检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
验证服务访问 虚拟机服务访问容器服务 容器服务访问虚拟机服务 虚拟机服务访问虚拟机服务 父主题: 虚拟机治理
容器服务访问虚拟机服务 启动ASM-PROXY后,容器内的服务可以访问虚拟机上的服务,如下图所示。 验证流程如下: 部署虚拟机服务:在虚拟机中部署httptest应用。 部署容器服务:在CCE集群中部署容器服务tomcat。 添加虚拟机服务到网格:不同于容器服务有自动注册能力,当
mcat为容器服务名称,vmns为命名空间。 执行以下命令,验证访问容器服务是否正常。 curl <tomcat>.<vmns>.svc:8080 如果回显信息类似如下,说明虚拟机服务访问容器服务正常。 父主题: 验证服务访问
虚拟机服务访问虚拟机服务 启动ASM-PROXY后,虚拟机服务之间可以互相访问,如下图所示。 验证流程 准备两台ECS虚拟机。 虚拟机1请参考部署ASM-PROXY部署PROXY,虚拟机2可以不用部署。但请确保虚拟机间网络正常,且安全组、防火墙已放通。 在虚拟机1上部署httptest应用。
为了提供灵活的服务访问控制,需要用到TLS和细粒度访问策略。 为了决定哪些人在哪些时间可以做哪些事,需要用到审计工具。 面对这些需求应用服务网格提供全面的安全解决方案,包括身份验证策略,透明的TLS加密以及授权和审计工具。 价值 默认的安全性:无需修改即可保证应用程序代码和架构的安全性。 纵深防御:与现有的安全系统结合并提供多层防御。
略中获取验证JWT令牌的公钥,可以是jwks(JSON Web Key Set)上配置的公钥,也可以是从jwksUri配置的公钥地址获取到的公钥。获得公钥后,网格代理使用该公钥对认证服务私钥签名的令牌进行验证,并解开令牌中的iss,验证是否匹配认证策略中的签发者信息。验证通过的请
虚拟机治理 方案介绍 约束与限制 部署ASM-PROXY 验证服务访问 流量治理 卸载ASM-PROXY
already exists” 已存在的报错则忽略。 功能验证 查看应用服务网格基本功能是否正常,如网关路由显示 ,网关访问等。 修改host地址为老ELB IP,验证业务功能是否正常。 若功能正常则将DNS解析地址改为老ELB IP。 验证正常后删除CCE ingress。 异常回退 若
删除该集群上部署的网关,可以在网关管理页面查看网关所属集群。 将对应的集群移除出企业版网格。 重复1-3步骤直到所有集群都移除出网格 功能验证 验证业务功能正常可用。 异常回退 将集群添加回企业版网格。 使用控制面kubectl 执行如下命令: kubectl create -f all-gw
kubectl create -f xx.yaml (可选)执行解除业务跨集群访问方案二 重复执行上述步骤1-7,直至所有集群迁移完毕。 功能验证 验证业务功能。 父主题: 1.0企业版网格迁移到基础版
istiod 验证业务功能若出现服务异常场景,单击处理,查看异常错误。 在CCE service页面修改 业务切流 业务切流有两种方案,可根据需要进行选择。 方案一 使用DNS切换后端ELB IP 在本地host将域名对应的ELB IP地址改为新的ELB IP。 本地验证功能,验证成功后修改DNS
访问对端集群的VPC IP。 登录集群A的一个节点,访问集群B的内网apiserver地址。 curl https://192.168.0.180:5443 -ik 如果对端长时间没有回复,说明网络存在问题,需要重新检查配置。 集群B访问集群A的验证方法相同。 访问对端集群的容器IP(非扁平网络跳过)
istiod-elb kubectl -nistio-system delete vs istiod 功能验证 查看console功能是否正常,如网关路由显示 ,网关访问等。 验证业务功能是否正常。 异常回退 登录应用服务网格控制台,在网格列表页面单击待删除网格右上角的卸载按钮卸载网
体负载分布。Local保留客户端源IP并避免LoadBalancer和NodePort类型服务的第二跳,但存在潜在的不均衡流量传播风险。 验证方式 结合httpbin镜像在“x-forward-for”字段中可以看到源IP,httpbin是一个HTTP Request & Response
Bookinfo应用的灰度发布实践 应用服务网格(Application Service Mesh,简称ASM)是基于开源Istio推出的服务网格平台,它深度、无缝对接了企业级Kubernetes集群服务云容器引擎(CCE),在易用性、可靠性、可视化等方面进行了一系列增强,可为客户提供开箱即用的上手体验。
Istio的认证策略包含PeerAuthentication和RequestAuthentication,RequestAuthentication策略用于配置服务的请求身份验证方法。 ServiceEntry 用于注册外部服务到网格内,并对其流量进行管理。 Sidecar 对Sidecar代理进行整体设置。 VirtualService
raffic.sidecar.istio.io/includeOutboundPorts: 注意:上述操作完成后会导致业务容器滚动升级。 验证方式 由于流量拦截配置最终会在容器内iptables中生效,执行下述指令查看配置是否生效: 登录到配置流量拦截策略工作负载所在节点,docker
通过丰富的路由规则、重试和故障注入,可以对流量行为进行细粒度控制。 通过可插入的策略层和配置API,支持访问控制、速率限制和配额。 对出入集群入口和出口中所有流量自动度量指标、日志记录和追踪。 通过强大的基于身份的验证和授权,在集群中实现安全的服务间通信。 Istio旨在实现可扩展性,满足各种部署需求。
percentage: value: 100 其中,599为自定义的HTTP状态码,100为故障百分比。 单击“确定”完成修改。 验证故障注入 在CCE集群中部署容器服务tomcat,具体操作请参见部署容器服务。 在kubectl节点执行以下命令,获取tomcat工作负载的Pod名称。
组,单击操作列的“配置规则”,添加入方向规则。 协议端口:选择“基本协议/全部协议”。 源地址:填写1中获取的CCE集群的容器网段。 结果验证 以场景二为例,在CCE集群中访问Turbo集群中的服务(假设为nginx-turbo),访问成功的回显示例如下: 图1 访问成功示例 父主题:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
