连接管理降低资源损耗,提升网络吞吐量。 服务安全认证、鉴权、审计等,提供服务安全保障基石。 图形化应用全景拓扑,流量治理可视化 应用服务网格提供了可视化的流量监控,链路健康状态、异常响应、超长响应时延、流量状态信息拓扑等一目了然。
应用场景 服务灰度发布 服务流量管理 端到端的透明安全 服务运行监控 传统微服务SDK结合
用户指南(新版) 欢迎使用应用服务网格 购买网格 网格管理 服务管理 网关管理 灰度发布 网格配置 流量治理 安全 监控中心
、大型活动策划等,包年/包月计费模式可以确保在整个项目周期内资源的稳定使用。 数据安全要求高:对于对数据安全性要求较高的业务,包年/包月计费模式可确保资源的持续使用,降低因资源欠费而导致的数据安全风险。 适用计费项 网格管理规模,指服务网格可管理的最大实例数(Pod个数)。 计费周期
封装多个应用容器(也可以只有一个容器)、存储资源、一个独立的网络 IP 以及管理控制容器运行方式的策略选项。 金丝雀发布 又称灰度发布,是迭代的软件产品在生产环境安全上线的一种重要手段。在生产环境上引一部分实际流量对一个新版本进行测试,测试新版本的性能和表现,在保证系统整体稳定运行的前提下,尽早发现新版本在实际环境上的问题。
除了升级版本没有有效的规避措施。将客户端对Istiod的网络访问限制在最小范围可以帮助减少某种程度上的漏洞的影响范围。 相关链接 Istio官方安全公告 Istio社区漏洞公告 父主题: 漏洞公告
欢迎使用应用服务网格 应用服务网格(Application Service Mesh,简称ASM)是基于开源Istio推出的服务网格平台,它深度、无缝对接了企业级Kubernetes集群服务云容器引擎(CCE),在易用性、可靠性、可视化等方面进行了一系列增强,可为客户提供开箱即用的上手体验。
传统微服务SDK结合 适用场景 传统SDK开发的服务希望使用服务网格能力。 希望将Istio与微服务平台集成,并以Istio为基础打造一个微服务管控中心。 价值 提供Spring Cloud、Dubbo等传统微服务SDK的集成解决方案,传统的微服务SDK开发的业务代码无需大的修改
且coreDNS组件运行正常。 启用Istio时,需要开通node节点所在安全组的入方向7443端口规则,用于sidecar自动注入回调。如果您使用CCE创建的默认安全组,此端口会自动开通。如果您自建安全组规则,请手动开通7443端口,以确保Istio自动注入能力正常。 背景信息
什么是应用服务网格 应用服务网格(Application Service Mesh,简称ASM)是华为云基于开源Istio推出的服务网格平台,它深度、无缝对接了华为云的企业级Kubernetes集群服务云容器引擎(CCE),在易用性、可靠性、可视化等方面进行了一系列增强,可为客户提供开箱即用的上手体验。
CACHE=false来关闭Istiod缓存。但是,在关闭了XDS缓存后,系统和Istiod的性能可能会受影响。 相关链接 Istio官方安全问题汇总 CVE漏洞公告 父主题: 漏洞公告
台功能冲突,请谨慎选择。 表1 勾选“控制台相关功能不开放使用”对服务的控制台功能的影响 现象 可能原因 在“服务管理”页面,目标服务的“安全”按钮置灰,不可选择 通过YAML方式修改了AuthorizationPolicy资源 在“服务管理”页面,目标服务的“流量治理”按钮置灰,不可选择
集群中不能存在名称相同的不同服务。 加入网格后,会修改集群安全组规则,以保证服务能被其他集群访问。 配置完成后,勾选“我已阅读以下内容”,单击“确定”。 配置服务网关 服务网关在微服务实践中可以做到统一接入、流量管控、安全防护、业务隔离等功能。 创建服务网关前,请提前创建好弹性负
供的控制平面。ASM-PROXY部署在虚拟机节点中,负责与ASM通信获取xDS信息,拦截非容器应用流量并执行网格化操作,例如流量管理、请求安全认证、上报链路追踪数据等。 在服务发现上,虚拟机形态的服务通过WorkloadEntry来描述一个虚拟机上安装了Proxy的实例,该虚拟机
本文也将着重介绍企业版网格的部署架构和工作原理。 基础版网格 在用户集群中安装网格的控制面组件,对集群内的服务进行非侵入式的治理、遥测和安全等管理。支持Istio 1.8、1.13、1.15和1.18,只能够对一个集群进行管理,且最大管理实例数为200。 如图1所示,istio
为了保证虚拟机与CCE集群的Pod互通,准备的虚拟机需要与CCE集群处于同一VPC内。 虚拟机需放通安全组,入方向需添加到<cluster-name>-cce-control安全组的规则,否则ping不通Pod IP。 获取根证书 通过kubectl访问CCE集群。 登录云容器引
用来将虚拟机(VM)或者裸金属(Bare Metal)进行抽象,使其在网格化后作为与Kubernetes中的Pod同等重要的负载,具备流量管理、安全管理、可视化等能力。 父主题: istio资源管理
实例第一次被隔离的时间,之后每次隔离时间为隔离次数与最短隔离时间的乘积。 是否开启Mutual TLS。 开启Mutual TLS:组件仅会通过基于TLS建立的安全信道通信。 关闭Mutual TLS:组件之间通过明文通信。 故障注入。 在故障类型中选择时延故障或中断故障。当前版本仅支持基于请求内容策略。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
