检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
选择{集群名}-cce-node-{随机ID}的安全组,单击操作列的“配置规则”,添加入方向规则。 协议端口:选择“基本协议/全部协议”。 源地址:填写1中获取的ccecluster02集群的容器网段。 按照上述方法,为ccecluster02集群的Node安全组入方向放通ccecluster01集群的容器网段。
创建服务网关时,提示500错误 问题描述 一键创建体验应用Bookinfo时,提示“创建对外访问方式失败”。 排查思路 登录ASM控制台,按“F12”,切换到Network页签查看接口。发现post请求创建gateway接口全部返回500,查看返回内容提示如下信息: IP is not
络的介绍,请参见非扁平网络。 测试网络是否已连通。 访问对端集群的VPC IP。 登录集群A的一个节点,访问集群B的内网apiserver地址。 curl https://192.168.0.180:5443 -ik 如果对端长时间没有回复,说明网络存在问题,需要重新检查配置。 集群B访问集群A的验证方法相同。
存占用率,边车版本,边车升级操作入口等信息。 “运行节点”页签:查看节点的相关信息,包括节点名称、状态、节点模式(独享)、可用区、私有IP地址、规格、可用CPU、可用内存。 “插件管理”页签:可以对grafana、prometheus、kiali、tracing四个插件进行安装和
默认为该服务的镜像。 镜像版本 请选择灰度版本的镜像版本。 自定义镜像 用户可通过自定义镜像自行配置本地或第三方镜像地址,灰度发布镜像将采用所配置镜像。注意需确保自定义镜像地址有效,镜像可拉取。 图2 灰度版本信息 图3 灰度版本信息 单击“发布”,灰度版本开始创建。 请确保灰度版本的
卸载ASM-PROXY 如果已完成虚拟机治理任务,可以将其中的ASM-PROXY卸载,释放资源。 删除已添加的iptables规则 以root用户登录虚拟机。 执行以下命令删除添加的istio iptables规则。 iptables -t nat -D PREROUTING -p
最关键的两个资源,在VirtualService中定义了一组路由规则,当流量进入时,逐个规则进行匹配,直到匹配成功后将流量转发给指定的路由地址。 WorkloadEntry 用来将虚拟机(VM)或者裸金属(Bare Metal)进行抽象,使其在网格化后作为与Kubernetes中
ookie中的User为键,则通过计算User对应的值的哈希来确认转发规则。 根据Sourcelp中的内容获取哈希:流量将会按照请求源IP地址的哈希值进行会话保持。 连接池管理。 最大连接数 到目标主机HTTP或TCP连接的最大数量。 最大请求重试次数 在指定时间内对目标主机最大重试次数。
对等连接可参考:创建同一账户下的对等连接。 云连接可参考:同区域同账号VPC互通。 非扁平网络对用户集群的网络模型没有特别的要求,用户集群只需要将Gateway地址暴露出来,供其他集群访问即可。但是因为使用集中的流量入口,性能瓶颈主要集中在网关上,而且多一次的转发,会对通信时延产生一定的影响。 在AS
服务网格如何支持自定义网段或端口拦截规则? 操作场景 某些场景下,用户希望能够指定拦截的IP网段,只有IP网段内的请求会被代理拦截;某些场景下,需要配置拦截规则仅针对特定端口的请求生效。以下将介绍两种拦截网段的配置方式。 负载级别配置拦截IP网段 通过配置业务deployment文件,可以在负载级别配置IP网段拦截:
置的认证策略中获取验证JWT令牌的公钥,可以是jwks(JSON Web Key Set)上配置的公钥,也可以是从jwksUri配置的公钥地址获取到的公钥。获得公钥后,网格代理使用该公钥对认证服务私钥签名的令牌进行验证,并解开令牌中的iss,验证是否匹配认证策略中的签发者信息。验
需要输入Cookie的键名,根据HTTP请求中的cookie的键名来计算哈希值,相同的值会转发到同一实例中。 基于源IP 根据HTTP请求中的源IP地址来计算哈希值,相同的值会转发到同一实例中。 基于query参数 需要输入query参数的键名,根据HTTP请求中的query参数名称来计算哈希值,相同的值会转发到同一实例中。
未认证的控制面DoS攻击(CVE-2022-23635) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 DoS CVE-2022-23635 2022-02-22 影响评分 7.5 高危 触发场景 简单安装时,Istiod是从集群内获取的,受攻击的可能性小一点。
添加的对外访问方式不能生效,如何排查? 出现上述问题可能是访问相关的资源配置有缺失或错误,请按照如下方法进行排查: 通过弹性负载均衡服务界面查看使用的ELB是否成功监听使用的外部端口和弹性云服务器。 登录集群,使用kubectl get gateway -n istio-syst
Istio CNI与Init容器兼容性问题 问题背景 Istio CNI 插件可能会导致使用了 initContainer 的应用出现网络连通性问题。 使用 Istio CNI 时,kubelet 会通过以下步骤启动一个注入的 Pod: Istio CNI 插件在 Pod 内设置流量重定向到
入门实践 当您购买应用网格服务后,可以根据自身业务需求使用ASM提供的常用实践。 实践 描述 数据面sidecar升级不中断业务 主要介绍如何实现数据面sidecar升级过程中,不中断服务的业务流量。 面向Dubbo协议的服务治理 Dubbo作为一种特有协议,需要有如下支持: 网
创建网格为什么会自动创建一个otel-collector工作负载? 问题描述 创建网格会自动创建一个otel-collector工作负载。 原因分析 ASM服务网格对接至集群后,会在命名空间monitoring下创建一个otel-collector工作负载。创建这个工作负载的原因
Service是否支持跨集群访问 问题描述 服务支持跨集群访问,需要满足以下规则: 每个集群中必须有和此服务所在命名空间同名的命名空间。 每个集群中,同名命名空间下有同名同类型的服务。 每个同名服务中的labels、端口信息,以及selector中的内容完全相同。 除服务本身所在
虚拟机服务访问虚拟机服务 启动ASM-PROXY后,虚拟机服务之间可以互相访问,如下图所示。 验证流程 准备两台ECS虚拟机。 虚拟机1请参考部署ASM-PROXY部署PROXY,虚拟机2可以不用部署。但请确保虚拟机间网络正常,且安全组、防火墙已放通。 在虚拟机1上部署httptest应用。
容器服务访问虚拟机服务 启动ASM-PROXY后,容器内的服务可以访问虚拟机上的服务,如下图所示。 验证流程如下: 部署虚拟机服务:在虚拟机中部署httptest应用。 部署容器服务:在CCE集群中部署容器服务tomcat。 添加虚拟机服务到网格:不同于容器服务有自动注册能力,当
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
