检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
启用服务网格后,状态一直为安装中 问题描述 为CCE集群启用服务网格(即购买网格)后,网格状态一直显示为“安装中”,鼠标放上去提示“正在启用istio服务网格:开通用户安全组规则成功”。 问题定位 登录CCE控制台,进入对应集群详情页,在“资源 > 命名空间”中查看istio-system命名空间是否存在。 原因分析
v1.15、v1.17、v1.19、v1.21、v1.23、v1.25、v1.27、v1.28、v1.29、v1.30或v1.31。不支持安全容器类型的CCE Turbo集群添加至网格。 ASM 1.18之前的版本不支持CCE Turbo集群中Ubuntu 22.04操作系统节点上的容器添加至网格。
asm_admin_trust包含的权限有:Tenant Guest和CCE FullAccess。在2024年7月前已进行授权的用户可能存在委托权限过大的问题,鉴于安全考虑,建议参考asm用户委托权限收缩指南进行委托的权限收缩。
常。 集群启用Istio时,需要开通node节点(计算节点/工作节点)所在安全组的入方向7443端口规则,用于Sidecar自动注入回调。如果您使用CCE创建的默认安全组,此端口会自动开通。如果您自建安全组规则,请手动开通7443端口,以确保Istio自动注入功能正常。 1.13和1
平台,通过提供完整的非侵入式的微服务治理解决方案,能够很好的解决云原生服务的管理、网络连接以及安全管理等服务网络治理问题。 随着微服务的大量应用,其构成的分布式应用架构在运维、调试和安全管理等维度变得更加复杂,开发者需要面临更大的挑战,如:服务发现、负载均衡、故障恢复、指标收集和
Turbo集群混合多集群场景,CCE集群服务访问Turbo集群服务时,需要为Turbo集群的ENI安全组入方向放通CCE集群的容器网段,否则会访问不通。具体操作请参见CCE集群服务访问CCE Turbo集群服务时,如何配置安全组规则?。 操作步骤 登录应用服务网格控制台,使用以下任意一种方式进入添加集群页面。
灰度发布概述 灰度发布是迭代的软件产品在生产环境安全上线的一种重要手段。 应用服务网格基于Istio提供的服务治理能力,对服务提供多版本支持和灵活的流量策略,从而支持多种灰度发布场景。 当前版本支持金丝雀发布和蓝绿发布。 金丝雀发布 在生产环境上引一部分实际流量对一个新版本进行测
编辑Istio资源后,具体哪些控制台功能不可用,与Istio资源类型有关。详细说明请参见YAML配置资源处理策略。 支持以YAML或JSON格式显示,同时可以将配置文件下载到本地。 创建新的istio资源 登录应用服务网格控制台,单击服务网格的名称,进入网格详情页面。 在左侧导航栏选择“网格配置”,单击“istio资源管理”页签。
负载均衡,满足业务处理高可用性诉求。 熔断,实现服务间链路稳定、可靠。 网络长连接管理降低资源损耗,提升网络吞吐量。 服务安全认证、鉴权、审计等,提供服务安全保障基石。 图形化应用全景拓扑,流量治理可视化 应用服务网格提供了可视化的流量监控,链路健康状态、异常响应、超长响应时延、流量状态信息拓扑等一目了然。
定、业务代码无侵入 √ √ √ 应用网关 支持四层协议对外访问、支持七层协议对外访问、支持入口路径映射、支持网关处TLS终止,支持配置对外证书和密钥 √ √ √ 负载均衡 支持轮询、随机、最小连接数以及一致性哈希的LB算法,可以基于特定的HTTP Header,或者基于Cookie值
定、业务代码无侵入 √ √ √ 应用网关 支持四层协议对外访问、支持七层协议对外访问、支持入口路径映射、支持网关处TLS终止,支持配置对外证书和密钥 √ √ √ 负载均衡 支持轮询、随机、最小连接数以及一致性哈希的LB算法,可以基于特定的HTTP Header,或者基于Cookie值
用户指南(新版) 欢迎使用应用服务网格 购买网格 网格管理 服务管理 网关管理 灰度发布 网格配置 流量治理 安全 监控中心
应用场景 服务灰度发布 服务流量管理 端到端的透明安全 服务运行监控 传统微服务SDK结合
、大型活动策划等,包年/包月计费模式可以确保在整个项目周期内资源的稳定使用。 数据安全要求高:对于对数据安全性要求较高的业务,包年/包月计费模式可确保资源的持续使用,降低因资源欠费而导致的数据安全风险。 适用计费项 网格管理规模,指服务网格可管理的最大实例数(Pod个数)。 计费周期
封装多个应用容器(也可以只有一个容器)、存储资源、一个独立的网络 IP 以及管理控制容器运行方式的策略选项。 金丝雀发布 又称灰度发布,是迭代的软件产品在生产环境安全上线的一种重要手段。在生产环境上引一部分实际流量对一个新版本进行测试,测试新版本的性能和表现,在保证系统整体稳定运行的前提下,尽早发现新版本在实际环境上的问题。
除了升级版本没有有效的规避措施。将客户端对Istiod的网络访问限制在最小范围可以帮助减少某种程度上的漏洞的影响范围。 相关链接 Istio官方安全公告 Istio社区漏洞公告 父主题: 漏洞公告
且coreDNS组件运行正常。 启用Istio时,需要开通node节点所在安全组的入方向7443端口规则,用于sidecar自动注入回调。如果您使用CCE创建的默认安全组,此端口会自动开通。如果您自建安全组规则,请手动开通7443端口,以确保Istio自动注入能力正常。 背景信息
配置诊断 手动修复项 自动修复项 灰度发布 灰度发布概述 创建灰度任务 灰度任务基本操作 流量治理 流量治理概述 配置流量策略 更改流量策略 配置安全策略 网格配置 网格配置概述 添加集群 sidecar管理 istio资源管理 升级网格 监控 流量监控 06 实践 弹性云服务器(Elastic
台功能冲突,请谨慎选择。 表1 勾选“控制台相关功能不开放使用”对服务的控制台功能的影响 现象 可能原因 在“服务管理”页面,目标服务的“安全”按钮置灰,不可选择 通过YAML方式修改了AuthorizationPolicy资源 在“服务管理”页面,目标服务的“流量治理”按钮置灰,不可选择
DOWNSTREAM连接的对端地址 同HTTP 同HTTP 10.44.x.x:46520 - %REQUESTED_SERVER_NAME% SSL连接的SNI 同HTTP \ xxx - %ROUTE_NAME% 路由的名称 同HTTP \ default - 1.18及以后版本 1
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
