检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
父主题: 安全
优势 非侵入安全:应用服务网格是以一种安全基础设施的方式向用户提供透明的安全能力,让不涉及安全问题的代码安全运行,让不太懂安全的人可以开发和运维安全的服务,不用修改业务代码就能提供服务访问安全。
安全 配置安全策略 JWT认证原理 在ASM中对入口网关进行JWT请求认证 父主题: 用户指南(新版)
操作场景 企业版网格可以管理多个集群(CCE集群和CCE Turbo集群均可),服务在跨集群通信时,如果网络访问不通,可能是因为未放通安全组规则导致的,需要按照本文指导配置安全组规则,有如下两种场景: CCE集群服务访问CCE集群服务,需要为集群的Node安全组入方向放通对方集群的容器网段
监控中心 流量监控 访问日志 应用拓扑 父主题: 用户指南(新版)
eyJleHAiOjQ2ODU5ODk3MDAsInZlciI6IjIuMCIsImlhdCI6MTUzMjM4OTcwMCwiaXNzIjoid2VhdGhlckBjbG91ZG5hdGl2ZS1pc3Rpby5ib29rIiwic3ViIjoid2VhdGhlckBjbG91ZG5hdGl2ZS1pc3Rpby5ib29rIn0.SEp-8qiMwI45BuBgQPH-wTHvOYxcE_jPI0wqOxEpauw 父主题: 安全
父主题: 安全
但请确保虚拟机间网络正常,且安全组、防火墙已放通。 在虚拟机1上部署httptest应用。 具体操作请参见部署虚拟机服务。 添加虚拟机1上的服务到网格。 具体操作请参见添加虚拟机服务到网格。 虚拟机2访问虚拟机1上的服务。
启用服务网格后,状态一直为安装中 问题描述 为CCE集群启用服务网格(即购买网格)后,网格状态一直显示为“安装中”,鼠标放上去提示“正在启用istio服务网格:开通用户安全组规则成功”。
请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 为保证安全,私钥只能下载一次,请妥善保管,否则将无法登录节点。 创建负载均衡 弹性负载均衡将作为服务网格对外访问入口,被服务网格管理的应用流量,均从此实例进入并分发到后端服务。 登录弹性负载均衡ELB控制台。
请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 为保证安全,私钥只能下载一次,请妥善保管,否则将无法登录节点。 创建负载均衡 弹性负载均衡将作为服务网格对外访问入口,被服务网格管理的应用流量,均从此实例进入并分发到后端服务。 登录弹性负载均衡ELB控制台。
请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 为保证安全,私钥只能下载一次,请妥善保管,否则将无法登录节点。 创建负载均衡。 弹性负载均衡将作为服务网格对外访问入口,被服务网格管理的应用流量,均从此实例进入并分发到后端服务。 登录弹性负载均衡ELB控制台。
什么是Istio Istio是一个提供连接、保护、控制以及观测功能的开放平台,通过提供完整的非侵入式的微服务治理解决方案,能够很好的解决云原生服务的管理、网络连接以及安全管理等服务网络治理问题。
网格配置概述 网格配置提供了集群管理、系统组件管理、sidecar管理、istio资源管理以及升级能力。 Istio控制面组件负责向数据面组件注入sidecar,管理数据面sidecar行为,下发策略配置,搜集监控数据等。其中,sidecar是指运行在业务Pod中,与业务容器协同工作
集群启用Istio时,需要开通node节点(计算节点/工作节点)所在安全组的入方向7443端口规则,用于Sidecar自动注入回调。如果您使用CCE创建的默认安全组,此端口会自动开通。如果您自建安全组规则,请手动开通7443端口,以确保Istio自动注入功能正常。
大规格实例优化 当网格内实例规模持续增大时,会引起Istio控制面组件Istiod和数据面组件Envoy的内存飙升问题。在购买网格时,可以为网格启用Mantis插件来解决此问题。 大规格实例优化特性仅在“华东-上海一”区域开放。 Mantis插件介绍 Mantis致力于解决由网格内实例规模增大而引起的
不支持安全容器类型的CCE Turbo集群添加至网格。 ASM 1.18之前的版本不支持CCE Turbo集群中Ubuntu 22.04操作系统节点上的容器添加至网格。
在2024年7月前已进行授权的用户可能存在委托权限过大的问题,鉴于安全考虑,建议参考asm用户委托权限收缩指南进行委托的权限收缩。
支持Istio 1.15.7版本 支持v1.21、v1.23、v1.25、v1.27 CCE Turbo集群版本 支持v1.21、v1.23、v1.25、v1.27 CCE集群版本 修复了 CVE-2023-44487、CVE-2023-39325、CVE-2023-27487 等安全漏洞
ASM用户委托权限收缩指南 背景介绍 应用服务网格权限管理是通过IAM统一身份认证里的委托实现的,而2024年7月前已进行授权的用户可能存在委托权限过大的问题,鉴于安全考虑,建议通过下文指导进行委托的权限收缩。 操作步骤 登录IAM控制台。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
