检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
OM。 目前访问日志仅Istio 1.18及以上版本支持对接到云日志服务(LTS)。若要启用访问日志,请提前在CCE集群插件中心中安装云原生日志采集插件(CCE Log-Agent)。 启用应用指标 登录应用服务网格ASM控制台。 单击应用服务网格名称,进入应用服务网格详情页。
流量比例的灰度策略。 访问虚拟机服务:容器服务通过服务名访问虚拟机服务,验证灰度策略是否生效。 移除虚拟机服务灰度版本:完成灰度发布后,更新VirtualService和DestinationRule,移除虚拟机服务灰度版本。 前提条件 已执行添加虚拟机服务到网格,即已创建v1版
下面要讲一下企业版网格的多集群治理能力。 传统的服务跨集群访问,用户需要创建NodePort或LoadBalancer服务,绑定ELB,配置转发端口,而且对每一个需要跨集群访问的服务都要执行此操作。除此之外,用户还需要维护各个服务的对外访问配置。 图5 传统跨集群访问 ASM企业版网格提供的服务跨集群访问能力,不需要
AOM页面查询应用服务网格详细指标 服务网格开启应用指标并接入华为云AOM后,可以在AOM页面查询网格的详细指标,具体步骤如下: 登录AOM页面,进入“指标浏览”页面。 选择“指标源”,选择想要查询的网格上报指标的Prometheus实例。 在页面上查询上报至AOM的指标。 全量指标查询
port: number: 8080 subset: v1 升级完成后在服务列表页面,单击外部访问URL,检查访问是否正常。 在服务网关页面,检查服务网关路由是否显示正常。 父主题: 附录
port: number: 8080 subset: v1 升级完成后在服务列表页面,单击外部访问URL,检查访问是否正常。 在服务网关页面,检查服务网关路由是否显示正常。 父主题: 升级
见如何通过对等连接打通两个集群的VPC网络,实现实例跨集群通信?。 CCE集群和CCE Turbo集群混合多集群场景,CCE集群服务访问Turbo集群服务时,需要为Turbo集群的ENI安全组入方向放通CCE集群的容器网段,否则会访问不通。具体操作请参见CCE集群服务访问CCE
提供非侵入的流量治理能力,用户仅仅关注自己的业务逻辑,无需关注服务访问管理。流量治理要解决的问题类似如下: 动态修改服务间访问的负载均衡策略,比如配置一致性哈希将流量转发到特定的服务实例上; 同一个服务有两个版本在线,将一部分流量切到某个版本上; 服务保护,如限制并发连接数、限制请求数、隔离有故障的服务实例等;
向和出方向流量,可通过流量拦截配置修改默认的流量拦截规则。 入方向端口:可用于配置端口级别拦截规则,生效于网格服务的内部端口,以逗号分隔入站端口。 仅拦截指定端口表示访问网格服务指定端口范围内的请求将被重定向到sidecar中。 仅排除指定端口表示访问网格服务的请求,除端口范围外的请求将被重定向到sidecar中。
创建蓝绿发布 登录应用服务网格控制台,在左侧导航栏中选择“灰度发布”。在蓝绿发布下,单击“创建”。 配置灰度版本基本信息。 蓝绿发布服务 单击“选择服务”,选择待发布服务。 部署集群 灰度发布服务所属的集群。 发布任务名称 系统自动生成,可根据实际需求进行修改。 版本号 新增服务中灰度版本号。
智能的服务运行管理。包括跨集群的服务调用链、服务访问拓扑和服务运行健康状态。通过跨集群的全局视图来关联服务间的访问状况。 灵活的服务运行管理:在拓扑图上通过服务的访问数据,可以直观的观察到服务的健康状况,服务间的依赖情况。并且可以对关心的服务进行下钻,从服务级别下钻到服务版本级别
ASM用户委托权限收缩指南 背景介绍 应用服务网格权限管理是通过IAM统一身份认证里的委托实现的,而2024年7月前已进行授权的用户可能存在委托权限过大的问题,鉴于安全考虑,建议通过下文指导进行委托的权限收缩。 操作步骤 登录IAM控制台。 在左侧菜单栏单击委托,在搜索框中,搜索asm_admin_trust
略。 访问授权:访问授权用来实现对网格中服务的访问控制功能,即判断一个请求是否允许发送到当前的服务。 可观察性 应用访问拓扑:支持网格应用访问拓扑,体现服务间依赖。 服务运行监控:支持服务访问信息,包括服务和服务各个版本的QPS和延时等指标。 访问日志:支持收集和检索服务的访问日志。
Gateway和DestinationRule可以通过credentialName配置从Kubernetes Secret中加载私钥和证书。对于Istio1.8及更高版本,Secret通过XDS API从Istiod传送到网关或工作负载。 网关或工作负载部署应该只能访问存储在其命名空间内的Kubernetes
interface(lo),而是将流量重定向到应用的eth0。若您的业务pod监听到了lo,需要改成监听到eth0或者全零监听,否则升级后将导致服务无法访问。了解更多 详细内容请参阅:https://istio.io/latest/news/releases/1.13.x/announcing-1
通过YAML方式修改了AuthorizationPolicy资源 在“服务管理”页面,目标服务的“流量治理”按钮置灰,不可选择 通过YAML方式修改了DestinationRule或VirtualService资源 在“服务管理”页面,目标服务的“发布版本”按钮置灰,不可选择 通过YAML方式修改了Destinat
台配置不兼容,控制台相关功能将不再开放使用。如果您确定后续将只通过YAML方式维护Istio资源,则参考本章节编辑或新建Istio资源,否则请不要在此处操作。 编辑已有istio资源 登录应用服务网格控制台,单击服务网格的名称,进入网格详情页面。 在左侧导航栏选择“网格配置”,单击“istio资源管理”页签。
如果是专有版或基础版网格,请执行3。 在“卸载服务网格”页面,单击“确定”,卸载后将直接删除网格。 在“卸载服务网格”页面,选择是否重启已有服务,并阅读注意事项。 卸载时,默认不会重启已有服务。只有在服务重启后才会去除注入的istio-poxy sidecar,如需重启,请选择“是”,重启服务将会暂时中断您的业务。
网格事件 操作场景 应用服务网格支持事件中心,即通过界面提供网格创建、删除;网关创建、删除等重要操作的详细信息。 在ASM 1.0中购买的基础版1.8以及以上版本的网格可以查看网格内事件。 操作步骤 登录应用服务网格控制台,按照网格类型搜索基础版网格。 单击网格右上角的图标,在右侧弹出的页面查看网格事件。
initContainer 所访问的目标 CIDR,通过设置 traffic.sidecar.istio.io/excludeOutboundIPRanges 注解以使访问该网段的流量不会被重定向到 Sidecar。 对 initContainer 所访问的目标端口,通过设置 traffic
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
