检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
虚拟机服务访问虚拟机服务 启动ASM-PROXY后,虚拟机服务之间可以互相访问,如下图所示。 验证流程 准备两台ECS虚拟机。 虚拟机1请参考部署ASM-PROXY部署PROXY,虚拟机2可以不用部署。但请确保虚拟机间网络正常,且安全组、防火墙已放通。 在虚拟机1上部署httptest应用。
准备工作 应用灰度发布之前,您需要完成如下的准备工作。 创建虚拟私有云 虚拟私有云(Virtual Private Cloud,简称VPC)是用户在华为云上申请的隔离的、私密的虚拟网络环境。用户可以自由配置VPC内的IP地址段、子网、安全组等子服务,也可以申请弹性带宽和弹性IP搭建业务系统。
约束与限制 仅1.8 企业版 网格支持虚拟机治理,其他类型不支持,本文档后续章节均以1.8.4网格版本为例。 支持v1.19及以上版本集群。 支持扁平和非扁平网络架构。 如果是多集群,需要集群在同一个VPC,否则虚拟机与其他VPC集群网络不通。 不支持容器隧道网络集群。 不支持虚拟机和容器实例属于同一个服务。
1.8版本特性 托管版本支持扁平网络多集群 托管版本支持非扁平网络多集群 Mixer组件正式下线,访问日志、调用链和监控均基于数据面采集 EnvoyFilter增强,支持更多灵活的Insert操作 支持VM类型服务治理 启用基于AuthorizationPolicy的新的授权策略
添加集群 企业版网格支持对多个集群进行管理,且支持服务跨集群通信。 约束与限制 目前支持v1.15、v1.17、v1.19和v1.21版本的集群加入企业版网格。 不支持安全容器类型的CCE Turbo集群添加至网格。 同一网格最多只能添加五个集群。 同一虚拟私有云的集群只能加入同一个网格。
基本概念 工作负载 工作负载即Kubernetes对一组Pod的抽象模型,用于描述业务的运行载体,包括Deployment、Statefulset、Job、Deamonset等。 无状态工作负载(即Kubernetes中的“Deployments”):Pod之间完全独立、功能相同
Istio CNI与Init容器兼容性问题 问题背景 Istio CNI 插件可能会导致使用了 initContainer 的应用出现网络连通性问题。 使用 Istio CNI 时,kubelet 会通过以下步骤启动一个注入的 Pod: Istio CNI 插件在 Pod 内设置流量重定向到
产品优势 简单易用 无需修改任何服务代码,也无需手动安装代理,只需开启应用服务网格功能,即可实现丰富的无侵入服务治理能力。 内置金丝雀、蓝绿灰度发布流程 灰度版本一键部署,流量切换一键生效。 灰度策略可配置,支持流量比例、请求内容(Cookie、OS、浏览器等)。 一站式健康、性
1.15版本特性 支持Istio 1.15.7版本 支持v1.21、v1.23、v1.25、v1.27 CCE Turbo集群版本 支持v1.21、v1.23、v1.25、v1.27 CCE集群版本 修复了 CVE-2023-44487、CVE-2023-39325、CVE-2023-27487
虚拟机服务配置故障注入 故障注入是一种评估系统可靠性的有效方法,故意在待测试的系统中引入故障,从而测试其健壮性和应对故障的能力。有两种类型的故障注入,可以在转发前延迟(delay)请求,模拟缓慢的网络或过载的服务,也可以中断(abort)HTTP请求,并返回一个特定的HTTP状态
配置诊断 应用服务网格会对管理集群下的所有服务进行诊断,诊断结果为正常的服务,方可进行流量治理、流量监控及灰度发布等操作。 约束与限制 如果多个服务对应一个工作负载(Deployment),则不允许将这些服务加入网格进行治理,因为可能出现灰度发布、网关访问等功能异常。 如果服务的
ASM用户委托权限收缩指南 背景介绍 应用服务网格权限管理是通过IAM统一身份认证里的委托实现的,而2024年7月前已进行授权的用户可能存在委托权限过大的问题,鉴于安全考虑,建议通过下文指导进行委托的权限收缩。 操作步骤 登录IAM控制台。 在左侧菜单栏单击委托,在搜索框中,搜索asm_admin_trust
数据面sidecar升级不中断业务 应用服务网格作为集群网络管理的重要工具,为网格内的服务提供流量治理与流量监控的能力。sidecar作为应用服务网格数据面的重要组件,需要依赖服务业务pod的更新来实现sidecar的升级和重新注入。 本章节主要介绍如何实现数据面sidecar升级过程中,不中断服务的业务流量。
未认证的控制面DoS攻击(CVE-2022-23635) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 DoS CVE-2022-23635 2022-02-22 影响评分 7.5 高危 触发场景 简单安装时,Istiod是从集群内获取的,受攻击的可能性小一点。
启用服务网格后,状态一直为安装中 问题描述 为CCE集群启用服务网格(即购买网格)后,网格状态一直显示为“安装中”,鼠标放上去提示“正在启用istio服务网格:开通用户安全组规则成功”。 问题定位 登录CCE控制台,进入对应集群详情页,在“资源 > 命名空间”中查看istio-system命名空间是否存在。
约束与限制 集群限制 启用应用服务网格前,您需要创建或已有一个可用集群,并确保集群版本为v1.15、v1.17、v1.19、v1.21、v1.23、v1.25、v1.27、v1.28、v1.29。不支持安全容器类型的CCE Turbo集群添加至网格。 ASM 1.18之前的版本不支持CCE
权限管理 若用户没有应用服务网格权限,在登录应用服务网格控制台时会弹框提醒授权,单击“确定”即可完成授权,该授权永久生效。 asm_admin_trust包含的权限有:Tenant Guest和CCE FullAccess。在2024年7月前已进行授权的用户可能存在委托权限过大的
Bookinfo应用的灰度发布实践 应用服务网格(Application Service Mesh,简称ASM)是基于开源Istio推出的服务网格平台,它深度、无缝对接了企业级Kubernetes集群服务云容器引擎(CCE),在易用性、可靠性、可视化等方面进行了一系列增强,可为客户提供开箱即用的上手体验。
添加服务 Istio服务网格支持对运行在Kubernetes集群上的无状态工作负载进行流量治理和流量全方位监控,将服务加入网格后,可以实现服务的灰度发布、限流、熔断、会话保持等流量治理能力以及一站式、图形化拓扑的流量健康与性能、调用链监控。 前提条件 您需要创建或已有一个可用集群,并确保集群版本为1
灰度发布概述 灰度发布是迭代的软件产品在生产环境安全上线的一种重要手段。 应用服务网格基于Istio提供的服务治理能力,对服务提供多版本支持和灵活的流量策略,从而支持多种灰度发布场景。 当前版本支持金丝雀发布和蓝绿发布。 金丝雀发布 在生产环境上引一部分实际流量对一个新版本进行测
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
