检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
CE控制台手动重启Pod。方法如下: 登录CCE控制台,在工作负载所在行,单击操作列的“更多 > 重新部署”。 检查工作负载是否配置了主机网络模式。方法如下: 登录CCE控制台,在工作负载所在行,单击操作列的“更多 > 编辑YAML”,查看是否配置了spec.template.spec
附录 1.3升级1.8 VirtualService支持Delegate切换 父主题: 用户指南(旧版)
集群的网络类型可参考:集群网络构成。 所有集群VPC之间需要互通,可以处于同一VPC内,也可以将多个集群的VPC通过其他方式(对等连接、云连接等)连通。如果集群处于不同VPC内,要注意VPC的网段之间不要冲突。 对等连接可参考:创建同一账户下的对等连接。 云连接可参考:同区域同账号VPC互通。 所有集群要有
Turbo集群服务访问CCE集群服务,以及CCE Turbo集群服务之间互访,均无需额外配置安全组规则。 如果两个集群不在一个VPC内,需要先通过对等连接打通网络,具体操作请参见如何通过对等连接打通两个集群的VPC网络,实现实例跨集群通信?。 场景一:CCE集群服务访问CCE集群服务 为方便描述,假设两个集群
置不同的策略,从而达到流量管理的目的。 使用说明 对灰度版本的相关基本操作,其原理是修改Istio的destinationrule和virtualservice两个资源的配置信息,修改完成后,需要等待10秒左右,新的策略规则才会生效。 为灰度版本添加灰度策略 如果您在添加灰度版本
1.8版本特性 托管版本支持扁平网络多集群 托管版本支持非扁平网络多集群 Mixer组件正式下线,访问日志、调用链和监控均基于数据面采集 EnvoyFilter增强,支持更多灵活的Insert操作 支持VM类型服务治理 启用基于AuthorizationPolicy的新的授权策略
购买网格 网格类型概述 购买基础版网格 基础版、企业版、社区开源版本对比 扁平网络和非扁平网络 大规格实例优化 父主题: 用户指南(新版)
1.3版本特性 基于Mixer的Metric、访问日志和调用链 支持SDS,证书轮换无需重启Pod 支持Sidecar API 控制面性能优化 华为私有版本Virtual Service Delegation上线,提前为大客户提供解耦Gateway流量配置 支持v1.13、v1.15、v1
升级前vs格式检查(1.8及以上的版本不涉及)。 1.8及以上版本网格界面仅支持显示 delegate 格式的 VirtualService,请用户根据指南1.3升级1.8 VirtualService支持Delegate切换进行修改,否则升级后将看不到创建的网关路由。注:该检查项并不会导致升级失败。
之间不完全独立,具有稳定的持久化存储和网络标示,以及有序的部署、收缩和删除等特性。如:mysql-HA、etcd。 实例(Pod) Pod是Kubernetes部署应用或服务的最小的基本单位。一个Pod 封装多个应用容器(也可以只有一个容器)、存储资源、一个独立的网络 IP 以及管理控制容器运行方式的策略选项。
创建服务网关前,请提前创建好弹性负载均衡。为了更好的与服务网格配合,推荐创建并使用增强型弹性负载均衡。创建增强型弹性负载均衡时,需要注意确保所选VPC和子网与创建集群时设置的VPC和子网保持一致,详情请参见创建负载均衡器 。 登录应用服务网格控制台,在左侧导航栏中选择“服务网关”。 在右侧页面,单击“添加服务网关”,配置对外访问网络参数。
Istio CNI与Init容器兼容性问题 问题背景 Istio CNI 插件可能会导致使用了 initContainer 的应用出现网络连通性问题。 使用 Istio CNI 时,kubelet 会通过以下步骤启动一个注入的 Pod: Istio CNI 插件在 Pod 内设置流量重定向到
p/sidecar-injection/。 Istio资源格式不同。旧版ASM创建的网格和新版ASM创建的网格管理的Istio资源(VirtualService和DestinationRule)格式不同。 灰度发布功能不兼容。例如:在新版ASM加入网格的服务不支持在旧版ASM进行
Secret中加载私钥和证书。对于Istio1.8及更高版本,Secret通过XDS API从Istiod传送到网关或工作负载。 网关或工作负载部署应该只能访问存储在其命名空间内的Kubernetes Secret中的凭证(TLS证书和私钥)。但是,Istiod中的一个错误允许授权客户端访问和检索缓存
在客户端发起访问时,根据原有服务发现的流程根据Interface查询到服务的元数据,并用对应的服务信息组装RPC请求。建议在Dubbo请求中使用Attachment扩展字段存储appname、namespace信息。 父主题: SDK适配方式
labels: istio: ingressgateway configPatches: - applyTo: NETWORK_FILTER # http connection manager is a filter in Envoy match:
证是否是来自合法的客户端,进而决定是否向客户端返回应答。从机制可以看到,这种基于请求中携带令牌来维护认证的客户端连接的方式解决了早期服务端存储会话的各种有状态问题。 在Istio使用中,JWT令牌生成由特定的认证服务提供,令牌验证由网格执行,彻底解耦用户业务中的认证逻辑,使应用程
在ECS虚拟机上执行以下命令: iptables-save > ~/iptables.backup 请确保网络三层连通性: 为了保证虚拟机与CCE集群的Pod互通,准备的虚拟机需要与CCE集群处于同一VPC内。 虚拟机需放通安全组,入方向需添加到<cluster-name>-cce-control安全组的规则,否则ping不通Pod
多端口的服务创建灰度任务时报不合法的请求体,提示“ASM.0002 不合法的请求体”。 排查思路 登录ASM控制台,按“F12”,切换到Network页签查看接口。发现post请求创建release接口全部返回400,查看返回内容提示如下信息: some ports of the service
数据面sidecar升级不中断业务 应用服务网格作为集群网络管理的重要工具,为网格内的服务提供流量治理与流量监控的能力。sidecar作为应用服务网格数据面的重要组件,需要依赖服务业务pod的更新来实现sidecar的升级和重新注入。 本章节主要介绍如何实现数据面sidecar升级过程中,不中断服务的业务流量。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
