检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
<nginx> -n <namespace> 在spec.template.metadata.annotations下添加如下配置(大小仅供参考,请自行替换)。 sidecar.istio.io/proxyCPU: 500m sidecar.istio.io/proxyLimitCPU:
设置为 1337。 1337 是 Sidecar 代理使用的 uid。 这个 uid 发送的流量并非通过 Istio 的 iptables 规则进行捕获。 应用容器流量仍将像往常一样被捕获。 对 initContainer 所访问的目标 CIDR,通过设置 traffic.sidecar
rollout restart deployment nginx -n default 其中,nginx为示例服务,default为命名空间,请替换为实际取值。 执行以下命令,确认Pod重启成功。 kubectl get pod -n default | grep nginx 执行以下
加入网格后,会在网格管理下的所有集群中创建相应的namespace和service,请确保多个集群中不能存在名称相同的不同服务。 加入网格后,会修改集群安全组规则,以保证服务能被其他集群访问。 配置完成后,勾选“我已阅读以下内容”,单击“确定”。 配置服务网关 服务网关在微服务实践中可以做到统一接入、流量管控、安全防护、业务隔离等功能。
赖情况。并且可以对关心的服务进行下钻,从服务级别下钻到服务版本级别,还可以进一步下钻到服务实例级别。通过实例级别的拓扑可以观察到配置了熔断规则后,网格如何隔离故障实例,使其逐渐接收不到流量。并且可以在故障实例正常时,如何进行实例的故障恢复,自动给恢复的实例重新分配流量。 父主题:
全性。 多集群安全:在多集群场景下ASM提供了全局的服务访问安全。多个集群的网格共享一套根证书,给数据面的服务实例分发密钥和证书对,并定期替换密钥证书,根据需要撤销密钥证书。在服务间访问时,网格的数据面代理就会代理本地服务和对端进行双向认证、通道加密。这里的双向认证的服务双方可以
续费。 图1展示了用户将两个不同时间到期的资源,同时续费一个月,并设置“统一到期日”后的效果对比。 图1 统一到期日 更多关于统一到期日的规则请参见如何设置统一到期日。 父主题: 续费
策略类型分为“基于流量比例”和“基于请求内容”,通过页签选择确定。 基于流量比例:根据流量比例配置规则,将从原版本中切分指定比例的流量到灰度版本。例如80%的流量走原版本,20%的流量走灰度版本。 基于请求内容:根据请求内容配置规则,只有请求内容中满足特定条件的流量会切分到灰度版本上。例如只有在Windows操作系统上的用户可以访问灰度版本。
发行者:JWT的颁发者。 令牌受众:设置哪些服务可以使用JWT Token访问目标服务,多个受众用“,”隔开,若为空表示对访问的服务不受限制。 jwks:JWT规则集。 JWT认证的原理及应用示例请参见JWT认证原理和在ASM中对入口网关进行JWT请求认证。 父主题: 安全
务提供非侵入的流量治理能力。根据服务的协议,提供策略化、场景化的网络连接管理。在应用拓扑上对选定服务的选定端口,根据需要配置各种不同的治理规则。 优势 重试:服务访问失败自动重试,从而提高总体访问成功率和质量。支持配置HTTP请求重试次数、重试超时时间和重试条件。 超时:服务访问
key/cert pair to proxy 在虚拟机上执行以下命令,确认iptables规则正确配置。 iptables -t nat -L -v 如果回显信息类似如下,说明iptables规则配置成功。 Chain PREROUTING (policy ACCEPT 0 packets
hosts和spec.http.match.uri tomcat-default-gateway.istio-system.svc.cluster.local替换成istio-system/tomcat-default-gateway 修改apiVersion: networking.istio.i
rl地址(producer.default:8089 -> b-mesh-gateway.default:8089,若第二步未操作,则直接替换为网关地址) 创建灰度任务,切部分流量到修改了配置的新版本 验证功能正常后将流量都切到新版本 迁移集群 删除该集群上部署的网关。在待迁移网
hosts和spec.http.match.uri tomcat-default-gateway.istio-system.svc.cluster.local替换成istio-system/tomcat-default-gateway 修改apiVersion: networking.istio.i
的ENI安全组入方向放通CCE集群的容器网段,否则会访问不通。具体操作请参见CCE集群服务访问CCE Turbo集群服务时,如何配置安全组规则?。 操作步骤 登录应用服务网格控制台,使用以下任意一种方式进入添加集群页面。 (快捷方式)在企业版网格右上方,单击图标。 在企业版网格详
支持社区插件按需一键安装,支持Kiali插件 - √ √ 支持社区插件按需一键安装,支持ELK插件 - √ √ API 非企业版网格提供基于CCE接口的开放社区兼容的流量规则配置 √ √ √ 代理管理 透明流量拦截、基于Iptables流量拦截、支持代理自动注入、支持Namespace级别和工作负载级别的注入管理
支持社区插件按需一键安装,支持Kiali插件 - √ √ 支持社区插件按需一键安装,支持ELK插件 - √ √ API 非企业版网格提供基于CCE接口的开放社区兼容的流量规则配置 √ √ √ 代理管理 透明流量拦截、基于Iptables流量拦截、支持代理自动注入、支持Namespace级别和工作负载级别的注入管理
段中可以看到源IP,httpbin是一个HTTP Request & Response Service,可以向他发送请求,他将会按照指定的规则将请求返回。httpbin镜像可在SWR中搜索。使用httpbin镜像进行验证时请确保集群已开通网格。 登录ASM应用服务网格控制台,选择一个可用的测试网格并单击进入。
的值来计算哈希,哈希相同的请求则会转发至同一个实例中。例如我们设定Cookie中的User为键,则通过计算User对应的值的哈希来确认转发规则。 根据Sourcelp中的内容获取哈希:流量将会按照请求源IP地址的哈希值进行会话保持。 连接池管理。 最大连接数 到目标主机HTTP或TCP连接的最大数量。
配置,搜集监控数据等。其中,sidecar(边车)是指运行在业务pod中,与业务容器协同工作,负责业务pod的路由转发,监控数据采集,流量规则配置等功能。 监控已启用服务网格的集群 登录应用服务网格控制台,在左侧导航栏中选择“网格管理”。 在右侧页面,单击服务网格名称。 单击专有
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
