检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
漏洞公告 未认证的控制面DoS攻击(CVE-2022-23635) Istiod TLS证书密钥滥用(CVE-2021-34824)
11.7版本及以上 规避和消减措施 除了升级版本没有有效的规避措施。将客户端对Istiod的网络访问限制在最小范围可以帮助减少某种程度上的漏洞的影响范围。 相关链接 Istio官方安全公告 Istio社区漏洞公告 父主题: 漏洞公告
API从Istiod传送到网关或工作负载。 网关或工作负载部署应该只能访问存储在其命名空间内的Kubernetes Secret中的凭证(TLS证书和私钥)。但是,Istiod中的一个错误允许授权客户端访问和检索缓存在Istiod中的任何TLS证书和私钥。 受影响版本 参考触发场景 补丁修复版本 ASM
25、v1.27 CCE集群版本 修复了 CVE-2023-44487、CVE-2023-39325、CVE-2023-27487 等安全漏洞 详细内容请参阅:https://istio.io/latest/news/releases/1.15.x/announcing-1.15
这里的双向认证的服务双方可以来自两个不同的集群,从而做到跨集群的透明的端到端双向认证。 细粒度授权:在认证的基础上,就可以进行服务间的访问授权管理,可以控制某个服务,或者服务的一个特定接口进行授权管理。如只开放给特定的一个Namespace下的服务,或者开放给某个特定的服务。源
验证JWT认证是否生效 使用JWT工具将JWT请求信息编码成JWT Token。 在“Decoded”区域输入以下JWT请求信息,在“Encode”区域将看到自动转换后的JWT Token。 HEADER:设置alg为“RS512”,输入1创建的JWK中的kid,设置type为“JWT”。
与其他云服务的关系 应用服务网格与周边服务的依赖关系如图1所示。 图1 应用服务网格与其他云服务关系 应用服务网格与其他服务的关系 表1 应用服务网格与其他服务的关系 服务名称 应用服务网格与其他服务的关系 主要交互功能 云容器引擎 CCE 云容器引擎(Cloud Container
应用服务网格作为集群网络管理的重要工具,为网格内的服务提供流量治理与流量监控的能力。sidecar作为应用服务网格数据面的重要组件,需要依赖服务业务pod的更新来实现sidecar的升级和重新注入。 本章节主要介绍如何实现数据面sidecar升级过程中,不中断服务的业务流量。 配置服务实例数
页数),以及关于书籍的一些评论。 Bookinfo应用由四个单独的服务构成,几个服务是由不同的语言编写的。这些服务对应用服务网格ASM并无依赖,但是构成了一个有代表性的服务网格的例子,即由多个服务、多个语言构成,且reviews服务具有多个版本。这四个服务的说明如下: produ
Service的端口名称是否符合istio规范 问题描述 Service端口名称必须包含指定的协议和前缀,按以下格式命名: name: <protocol>[-<suffix>] 其中,<protocol>可以是http、tcp、grpc等,Istio根据在端口上定义的协议来提供对应的路由能力。例如“name:
多云多集群、多基础设施 提供免运维的托管控制面,提供多云多集群的全局统一的服务治理、灰度、安全和服务运行监控能力,并支持容器和VM等多种基础设施的统一服务发现和管理。 协议扩展 社区通用的HTTP、gRPC、TCP、TLS外,扩展对Dubbo协议的支持。 传统SDK集成 提供Spring
CPU最大值:也称CPU限制,表示容器能使用的CPU最大值。 MEM最小值:也称内存请求,表示容器使用的最小内存需求,作为容器调度时资源分配的判断依赖。只有当节点上可分配内存总量 ≥ 容器内存请求数时,才允许将容器调度到该节点。 MEM最大值:也称内存限制,表示容器能使用的内存最大值。当内存使用率超出设置的内存限制
多端口的服务创建灰度任务时报不合法的请求体 问题描述 多端口的服务创建灰度任务时报不合法的请求体,提示“ASM.0002 不合法的请求体”。 排查思路 登录ASM控制台,按“F12”,切换到Network页签查看接口。发现post请求创建release接口全部返回400,查看返回内容提示如下信息:
“istioctl”页签:使用Istio命令行工具配置路由策略。详情请参见使用Istio命令行工具配置路由策略。 单击托管网格的名称,查看数据面所有组件和Sidecar的业务pod信息。 “集群管理”页签:展示已添加的到网格中的集群信息,以及添加新的集群到网格,或移除已添加的集群。 “数据面组件管理”
流量监控记录的是组件过去24小时内的数据,所以当部分组件删除后并不能及时的在拓扑图上消失,而是会仍然存在一段时间。 流量治理中的故障注入功能,不能作用于基于请求比例灰度发布的场景。只接受单一版本或基于请求内容灰度发布的场景。 托管网格多集群场景下,只支持集群内部服务之间的流量监控,暂时不支持跨集群服务之间的流量监控。
面向Dubbo协议的服务治理 简介 服务发现模型 SDK适配方式
网格服务数据面Envoy支持对Dubbo协议的解析和流量管理。 网格控制面支持对Dubbo治理规则的配置。支持灰度发布、负载均衡、访问授权等服务管理。 另外,Dubbo的服务发现模型和Kubernetes、Spring Cloud等服务发现模型不一致,需要额外的处理。 父主题: 面向Dubbo协议的服务治理
NR(NoRouteFound)表示没有匹配的路由来处理请求的流量,一般伴随“404”状态码。 典型场景 实际的访问流量不匹配VirtualService中定义的路由匹配条件,因而没有找到匹配的路由处理流量。 典型日志 客户端出流量日志。 应对建议 客户端的流量满足路由中定义的流量特征,保证所有请求都有服务端定义的路由处理。
服务发现模型 Dubbo现有模型存在的问题(来自Dubbo社区2.7.4总结): 在微服务架构中,注册中心管理的对象是应用(服务),而非对外的服务接口,不过目前Dubbo的注册中心管理的对象是Dubbo服务接口,与Spring Cloud或Cloud Native注册方式背道而驰。
为什么我的集群不能启用网格? 问题描述 集群不能启用网格。 原因分析 暂不支持v1.15以下版本集群启用网格。 解决方法 检查您的集群版本,目前仅对v1.15、v1.17、v1.19、v1.21或v1.23版本的集群生效。 检查您的浏览器,请尽量使用Chrome浏览器访问服务,火
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
