检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
验证服务访问 虚拟机服务访问容器服务 容器服务访问虚拟机服务 虚拟机服务访问虚拟机服务 父主题: 虚拟机治理
虚拟机服务访问虚拟机服务 启动ASM-PROXY后,虚拟机服务之间可以互相访问,如下图所示。 验证流程 准备两台ECS虚拟机。 虚拟机1请参考部署ASM-PROXY部署PROXY,虚拟机2可以不用部署。但请确保虚拟机间网络正常,且安全组、防火墙已放通。 在虚拟机1上部署httptest应用。
容器服务访问虚拟机服务 启动ASM-PROXY后,容器内的服务可以访问虚拟机上的服务,如下图所示。 验证流程如下: 部署虚拟机服务:在虚拟机中部署httptest应用。 部署容器服务:在CCE集群中部署容器服务tomcat。 添加虚拟机服务到网格:不同于容器服务有自动注册能力,当
mcat为容器服务名称,vmns为命名空间。 执行以下命令,验证访问容器服务是否正常。 curl <tomcat>.<vmns>.svc:8080 如果回显信息类似如下,说明虚拟机服务访问容器服务正常。 父主题: 验证服务访问
Bookinfo应用的灰度发布实践 应用服务网格(Application Service Mesh,简称ASM)是基于开源Istio推出的服务网格平台,它深度、无缝对接了企业级Kubernetes集群服务云容器引擎(CCE),在易用性、可靠性、可视化等方面进行了一系列增强,可为客户提供开箱即用的上手体验。
在较高的层次上,Istio有助于降低这些部署的复杂性,并减轻开发团队的压力。它是一个完全开源的服务网格,可以透明地分层到现有的分布式应用程序上。它也是一个平台,包括允许集成到任何日志记录平台、遥测或策略系统的API。Istio的多样化功能使您能够成功高效地运行分布式微服务架构,并提供保护、连接和监控微服务的统一方法。
略中获取验证JWT令牌的公钥,可以是jwks(JSON Web Key Set)上配置的公钥,也可以是从jwksUri配置的公钥地址获取到的公钥。获得公钥后,网格代理使用该公钥对认证服务私钥签名的令牌进行验证,并解开令牌中的iss,验证是否匹配认证策略中的签发者信息。验证通过的请
为了提供灵活的服务访问控制,需要用到TLS和细粒度访问策略。 为了决定哪些人在哪些时间可以做哪些事,需要用到审计工具。 面对这些需求应用服务网格提供全面的安全解决方案,包括身份验证策略,透明的TLS加密以及授权和审计工具。 价值 默认的安全性:无需修改即可保证应用程序代码和架构的安全性。 纵深防御:与现有的安全系统结合并提供多层防御。
already exists” 已存在的报错则忽略。 功能验证 查看应用服务网格基本功能是否正常,如网关路由显示 ,网关访问等。 修改host地址为老ELB IP,验证业务功能是否正常。 若功能正常则将DNS解析地址改为老ELB IP。 验证正常后删除CCE ingress。 异常回退 若
欢迎使用应用服务网格 应用服务网格(Application Service Mesh,简称ASM)是基于开源Istio推出的服务网格平台,它深度、无缝对接了企业级Kubernetes集群服务云容器引擎(CCE),在易用性、可靠性、可视化等方面进行了一系列增强,可为客户提供开箱即用的上手体验。
传统微服务SDK结合 适用场景 传统SDK开发的服务希望使用服务网格能力。 希望将Istio与微服务平台集成,并以Istio为基础打造一个微服务管控中心。 价值 提供Spring Cloud、Dubbo等传统微服务SDK的集成解决方案,传统的微服务SDK开发的业务代码无需大的修改
什么是应用服务网格 应用服务网格(Application Service Mesh,简称ASM)是华为云基于开源Istio推出的服务网格平台,它深度、无缝对接了华为云的企业级Kubernetes集群服务云容器引擎(CCE),在易用性、可靠性、可视化等方面进行了一系列增强,可为客户提供开箱即用的上手体验。
istiod 验证业务功能若出现服务异常场景,单击处理,查看异常错误。 在CCE service页面修改 业务切流 业务切流有两种方案,可根据需要进行选择。 方案一 使用DNS切换后端ELB IP 在本地host将域名对应的ELB IP地址改为新的ELB IP。 本地验证功能,验证成功后修改DNS
虚拟机治理 方案介绍 约束与限制 部署ASM-PROXY 验证服务访问 流量治理 卸载ASM-PROXY
删除该集群上部署的网关,可以在网关管理页面查看网关所属集群。 将对应的集群移除出企业版网格。 重复1-3步骤直到所有集群都移除出网格 功能验证 验证业务功能正常可用。 异常回退 将集群添加回企业版网格。 使用控制面kubectl 执行如下命令: kubectl create -f all-gw
kubectl create -f xx.yaml (可选)执行解除业务跨集群访问方案二 重复执行上述步骤1-7,直至所有集群迁移完毕。 功能验证 验证业务功能。 父主题: 1.0企业版网格迁移到基础版
istiod-elb kubectl -nistio-system delete vs istiod 功能验证 查看console功能是否正常,如网关路由显示 ,网关访问等。 验证业务功能是否正常。 异常回退 登录应用服务网格控制台,在网格列表页面单击待删除网格右上角的卸载按钮卸载网
https://192.168.0.180:5443 -ik 如果对端长时间没有回复,说明网络存在问题,需要重新检查配置。 集群B访问集群A的验证方法相同。 访问对端集群的容器IP(非扁平网络跳过) 本端和对端集群必须是“容器对接ENI”网络模型。如果是CCE集群,网络模型需要选择“VPC网络”;如果是CCE
体负载分布。Local保留客户端源IP并避免LoadBalancer和NodePort类型服务的第二跳,但存在潜在的不均衡流量传播风险。 验证方式 结合httpbin镜像在“x-forward-for”字段中可以看到源IP,httpbin是一个HTTP Request & Response
raffic.sidecar.istio.io/includeOutboundPorts: 注意:上述操作完成后会导致业务容器滚动升级。 验证方式 由于流量拦截配置最终会在容器内iptables中生效,执行下述指令查看配置是否生效: 登录到配置流量拦截策略工作负载所在节点,docker