检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
选择一个服务,单击操作列的“安全”,在右侧页面进行访问授权和对端认证配置。 访问授权 用来实现对网格中服务的访问控制功能,即判断一个请求是否允许发送到当前的服务。 选择“访问授权”,单击“立即配置”,在弹出对话框中,单击,选择指定命名空间下的一个或多个服务进行访问授权设置。 对端认证 Istio通过客户端和服务端的PEP(Policy
配置诊断 应用服务网格会对管理集群下的所有服务进行诊断,诊断结果为正常的服务,方可进行流量治理、流量监控及灰度发布等操作。 约束与限制 如果多个服务对应一个工作负载(Deployment),则不允许将这些服务加入网格进行治理,因为可能出现灰度发布、网关访问等功能异常。 如果服务的
出现上述问题可能是访问相关的资源配置有缺失或错误,请按照如下方法进行排查: 通过弹性负载均衡服务界面查看使用的ELB是否成功监听使用的外部端口和弹性云服务器。 登录集群,使用kubectl get gateway -n istio-system命令查看使用的gateway是否配置好使用的IP/域名和端口。使用kubectl
网格配置 网格配置概述 添加集群 sidecar管理 istio资源管理 升级 网格扩展 父主题: 用户指南(新版)
网格配置概述 网格配置提供了集群管理、系统组件管理、sidecar管理、istio资源管理以及升级能力。 Istio控制面组件负责向数据面组件注入sidecar,管理数据面sidecar行为,下发策略配置,搜集监控数据等。其中,sidecar是指运行在业务Pod中,与业务容器协同
服务访问失败自动重试,提高总体访问成功率和质量。 选择“重试”页签,单击“立即配置”,在弹出对话框中,根据实际需求配置如下参数: 表1 重试参数说明 参数名称 参数说明 取值范围 重试次数 单个请求允许的重试次数,间隔默认为25ms,实际的重试次数也取决于配置的超时时间和重试超时时间 1- 重试超时时间(s)
查看网格使用了几个ELB,新建同等数量和规格的ELB。 配置同步 方案一 手动同步网格配置(推荐) 手动在新建的网格上添加网关路由,并同步1.0企业版网格配置。 方案二 使用备份网格资源还原配置 查看企业版网格网关使用了几个ELB,使用新建的几个ELB进行替换,如下图所示使用了两个ELB: ELB1:(3dbb
Host/Authority头:使用此值重写HTTP/HTTPS的Host/Authority头。 域名单独配置路由 为网关中某个域名单独配置路由规则。 图1 添加路由 配置完成后,单击“确定”。 父主题: 网关管理
io资源类型有关。详细说明请参见YAML配置资源处理策略。 支持以YAML或JSON格式显示,同时可以将配置文件下载到本地。 创建新的istio资源 登录应用服务网格控制台,单击服务网格的名称,进入网格详情页面。 在左侧导航栏选择“网格配置”,单击“istio资源管理”页签。 单击列表左上方的“创建”。
sidecar注入失败常见原因请参考sidecar注入失败可能的原因。 流量拦截配置 默认情况下,ASM所注入的sidecar会拦截所有入方向和出方向流量,可通过流量拦截配置修改默认的流量拦截规则。 入方向端口:可用于配置端口级别拦截规则,生效于网格服务的内部端口,以逗号分隔入站端口。 仅拦
若使用了该功能,则需要在迁移过程中暂时删除访问授权。 查看查询到的RequestAuthentication, 若使用了该功能,则需要在迁移过程中暂时删除请求认证。 解除业务上使用k8s域名进行跨集群访问。 新建集群和网格 登录CCE 控制台,选择在当前企业版集群所在的同VPC下创建集群。 重新部署业务。 在AS
YAML配置VirtualService资源后,控制台对应服务的流量治理、灰度发布将不可用)。 处理策略 在“网格配置 > Istio资源管理”页面编辑或创建服务关联的Istio资源时,页面底部会默认勾选“控制台相关功能不开放使用”,当保持勾选状态并单击“确定”后,配置生效,但该
default:8089,若第二步未操作,则直接替换为网关地址) 创建灰度任务,切部分流量到修改了配置的新版本 验证功能正常后将流量都切到新版本 迁移集群 删除该集群上部署的网关。在待迁移网格详情页,网关管理页面查看待迁移集群上有几个网关路由。即“所属集群”字段是待迁移集群的全部网关。 将对应的集群移除出企业版网格。
若用户没有应用服务网格权限,在登录应用服务网格控制台时会弹框提醒授权,单击“确定”即可完成授权,该授权永久生效。 asm_admin_trust包含的权限有:Tenant Guest和CCE FullAccess。在2024年7月前已进行授权的用户可能存在委托权限过大的问题,鉴于安全考虑,建议
需要注意的是,在部署新网格版本控制面时,istio-ingressgateway和istio-egressgatway的新版本也会同时部署,新老网格版本的网关将同时工作。 金丝雀升级流程 金丝雀升级流程包括升级前检查、控制面升级、数据面升级、升级后处理几个步骤,下面介绍金丝雀升级过程中的相关流程。
修改。 处理策略 为了避免多个入口的配置相冲突,以及确保Istio各工作负载持续稳定运行,ASM 1.8.6及以上版本采取如下策略: 定义工作负载的关键运行配置和非关键运行配置 表1 各资源类型下的关键运行配置 工作负载 资源类型 配置项 配置项描述 适用版本 istiod istio-ingressgateway
服务是否配置了默认版本的服务路由,路由配置是否正确 问题描述 Istio在VirtualService和DestinationRule中定义了服务的流量路由规则,所以需要为每个服务配置VirtualService和DestinationRule,需要满足以下的规则: Virtua
集 EnvoyFilter增强,支持更多灵活的Insert操作 支持VM类型服务治理 启用基于AuthorizationPolicy的新的授权策略 支持Istio 1.8.4、1.8.6版本 支持v1.15、v1.17、v1.19和v1.21 CCE集群版本 详细内容请参阅:https://istio
如果服务“servicetest”无法选择,需要确认服务是否异常,修复后才能选择。 单击“配置流量策略”,选择“基于流量比例”策略类型,为v2(灰度版本)配置“流量配比”为80%。 图2 配置流量策略 单击“策略下发”。 灰度策略的生效需要几秒的时间,您可以在监测灰度运行状态页面,观察灰度版本的运行状态。
网关如何配置最大并发流max_concurrent_streams 登录网关所在的集群任意节点执行以下命令,创建资源。 cat>"stream-limit-envoyfilter.yaml"<<EOF apiVersion: networking.istio.io/v1alpha3
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
