检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
熔断 支持配置最大请求数、每连接最大请求数、最大等待请求数、最大重试次数等七层请求管理;支持配置最大连接数、连接超时时间等四层连接管理;支持异常点检查、故障实例的自动隔离和自动恢复 √ √ √ 治理流量类型 支持对服务间内部通信流量进行治理、支持对服务外网访问流量(即Ingress流量)进行治理
为了满足高可用的要求,集群需要至少包含两个可用节点,每个节点至少保证有2U4G的可用资源。 如果实例(Pod)需要跨集群通信,集群需要使用ENI网络模型,且集群之间网络互通,可以处于同一VPC内,也可以将多个集群的VPC通过其他方式(对等连接、云连接等)连通。 集群的服务网段、容器网段不能和网格内已选集群的服务网
码,默认返回500。 访问鉴权。 开启访问鉴权:当前服务只能被指定的服务访问,并且自动开启Mutual TLS。 关闭访问鉴权:当前服务能够被所有服务访问。 访问鉴权会默认授权给网关实例(ingressgateway),通过网关间接访问当前服务不会受到访问授权配置的影响。 查看流量监控
虚拟机上部署ASM-PROXY,且网格化后,可以设置灰度策略实现简单的灰度发布。如下图所示,虚拟机1上部署httptest应用(原版本v1),虚拟机2上部署httptest-canary应用(灰度版本v2),配置v1版本、v2版本分别50%的流量比例。当容器服务访问虚拟机服务时,50%的请求将由v
部署灰度版本。 实例数量 灰度版本的实例数量。灰度版本可以有一个或多个实例,用户可根据实际需求进行修改。每个灰度版本的实例都由相同的容器部署而成。 镜像名称 默认为该服务的镜像。 镜像版本 请选择需要添加灰度的镜像版本。 单击“部署灰度版本”,灰度版本开始创建。 请确保灰度版本的实例状态为
子网网段也不能冲突。 如果实例(Pod)需要跨集群通信,集群需要使用ENI网络模型,且集群之间网络互通,可以处于同一VPC内,也可以将多个集群的VPC通过其他方式(对等连接、云连接等)连通。网络连通请参见如何通过对等连接打通两个集群的VPC网络,实现实例跨集群通信?。 CCE集群和CCE
权限管理 若用户没有应用服务网格权限,在登录应用服务网格控制台时会弹框提醒授权,单击“确定”即可完成授权,该授权永久生效。 asm_admin_trust包含的权限有:Tenant Guest和CCE FullAccess。在2024年7月前已进行授权的用户可能存在委托权限过大的
注入,自动流量拦截,基于Kubernetes的服务和实例模型自动进行服务发现,在虚拟机场景下需要手动安装数据面Proxy(ASM-PROXY),在安装过程中初始化流量拦截。具体来说,ASM-PROXY是虚拟机部署工具包,用于连接虚拟机应用所在的数据平面与ASM提供的控制平面。AS
e A的所有实例。 在后续Service A访问Service B时,由于Service A所有实例的Envoy中已经存在Service B的路由信息,请求将会被直接转发给Service B的实例。 而对于Service A未访问过的服务,Service A所有实例的Envoy中
两个资源,DestinationRule定义了网格中某个Service对外提供服务的策略及规则,包括负载均衡策略、异常点监测、熔断控制、访问连接池等。 EnvoyFilter EnvoyFilter为服务网格控制面提供更强大的扩展能力,使Envoy中Filter Chain具备自定义配置的能力。
下,网关会访问失败。 卸载服务网格将会卸载Istio控制面组件及数据面sidecar。 卸载后,应用的对外访问方式将无法继续使用,请将旧的对外访问方式改为用service方式对外发布。 如需更新对外访问方式,请在CCE控制台“资源 > 服务发现”页面创建服务暴露对外访问方式。 对
拷贝到您的客户端机器,完成配置后,即可以使用访问kubernetes集群。 登录应用服务网格控制台,在左侧导航栏中选择“网格管理”。 单击托管网格名称进入网格管理详情。 在“访问控制面群”页签,参照界面提示完成对应配置。 父主题: 用户指南(旧版)
实例级别的拓扑可以观察到配置了熔断规则后,网格如何隔离故障实例,使其逐渐接收不到流量。并且可以在故障实例正常时,如何进行实例的故障恢复,自动给恢复的实例重新分配流量。 父主题: 应用场景
设置完成后会在服务页面增加一条服务名称为zipkin的记录,如下: 如果不需要访问Zipkin UI,访问类型可选择集群内访问。 购买网格,配置对接Zipkin服务。 登录应用服务网格页面,单击“购买网格”,选择步骤1的集群,“可观测性配置--调用链”启用调用链,选择“第三方Jaeger/Zipkin服务
令牌验证由网格执行,彻底解耦用户业务中的认证逻辑,使应用程序专注于自身业务。基于Istio的JWT完整机制如图1所示。 图1 Istio JWT认证流程 ① 客户端连接认证服务,提供用户名和密码; ② 认证服务验证用户名和密码,生成JWT令牌,包括用户标识和过期时间等信息,并使用认证服务的私钥签名;
目前支持基于Cookie内容、自定义Header、Query、操作系统和浏览器的规则约束,只有满足规则约束的流量才可访问到灰度版本。实际应用时,可能会多次修改规则,从而充分验证灰度版本运行效果。 登录应用服务网格控制台,单击服务网格的名称,进入网格详情页面。 在左侧导航栏选择“灰度发布”,单击金丝雀发布任务的名称。
正则匹配:此处需要您使用正则表达式来匹配相应的规则 可以自定义请求头的key和value,value支持完全匹配和正则匹配。 允许访问的操作系统:请选择允许访问的操作系统。 允许访问的浏览器:请选择允许访问的浏览器。 灰度策略规则描述:当前服务的流量转发的规则描述信息及Yaml的查看。 基于流量比例发布 对
多个集群的VPC通过其他方式(对等连接、云连接等)连通。 对等连接可参考:创建同一账户下的对等连接。 云连接可参考:同区域同账号VPC互通。 非扁平网络对用户集群的网络模型没有特别的要求,用户集群只需要将Gateway地址暴露出来,供其他集群访问即可。但是因为使用集中的流量入口,
漏洞公告 未认证的控制面DoS攻击(CVE-2022-23635) Istiod TLS证书密钥滥用(CVE-2021-34824)
io/excludeOutboundIPRanges 注解以使访问该网段的流量不会被重定向到 Sidecar。 对 initContainer 所访问的目标端口,通过设置 traffic.sidecar.istio.io/excludeOutboundPorts 注解以使访问该端口的流量不会被重定向到 Sidecar。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
