检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
漏洞公告 未认证的控制面DoS攻击(CVE-2022-23635) Istiod TLS证书密钥滥用(CVE-2021-34824)
未认证的控制面DoS攻击(CVE-2022-23635) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 DoS CVE-2022-23635 2022-02-22 影响评分 7.5 高危 触发场景 简单安装时,Istiod是从集群内获取的,受攻击的可能性小一点。
Istiod TLS证书密钥滥用(CVE-2021-34824) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 TLS证书密钥滥用 CVE-2021-34824 2021-06-24 影响评分 9.1 高危 触发场景 同时满足下列三个条件: Istio版本为1
* (可选) Deletegate VS整改,详见1.3升级1.8 VirtualService支持Delegate切换。 仅1.6企业版涉及,1.8版本以上console仅支持delegate vs展示,如果不使用console可不整改 检查是否使用了如下废弃资源cluster
with LoadBalancerIP 原因分析 istio-system命名空间下有gatewayservice残留。残留原因是一键删除模板实例前没有删除已添加的对外访问配置。 解决方法 istio-system命名空间下残留gatewayservice,需要删除该service。
Header、Cookie内容等配置灰度分流策略,支持基于URL配置灰度分流策略,支持基于请求参数、流量权重的灰度发布 √ √ √ 支持金丝雀灰度发布模板 - √ √ 支持蓝绿灰度发布模板 - √ √ 支持灰度发布过程中服务运行情况的监控以辅助灰度发布决策 - √ √ 支持灰度发布过程中服务请求情况的监控以辅助灰度发布决策
Header、Cookie内容等配置灰度分流策略,支持基于URL配置灰度分流策略,支持基于请求参数、流量权重的灰度发布 √ √ √ 支持金丝雀灰度发布模板 - √ √ 支持蓝绿灰度发布模板 - √ √ 支持灰度发布过程中服务运行情况的监控以辅助灰度发布决策 - √ √ 支持灰度发布过程中服务请求情况的监控以辅助灰度发布决策
升级前网关配置检查(1.8及以上的版本不涉及)。 1.8及以上版本网关监听端口需要大于1024,若您的网关使用了小于1024以及以下的端口需要进行整改。 升级前组件亲和性检查。 金丝雀升级将在集群里新部署一套网格控制面和网关实例,升级前需要至少确保如下一个条件。 具有istio:master
25、v1.27 CCE集群版本 修复了 CVE-2023-44487、CVE-2023-39325、CVE-2023-27487 等安全漏洞 详细内容请参阅:https://istio.io/latest/news/releases/1.15.x/announcing-1.15
pbin,端口协议为http,端口号为80。 网格中已为httpbin服务创建可访问的网关。 创建JWT认证 创建JWK。 访问JWT工具网站,选择“Algorithm”为“RS512”,获取公钥(PUBLIC KEY)。 图1 生成公钥 在JWK to PEM Convertor
就绪”。 问题定位 登录CCE控制台,进入对应集群详情页,在左侧导航栏选择“运维 > 模板管理”。 单击“模板实例”页签,查看模板实例和卸载失败最新事件。 可以看到istio-master模板实例的执行状态为“卸载失败”,并且最新事件提示如下信息: deletion failed
信息拓扑等一目了然。 图1 流量监控 结合应用运维管理 AOM、应用性能管理 APM服务,ASM提供了详细的微服务级流量监控、异常响应流量报告以及调用链信息,实现更快速、更准确的问题定位。 性能增强,可靠性增强 控制面和数据面在社区版本基础上进行可靠性加固和性能优化。 多云多集群、多基础设施
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
