检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
所有Pod是否都配置了app和version标签 问题描述 Service关联的所有Pod都必须配置app和version标签。app标签在流量监控中用于流量的跟踪,version标签在灰度发布中用于区分不同版本。如果存在未配置app或version标签的Pod,则报此异常。 修复指导 P
所有Pod的app和version标签是否都相等 问题描述 Service关联的所有Pod的app和version标签必须都相等。app标签在流量监控中用于流量的跟踪,version标签在灰度发布中用于区分不同版本。如果存在app或version标签不相等的Pod,则报此异常。 修复指导 P
支持通过ProxyConfig API配置Istio sidecar proxy 从Istio 1.10版本开始,Sidecar不再重定向流量到 loopback interface(lo),而是将流量重定向到应用的eth0。若您的业务pod监听到了lo,需要改成监听到eth0或者全零监听,否则升级后将导致服务无法访问。了解更多
添加网关 服务网关在微服务实践中可以做到统一接入、流量管控、安全防护、业务隔离等功能。 前提条件 服务网关使用弹性负载均衡服务(ELB)的负载均衡器提供网络访问,因此在添加网关前,请提前创建负载均衡。 创建负载均衡时,需要确保所属VPC与集群的VPC一致,详情请参见创建独享型负载
企业版网格添加集群时,选择非扁平网络,为什么查询不到ELB? 企业版网格添加集群时,如果选择非扁平网络,ASM会为集群创建一个东西向流量网关,需要绑定一个私网负载均衡实例ELB,作为其他集群流量的入口。ASM会查询集群所处VPC下的所有私网ELB(如果ELB绑定了公网IP会被过滤),支持选择共享型和独享
以及升级能力。 Istio控制面组件负责向数据面组件注入sidecar,管理数据面sidecar行为,下发策略配置,搜集监控数据等。其中,sidecar是指运行在业务Pod中,与业务容器协同工作,负责业务Pod的路由转发,监控数据采集,流量规则配置等功能。 “网格配置”中各个页签的功能如下:
ASM提供非侵入式的微服务治理解决方案,支持完整的生命周期管理和流量治理,兼容Kubernetes和Istio生态,其功能包括负载均衡、熔断、限流等多种治理能力。ASM内置金丝雀、蓝绿等多种灰度发布流程,提供一站式自动化的发布管理。ASM基于无侵入的监控数据采集,提供实时流量拓扑、调用链等服务性能监控和运行诊断,构建全景的服务运行视图。
方便用户便捷的进行灰度发布实践。在一个服务版本正常工作,正常处理流量的同时,用户可以创建一个新的灰度版本。当灰度版本启动成功后,引导用户配置灰度规则来切分流量。 灵活的灰度策略:灰度规则可以是基于权重的按比例切分流量,也可以根据服务访问的内容来将特定内容的请求发往灰度版本,对于常
接跳转到弹性云服务器页面。 根据节点“名称/ID”找到对应的云服务器,单击“变更规格”,即可对节点进行扩容操作。 图2 变更规格 插件管理 插件管理可以对grafana、prometheus、kiali、tracing四个插件进行安装和卸载,这些插件可以帮助用户进行流量治理与监测。详细步骤如下:
None 操作指导 应用服务网格 ASM 流量治理 01:56 流量治理 应用服务网格 ASM Bookinfo应用的灰度发布实践 12:04 Bookinfo应用的灰度发布实践 应用服务网格 ASM 全托管网格与多集群服务治理 16:07 全托管网格与多集群服务治理
配置诊断 应用服务网格会对管理集群下的所有服务进行诊断,诊断结果为正常的服务,方可进行流量治理、流量监控及灰度发布等操作。 约束与限制 如果多个服务对应一个工作负载(Deployment),则不允许将这些服务加入网格进行治理,因为可能出现灰度发布、网关访问等功能异常。 如果服务的
单击右上角的“创建虚拟私有云”。 如果无特殊需求,界面参数均可保持默认,单击“立即创建”。 详细参数说明可参考创建虚拟私有云和子网。 创建密钥对 新建一个密钥对,用于远程登录节点时的身份认证。 登录数据加密服务DEW控制台。 选择左侧导航中的“密钥对管理”,单击“创建密钥对”。 输入密钥对名称,单击“确定”。
定比例的流量到灰度版本。例如75%的流量走默认版本,25%的流量走灰度版本。实际应用时,可根据需求将灰度版本的流量配比逐步增大并进行策略下发,来观测灰度版本的表现情况。 图4 基于流量比例 流量配比:可以为默认版本与灰度版本设置流量配比,系统将根据输入的流量配比来确定流量在两个版本间分发的比重。
接数、连接超时时间等四层连接管理;支持异常点检查、故障实例的自动隔离和自动恢复 √ √ √ 治理流量类型 支持对服务间内部通信流量进行治理、支持对服务外网访问流量(即Ingress流量)进行治理 √ √ √ 运行环境支持 支持容器应用治理 √ √ √ 认证 非侵入的双向TLS认证和通道加密
NR(NoRouteFound)表示没有匹配的路由来处理请求的流量,一般伴随“404”状态码。 典型场景 实际的访问流量不匹配VirtualService中定义的路由匹配条件,因而没有找到匹配的路由处理流量。 典型日志 客户端出流量日志。 应对建议 客户端的流量满足路由中定义的流量特征,保证所有请求都有服务端定义的路由处理。
多集群场景安装的时候,15012端口是暴露在公网的,受攻击影响的可能性大一些。 根本原因 15012端口接收的请求不需要认证信息即可被Istiod处理,在大量向Istiod该端口发送请求时会导致Istiod服务不可用。 受影响版本 低于1.13.1版本的Istio 补丁修复版本 ASM 1.8.4-r5版本及以上
JWT(Json Web Token)是一种服务端向客户端发放令牌的认证方式。客户端用户名密码登录时,服务端会生成一个令牌返回给客户端;客户端随后在向服务端请求时只需携带这个令牌,服务端通过校验令牌来验证是否是来自合法的客户端,进而决定是否向客户端返回应答。从机制可以看到,这种基于请求
单击右上角的“创建虚拟私有云”。 如果无特殊需求,界面参数均可保持默认,单击“立即创建”。 详细参数说明可参考创建虚拟私有云和子网。 创建密钥对 新建一个密钥对,用于远程登录节点时的身份认证。 登录数据加密服务DEW控制台。 选择左侧导航中的“密钥对管理”,单击“创建密钥对”。 输入密钥对名称,单击“确定”。
众所周知,将传统的单体应用拆分为一个个微服务固然带来了各种好处,包括更好的灵活性、可伸缩性、重用性,但微服务也同样面临着特殊的安全需求,如下所示: 为了抵御中间人攻击,需要用到流量加密。 为了提供灵活的服务访问控制,需要用到TLS和细粒度访问策略。 为了决定哪些人在哪些时间可以做哪些事,需要用到审计工具。 面对这些需
入门概述 灰度发布是版本升级平滑过渡的一种方式,当版本升级时,使部分用户使用高版本,其他用户继续使用低版本,待高版本稳定后,逐步扩大范围把所有用户流量都迁移到高版本上面来。 本章将从创建虚拟私有云开始,到创建一个灰度版本,讲解如何实现一次灰度发布。 流程说明 实现灰度发布的流程包含以下步骤: