检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
快速定位到问题点。 使用约束 流量监控记录的是组件过去24小时内的数据,所以当部分组件删除后并不能及时的在拓扑图上消失,而是会仍然存在一段时间。 流量治理中的故障注入功能,不能作用于基于请求比例灰度发布的场景。只接受单一版本或基于请求内容灰度发布的场景。 托管网格多集群场景下,只
求,如下所示: 为了抵御中间人攻击,需要用到流量加密。 为了提供灵活的服务访问控制,需要用到TLS和细粒度访问策略。 为了决定哪些人在哪些时间可以做哪些事,需要用到审计工具。 面对这些需求应用服务网格提供全面的安全解决方案,包括身份验证策略,透明的TLS加密以及授权和审计工具。 价值
应用服务网格 应用服务网格(Application Service Mesh,简称ASM)是华为云基于开源Istio推出的服务网格平台,它深度、无缝对接了华为云的企业级Kubernetes集群服务CCE,可为客户提供开箱即用的上手体验。 图说ASM 图说ASM 立即使用 立即使用
NoExecute:表示匹配污点效果为NoExecute的污点。 容忍时间窗 即tolerationSeconds参数,当污点策略为NoExecute时支持配置。 在容忍时间窗内,Pod还会在拥有污点的节点上运行,超出时间后会被驱逐。 配置该参数会触发工作负载滚动升级,即Pod会立即发生重启。
重试次数 单个请求允许的重试次数,间隔默认为25ms,实际的重试次数也取决于配置的超时时间和重试超时时间 1- 重试超时时间(s) 单个请求的超时时间,包括初次请求和重试请求,默认值与配置的超时时间相同 0.001-2592000 重试条件 配置重试的条件,详情请参照retry policies和gRPC
containers[i].readinessProbe 其中,包括探针检查初始时间,检查间隔,超时时间等配置。 设置服务就绪时间 服务就绪时间,minReadySeconds:用于标识pod的ready时间至少保持多长时间,才会认为服务是运行中。 相关配置如下: kubectl get deploy
上游实例中,允许被隔离的最大比例。采用向上取整,如果10个实例,设为13%则最多会隔离2个实例。 最短隔离时间 实例第一次被隔离的时间,之后每次隔离时间为隔离次数与最短隔离时间的乘积。 是否开启Mutual TLS。 开启Mutual TLS:组件仅会通过基于TLS建立的安全信道通信。
Pod优雅删除 Istio-proxy容器终止排出时间 Pod缩容时间窗 父主题: 网关工作负载
health-check-option protocol:健康检查的协议。 delay:健康检查间隔(秒)。 timeout:健康检查的超时时间(秒)。 max_retries:健康检查的最大重试次数。 也可在步骤1服务页面单击操作列的“更新”在更新服务页面进行设置。 父主题: 网关Service
围内连接呈黄色;当错误率大于10%连接呈红色。 单击拓扑中的服务节点,可以查看当前服务在所选时间内的指标数据;单击拓扑中某条连接,可以查看当前连接在所选时间内的指标数据。 自定义查询时间范围不能大于7天。 父主题: 监控中心
接最大空闲时间。 四层连接池管理:支持配置TCP最大连接数、连接超时时间、最大无响应次数、最短空闲时间以及健康检查间隔。 熔断:支持配置服务熔断规则,包括实例被驱逐前的连续错误数、检查周期、基础隔离时间以及最大隔离实例比例。 重试:支持配置HTTP重试次数、重试超时时间以及重试条件。
HTTP场景含义 TCP场景含义 UDP场景含义 样例 备注 [%START_TIME%] 请求开始时间,毫秒 Downstream发起连接的时间 UDP proxy会话开始的时间 [2020-11-25T21:26:18.409Z] - \"%REQ(:METHOD)% %RE
Istiod TLS证书密钥滥用(CVE-2021-34824) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 TLS证书密钥滥用 CVE-2021-34824 2021-06-24 影响评分 9.1 高危 触发场景 同时满足下列三个条件: Istio版本为1
登录集群A的一个节点,访问集群B的内网apiserver地址。 curl https://192.168.0.180:5443 -ik 如果对端长时间没有回复,说明网络存在问题,需要重新检查配置。 集群B访问集群A的验证方法相同。 访问对端集群的容器IP(非扁平网络跳过) 本端和对端集群
提供按时段观察应用拓扑 - - √ 支持跨集群应用拓扑 - - √ 链路跟踪/调用链 支持全服务请求链的链路追踪 - - √ 支持基于时间、异常、响应时间等指标的检索 - - √ 支持对调用详细信息的查看,快速定位 - - √ 支持跨集群的调用链 - - √ 支持对接第三方调用链系统
提供按时段观察应用拓扑 - - √ 支持跨集群应用拓扑 - - √ 链路跟踪/调用链 支持全服务请求链的链路追踪 - - √ 支持基于时间、异常、响应时间等指标的检索 - - √ 支持对调用详细信息的查看,快速定位 - - √ 支持跨集群的调用链 - - √ 支持对接第三方调用链系统
网格管理规模,指服务网格可管理的最大实例数(Pod个数)。 计费周期 包年/包月ASM的计费周期是根据您购买的时长来确定的(以UTC+8时间为准)。一个计费周期的起点是您创建网格成功或续费资源的时间(精确到秒),终点则是到期日的23:59:59。 例如,如果您在2023/03/08 15:50:04购买了一
out)表示上游请求超时,一般伴随返回“504”的HTTP状态码。 典型场景 VirtualService中给目标服务配置了超时时间,在配置的超时时间后,客户端代理自动超时,取消请求。 典型日志 客户端出流量日志。 应对建议 用户为了保证目标服务快速失败,配置了服务访问超时,超时会返回该应答标记,无需特殊处理。
未认证的控制面DoS攻击(CVE-2022-23635) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 DoS CVE-2022-23635 2022-02-22 影响评分 7.5 高危 触发场景 简单安装时,Istiod是从集群内获取的,受攻击的可能性小一点。
失败,每天凌晨3:00尝试一次,直至资源到期或者续费成功。 开通自动续费后,还可以手动续费该资源。手动续费后,自动续费仍然有效,在新的到期时间前的第7天开始扣款。 自动续费的到期前7日自动扣款属于系统默认配置,您也可以根据需要修改此扣款日,如到期前6日、到期前5日等等。 更多关于
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
