检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
通过隧道)传输到当前服务的实例。已经注入sidecar的服务实例之间,默认通过隧道进行通信,流量会自动进行TLS加密。 选择“对端认证”页签,单击“立即配置”,在弹出对话框中选择认证策略类型。 表1 参数说明 参数名称 参数说明 默认模式(UNSET) 如果父作用域配置了对端认证策略,服务将继承父作用域的配置。
端到端的透明安全 适用场景 众所周知,将传统的单体应用拆分为一个个微服务固然带来了各种好处,包括更好的灵活性、可伸缩性、重用性,但微服务也同样面临着特殊的安全需求,如下所示: 为了抵御中间人攻击,需要用到流量加密。 为了提供灵活的服务访问控制,需要用到TLS和细粒度访问策略。 为
Istiod TLS证书密钥滥用(CVE-2021-34824) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 TLS证书密钥滥用 CVE-2021-34824 2021-06-24 影响评分 9.1 高危 触发场景 同时满足下列三个条件: Istio版本为1
如果需要高可用,建议选择两个或以上不同可用区的节点。 设置完成后,在右侧的配置清单中确认网格配置,单击“提交”。 创建时间预计需要1~3分钟,请耐心等待。当网格状态从“安装中”变为“运行中”,表示网格创建成功。 一键创建Bookinfo应用 为集群开启应用服务网格功能后,可以通过“体验任务”创建一个Bookinfo应用Demo,具体操作如下:
1.3版本特性 基于Mixer的Metric、访问日志和调用链 支持SDS,证书轮换无需重启Pod 支持Sidecar API 控制面性能优化 华为私有版本Virtual Service Delegation上线,提前为大客户提供解耦Gateway流量配置 支持v1.13、v1.15、v1
当您的包年/包月ASM应用服务网格到期未续费,首先会进入宽限期,资源状态变为“已过期”。部分操作(更新网格,升级网格等)受限。 如果您在宽限期内仍未续费包年/包月ASM应用服务网格,那么就会进入保留期,资源状态变为“已冻结”,您将无法对处于保留期的包年/包月资源执行任何操作。 保留期
漏洞公告 未认证的控制面DoS攻击(CVE-2022-23635) Istiod TLS证书密钥滥用(CVE-2021-34824)
导致业务容器挂载文件属组被改成1337。 原因分析 因为k8s 版本bug: https://github.com/kubernetes/kubernetes/issues/57923 https://github.com/istio/istio/pull/27367 在1.8
台 > 费用中心 >总览“欠费金额”查看,华为云将在您充值时自动扣取欠费金额。 如果您在宽限期内仍未支付欠款,那么就会进入保留期,资源状态变为“已冻结”,您将无法对处于保留期的按需计费资源执行任何操作。 保留期到期后,若您仍未支付账户欠款,那么网格资源都将被释放,数据无法恢复 图2
应用服务网格生命周期 网格从购买到到期前,处于正常运行阶段,资源状态为“运行中”。 到期后,资源状态变为“已过期”。 到期未续费时,网格资源首先会进入宽限期,宽限期到期后仍未续费,网格资源状态变为“已冻结”。 超过宽限期仍未续费将进入保留期,如果保留期内仍未续费,资源将被自动删除。 华为
其中{revision} 为版本号,如1-13-9-r5),并重启部分pod进行测试,若无问题,则可以全部切换。 1.3和1.6版本升级到1.8版本,因为证书切换,sidecar需要同时全部重启。 父主题: 金丝雀升级
间,选择重启已有服务。 图1 命名空间注入配置 设置完成后单击“提交”。 创建时间预计需要5~10分钟,请耐心等待。当网格状态从“安装中”变为“运行中”,表示网格创建成功。 父主题: 为集群开通Istio(ASM 2.0)
terminationGracePeriodSeconds: 30 预期结果: 创建完成后会在无状态负载页面新增一条名称为zipkin的记录,其状态变为运行中表示zipkin已成功安装到该集群的monitoring命名空间下。 也可参考zipkin官网资料自行完成安装。 创建负载均衡服务。
登录应用服务网格控制台,单击待迁移的企业版网格名称进入网格详情页面,在在网关管理页面删除网格内的所有网关资源。 在网格详情页,单击“网格配置”进入基本信息页签,单击集群后面的“移除”按钮 。 是否重启已有服务选择“是”,勾选“取消注入sidecar会重启关联的Pod,将会暂时中断您的业务”,单击“确定”。
配置完成后,单击“策略下发”。 切为默认流量版本 执行某个版本(如V2版本)后的“接管所有流量”,V2版本将获取到原默认版本的全部流量。原默认版本流量将变为0。 下线灰度版本 如果下线了原默认版本,则该版本的流量会被新创建的灰度版本完全接管。 登录应用服务网格控制台,在左侧导航栏中选择“灰度发布”。
> 费用中心 > 总览”的“欠费金额”查看,华为云将在您充值时自动扣取欠费金额。 如果您在宽限期内仍未支付欠款,那么就会进入保留期,资源状态变为“已冻结”,您将无法对处于保留期的按需计费资源执行任何操作。 保留期到期后,若您仍未支付账户欠款,那么网格相关资源将被释放,数据无法恢复。
设置完成后,在页面右侧配置清单确认网格配置,确认无误后,单击“提交”。 创建网格预计需要1~3分钟,请耐心等待。当网格状态从“安装中”变为“运行中”,表示网格创建成功。 服务配置诊断 应用服务网格会对管理集群下的所有服务进行诊断,诊断结果为正常的服务才能进行灰度发布。 登录应
配置诊断失败的服务无法选择,需要先根据手动修复项或自动修复项进行修复。 访问端口 仅显示匹配对外协议的端口。 重写 (对外协议为HTTP/HTTPS时可配置) 重写HTTP/HTTPS的URI和Host/Authority头,于转发前执行。默认关闭。开启后,需要配置如下参数: URI:使用此值重写UR
在左侧导航栏选择“服务管理”,在列表右上方选择服务所在命名空间。 选择httpbin服务,单击操作列的“安全”,在右侧页面选择“JWT认证”页签,单击“立即配置”,在弹出的“JWT认证”页面填写如下信息: 发行者:JWT的颁发者,本文设置为“test”。 令牌受众:JWT受众列表,设置哪些服务可以使用JWT
定、业务代码无侵入 √ √ √ 应用网关 支持四层协议对外访问、支持七层协议对外访问、支持入口路径映射、支持网关处TLS终止,支持配置对外证书和密钥 √ √ √ 负载均衡 支持轮询、随机、最小连接数以及一致性哈希的LB算法,可以基于特定的HTTP Header,或者基于Cookie值
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
