检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
漏洞公告 未认证的控制面DoS攻击(CVE-2022-23635) Istiod TLS证书密钥滥用(CVE-2021-34824)
未认证的控制面DoS攻击(CVE-2022-23635) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 DoS CVE-2022-23635 2022-02-22 影响评分 7.5 高危 触发场景 简单安装时,Istiod是从集群内获取的,受攻击的可能性小一点。
虚拟机服务配置故障注入 故障注入是一种评估系统可靠性的有效方法,故意在待测试的系统中引入故障,从而测试其健壮性和应对故障的能力。有两种类型的故障注入,可以在转发前延迟(delay)请求,模拟缓慢的网络或过载的服务,也可以中断(abort)HTTP请求,并返回一个特定的HTTP状态
Istiod TLS证书密钥滥用(CVE-2021-34824) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 TLS证书密钥滥用 CVE-2021-34824 2021-06-24 影响评分 9.1 高危 触发场景 同时满足下列三个条件: Istio版本为1
某些工作负载不注入Sidecar,该如何配置? 为集群的命名空间开启Sidecar注入后,该命名空间下所有工作负载关联的Pod将自动注入Sidecar。不过有些工作负载因为种种原因不能注入Sidecar,可参考如下指导进行配置: 登录CCE控制台,进入对应集群详情页,在左侧导航栏选择“资源
sidecar注入失败可能的原因 sidecar注入失败常见场景和解决方案: 可能原因:网格管理实例数到达上限,无法继续注入。 检查方法:统计网格注入Pod总数是否已达上限。 登录应用服务网格ASM控制台,在网格列表页面查看您的网格卡片展示的实例个数是否达到网格规格。如果达到即网格注入Pod总数已达上限。
如何为集群开放命名空间注入? 为集群的命名空间注入sidecar时,若集群未开放命名空间注入,请参考如下指导修改集群配置: 通过kubectl连接集群。 执行kubectl get iop -nistio-system,查询iop资源。 若回显如下,表示存在iop资源,请执行3。
如何为普通任务(Job)和定时任务(CronJob)类型负载注入sidecar 前置条件 确认使用ASM1.15.5-r3及以上版本创建网格。 默认场景下,对普通任务(Job)和定时任务(CronJob)类型负载创建的Pod不进行sidecar注入,如果需要注入请在创建工作负载时,设置高级参数“标签与注解>
所有Pod是否都注入了sidecar 问题描述 Service管理的所有Pod都必须存在istio-proxy容器,否则报此异常。 修复指导 登录ASM控制台,选择服务所在网格。单击左侧导航中的“网格配置”,选择“sidecar管理”页签,检查服务所在命名空间是否已注入sidecar。
流量治理要解决的问题类似如下: 动态修改服务间访问的负载均衡策略,比如配置一致性哈希将流量转发到特定的服务实例上; 同一个服务有两个版本在线,将一部分流量切到某个版本上; 服务保护,如限制并发连接数、限制请求数、隔离有故障的服务实例等; 动态修改服务中的内容,或者模拟一个服务运行故障等。
设置fsgroup,导致业务容器挂载文件属组被修改 问题描述 业务pod注入sidecar时设置fsgroup为1337,导致业务容器挂载文件属组被改成1337。 原因分析 因为k8s 版本bug: https://github.com/kubernetes/kubernetes/issues/57923
流量治理是一个非常宽泛的话题,例如: 动态修改服务间访问的负载均衡策略,如配置一致性哈希将流量转发到特定的服务实例上。 同一个服务有两个版本在线,将一部分流量切到某个版本上。 对服务进行保护,例如限制并发连接数、限制请求数、隔离故障服务实例等。 动态修改服务中的内容,或者模拟一个服务运行故障等。
网格管理 网格管理提供了Istio控制面组件、数据面sidecar的健康及性能监控能力,支持运行资源的扩缩容管理,以及不同Istio版本间的升级管理。 Istio控制面组件负责向数据面组件注入sidecar,管理数据面sidecar行为,下发策略配置,搜集监控数据等。其中,sid
sidecar管理 sidecar管理中支持查看所有注入了sidecar的工作负载信息,还可以进行sidecar注入、配置sidecar资源限制等操作。 sidecar注入 可展示当前已注入sidecar的命名空间及所属集群。如果还未做过注入操作,或者需要为更多命名空间注入sidecar,请参考以下操作:
25、v1.27 CCE集群版本 修复了 CVE-2023-44487、CVE-2023-39325、CVE-2023-27487 等安全漏洞 详细内容请参阅:https://istio.io/latest/news/releases/1.15.x/announcing-1.15
Istio CNI与Init容器兼容性问题 问题背景 Istio CNI 插件可能会导致使用了 initContainer 的应用出现网络连通性问题。 使用 Istio CNI 时,kubelet 会通过以下步骤启动一个注入的 Pod: Istio CNI 插件在 Pod 内设置流量重定向到
提供的服务治理能力。 Bookinfo应用灰度发布流程包含以下步骤: 图1 入门流程 Bookinfo应用分析 Bookinfo是一个模仿在线书店的应用,页面上会显示一本书籍的描述,书籍的细节(如页数),以及关于书籍的一些评论。 Bookinfo应用由四个单独的服务构成,几个服务
本,部署新版本进行测试,确认OK,将流量切到新版本,然后老版本同时也升级到新版本。始终有两个版本同时在线,有问题可以快速切换。 蓝绿发布的特点: 在部署应用的过程中,应用始终在线。并且新版本上线过程中,不会修改老版本的任何内容,在部署期间老版本状态不受影响。只要老版本的资源不被删除,可以在任何时间回滚到老版本。
确认运行正常后,将流量切到新版本,然后老版本同时也升级到新版本。升级过程中始终有两个版本同时在线,有问题可以快速切换。 流量治理 应用流量治理提供可视化云原生应用的网络状态监控,并实现在线的网络连接和安全策略的管理和配置,当前支持连接池、熔断、负载均衡、HTTP头域、故障注入等能力。
产品优势 简单易用 无需修改任何服务代码,也无需手动安装代理,只需开启应用服务网格功能,即可实现丰富的无侵入服务治理能力。 内置金丝雀、蓝绿灰度发布流程 灰度版本一键部署,流量切换一键生效。 灰度策略可配置,支持流量比例、请求内容(Cookie、OS、浏览器等)。 一站式健康、性
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
