检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
虚拟机服务访问容器服务 启动ASM-PROXY后,虚拟机服务可以访问容器内的服务,如下图所示。 验证流程如下: 部署容器服务:在CCE集群中部署容器服务tomcat。 容器服务加入网格:将tomcat服务加入网格,确保服务诊断状态为正常。 访问容器服务:编辑虚拟机的/etc/ho
所有集群VPC之间需要互通,可以处于同一VPC内,也可以将多个集群的VPC通过其他方式(对等连接、云连接等)连通。如果集群处于不同VPC内,要注意VPC的网段之间不要冲突。 对等连接可参考:创建同一账户下的对等连接。 云连接可参考:同区域同账号VPC互通。 所有集群要有统一的网络规划,所有集群的容
服务网关所在的命名空间。 目标服务 添加网关的服务,直接在下拉框中选择。目标服务会根据对应的网关协议进行过滤,过滤规则请参见添加路由时,为什么选不到对应的服务?。 配置诊断失败的服务无法选择,需要先根据手动修复项或自动修复项进行修复。 访问端口 仅显示匹配对外协议的端口。 重写 (对外协议为HTTP/HTTPS时可配置)
登录应用服务网格控制台,在左侧导航栏中选择“网格管理”。 单击专有网格名称进入网格管理详情。 在“运行节点”页签,单击“操作”下的“扩容”链接跳转到弹性云服务器页面。 根据节点“名称/ID”找到对应的云服务器,单击“变更规格”,即可对节点进行扩容操作。 图2 变更规格 插件管理 插件管理可以对grafana、prom
Pod刚刚启动后,为什么不能立即看到流量监控数据? 总览页面上的时延数据为什么不准确? 流量占比与流量监控图为什么数据不一致? 为什么在调用链里,找不到某些错误的请求数据? 流量监控拓扑图中为何找不到我的组件? 如何对接Jaeger/Zipkin查看调用链
流量治理 虚拟机服务添加网关和路由 虚拟机服务灰度发布 虚拟机服务配置故障注入 父主题: 虚拟机治理
rt/productpage。 在Zipkin客户端页面查看调用链信息。Zipkin 客户端登录的地址格式如下:http://Zipkin服务的负载均衡公网 IP:Zipkin服务的访问端口/zipkin/ 。 Zipkin 客户端登录的IP地址和端口可从如下路径获取: IP地址
/status/418 HTTP/1.1" - %RESPONSE_CODE% 响应码 \ \ 418 - %RESPONSE_FLAGS% 响应或连接的其他信息 响应或连接的其他信息 \ UH 参考响应标记解读。 %RESPONSE_CODE_DETAILS% 响应码详情:返回对象和原因 \ \ via_upstream
试次数等七层请求管理;支持配置最大连接数、连接超时时间等四层连接管理;支持异常点检查、故障实例的自动隔离和自动恢复 √ √ √ 治理流量类型 支持对服务间内部通信流量进行治理、支持对服务外网访问流量(即Ingress流量)进行治理 √ √ √ 运行环境支持 支持容器应用治理 √ √
试次数等七层请求管理;支持配置最大连接数、连接超时时间等四层连接管理;支持异常点检查、故障实例的自动隔离和自动恢复 √ √ √ 治理流量类型 支持对服务间内部通信流量进行治理、支持对服务外网访问流量(即Ingress流量)进行治理 √ √ √ 运行环境支持 支持容器应用治理 √ √
流量治理 应用流量治理提供可视化云原生应用的网络状态监控,并实现在线的网络连接和安全策略的管理和配置,当前支持连接池、熔断、负载均衡、HTTP头域、故障注入等能力。 连接池管理 配置TCP和HTTP的连接和请求池相关阈值,保护目标服务,避免对服务的过载访问。 熔断 配置快速响应和
服务网关所在的命名空间。 目标服务 添加网关的服务,直接在下拉框中选择。目标服务会根据对应的网关协议进行过滤,过滤规则请参见添加路由时,为什么选不到对应的服务?。 配置诊断失败的服务无法选择,需要先根据手动修复项或自动修复项进行修复。 访问端口 仅显示匹配对外协议的端口。 重写 (对外协议为HTTP/HTTPS时可配置)
当前IPv4/IPv6双栈网关添加IPv6外部访问地址时,只支持添加域名,通过域名访问,不支持添加IPv6地址访问。 验证方式 客户端通过配置域名解析,解析域名到网关的IPv6地址,可以通过域名访问实现IPv6客户端访问。 查看ingressgateway日志有对应IPv6请求日志信息。
组件中的1-18-7-r4即网格的版本。网格版本号可从网格详情页面的“网格配置-基本信息”中获取,即“当前版本”的值。此处展示的版本号是中划线连接。 解决方案:若异常可以联系运维工程师或提交工单处理。 可能原因:命名空间未打上自动注入标签。 检查方法:执行以下命令,查看需要的webhook的
1版本及以上 Istio 1.12.4版本及以上 Istio 1.11.7版本及以上 规避和消减措施 除了升级版本没有有效的规避措施。将客户端对Istiod的网络访问限制在最小范围可以帮助减少某种程度上的漏洞的影响范围。 相关链接 Istio官方安全公告 Istio社区漏洞公告 父主题:
群校验报错常见场景及解决方案如下所述: 集群需要两个可用资源大于2 vCPUs、4GiB的节点,当前资源不足,无法创建网格 解决方案:在ECS控制台选择对应的节点进行扩容。 集群容器网段与网格控制面网段冲突 解决方案: 已购买网格,添加集群场景:重新规划集群容器网段。 购买网格同
helm对中断状态支持不好,客户异常操作会导致istio的helm模板卡在中间状态,使卸载过程中留下残留资源,从而导致卸载失败。 解决方法 通过kubectl连接到CCE集群。 执行以下命令,清理istio相关资源。 kubectl delete ServiceAccount -n istio-system
虚拟机服务访问虚拟机服务 启动ASM-PROXY后,虚拟机服务之间可以互相访问,如下图所示。 验证流程 准备两台ECS虚拟机。 虚拟机1请参考部署ASM-PROXY部署PROXY,虚拟机2可以不用部署。但请确保虚拟机间网络正常,且安全组、防火墙已放通。 在虚拟机1上部署httptest应用。
端到端的透明安全 适用场景 众所周知,将传统的单体应用拆分为一个个微服务固然带来了各种好处,包括更好的灵活性、可伸缩性、重用性,但微服务也同样面临着特殊的安全需求,如下所示: 为了抵御中间人攻击,需要用到流量加密。 为了提供灵活的服务访问控制,需要用到TLS和细粒度访问策略。 为
行治理。 购买CCE集群 弹性负载均衡 ELB 弹性负载均衡(Elastic Load Balance,ELB)将访问流量自动分发到多台云服务器,扩展应用系统对外的服务能力,实现更高水平的应用容错。 您可以通过弹性负载均衡从外部访问应用服务网格。 创建共享型负载均衡器 应用性能管理