检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
流量治理要解决的问题类似如下: 动态修改服务间访问的负载均衡策略,比如配置一致性哈希将流量转发到特定的服务实例上; 同一个服务有两个版本在线,将一部分流量切到某个版本上; 服务保护,如限制并发连接数、限制请求数、隔离有故障的服务实例等; 动态修改服务中的内容,或者模拟一个服务运行故障等。
您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称,文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 为保证安全,私钥只能下载一次,请妥善保管,否则将无法登录节点。 创建负载均衡 弹性负载均衡将作为服务网格对外访问入口,被
验证流程 准备两台ECS虚拟机。 虚拟机1请参考部署ASM-PROXY部署PROXY,虚拟机2可以不用部署。但请确保虚拟机间网络正常,且安全组、防火墙已放通。 在虚拟机1上部署httptest应用。 具体操作请参见部署虚拟机服务。 添加虚拟机1上的服务到网格。 具体操作请参见添加虚拟机服务到网格。
流量治理是一个非常宽泛的话题,例如: 动态修改服务间访问的负载均衡策略,如配置一致性哈希将流量转发到特定的服务实例上。 同一个服务有两个版本在线,将一部分流量切到某个版本上。 对服务进行保护,例如限制并发连接数、限制请求数、隔离故障服务实例等。 动态修改服务中的内容,或者模拟一个服务运行故障等。
Turbo集群混合多集群场景,CCE集群服务访问Turbo集群服务时,需要为Turbo集群的ENI安全组入方向放通CCE集群的容器网段,否则会访问不通。具体操作请参见CCE集群服务访问CCE Turbo集群服务时,如何配置安全组规则?。 操作步骤 登录应用服务网格控制台,使用以下任意一种方式进入添加集群页面。
且coreDNS组件运行正常。 启用Istio时,需要开通node节点所在安全组的入方向7443端口规则,用于sidecar自动注入回调。如果您使用CCE创建的默认安全组,此端口会自动开通。如果您自建安全组规则,请手动开通7443端口,以确保Istio自动注入能力正常。 背景信息
本文也将着重介绍企业版网格的部署架构和工作原理。 基础版网格 在用户集群中安装网格的控制面组件,对集群内的服务进行非侵入式的治理、遥测和安全等管理。支持Istio 1.8、1.13、1.15和1.18,只能够对一个集群进行管理,且最大管理实例数为200。 如图1所示,istio
负载均衡,满足业务处理高可用性诉求。 熔断,实现服务间链路稳定、可靠。 网络长连接管理降低资源损耗,提升网络吞吐量。 服务安全认证、鉴权、审计等,提供服务安全保障基石。 图形化应用全景拓扑,流量治理可视化 应用服务网格提供了可视化的流量监控,链路健康状态、异常响应、超长响应时延、流量状态信息拓扑等一目了然。
用户指南(新版) 欢迎使用应用服务网格 购买网格 网格管理 服务管理 网关管理 灰度发布 网格配置 流量治理 安全 监控中心
应用场景 服务灰度发布 服务流量管理 端到端的透明安全 服务运行监控 传统微服务SDK结合
蓝绿发布提供了一种零宕机的部署方式,是一种以可预测的方式发布应用的技术,目的是减少发布过程中服务停止的时间。在保留老版本的同时部署新版本,将两个版本同时在线,新版本和老版本相互热备,通过切换路由权重的方式(非0即100)实现应用的不同版本上线或者下线,如果有问题可以快速地回滚到老版本。 图2 蓝绿发布流程
除了升级版本没有有效的规避措施。将客户端对Istiod的网络访问限制在最小范围可以帮助减少某种程度上的漏洞的影响范围。 相关链接 Istio官方安全公告 Istio社区漏洞公告 父主题: 漏洞公告
CACHE=false来关闭Istiod缓存。但是,在关闭了XDS缓存后,系统和Istiod的性能可能会受影响。 相关链接 Istio官方安全问题汇总 CVE漏洞公告 父主题: 漏洞公告
集群中不能存在名称相同的不同服务。 加入网格后,会修改集群安全组规则,以保证服务能被其他集群访问。 配置完成后,勾选“我已阅读以下内容”,单击“确定”。 配置服务网关 服务网关在微服务实践中可以做到统一接入、流量管控、安全防护、业务隔离等功能。 创建服务网关前,请提前创建好弹性负
台功能冲突,请谨慎选择。 表1 勾选“控制台相关功能不开放使用”对服务的控制台功能的影响 现象 可能原因 在“服务管理”页面,目标服务的“安全”按钮置灰,不可选择 通过YAML方式修改了AuthorizationPolicy资源 在“服务管理”页面,目标服务的“流量治理”按钮置灰,不可选择
供的控制平面。ASM-PROXY部署在虚拟机节点中,负责与ASM通信获取xDS信息,拦截非容器应用流量并执行网格化操作,例如流量管理、请求安全认证、上报链路追踪数据等。 在服务发现上,虚拟机形态的服务通过WorkloadEntry来描述一个虚拟机上安装了Proxy的实例,该虚拟机
用来将虚拟机(VM)或者裸金属(Bare Metal)进行抽象,使其在网格化后作为与Kubernetes中的Pod同等重要的负载,具备流量管理、安全管理、可视化等能力。 父主题: istio资源管理
实例第一次被隔离的时间,之后每次隔离时间为隔离次数与最短隔离时间的乘积。 是否开启Mutual TLS。 开启Mutual TLS:组件仅会通过基于TLS建立的安全信道通信。 关闭Mutual TLS:组件之间通过明文通信。 故障注入。 在故障类型中选择时延故障或中断故障。当前版本仅支持基于请求内容策略。
为了保证虚拟机与CCE集群的Pod互通,准备的虚拟机需要与CCE集群处于同一VPC内。 虚拟机需放通安全组,入方向需添加到<cluster-name>-cce-control安全组的规则,否则ping不通Pod IP。 获取根证书 通过kubectl访问CCE集群。 登录云容器引