检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
虚拟机服务添加网关和路由 网关(Gateway)定义了在网格出入口操作的负载均衡器,用于接收传入或传出的HTTP/TCP连接。 前提条件 已执行添加虚拟机服务到网格,即已创建v1版本的WorkloadEntry、ServiceEntry,已创建VirtualService、DestinationRule。
Bookinfo应用的灰度发布实践 应用服务网格(Application Service Mesh,简称ASM)是基于开源Istio推出的服务网格平台,它深度、无缝对接了企业级Kubernetes集群服务云容器引擎(CCE),在易用性、可靠性、可视化等方面进行了一系列增强,可为客户提供开箱即用的上手体验。
简单安装时,Istiod是从集群内获取的,受攻击的可能性小一点。 多集群场景安装的时候,15012端口是暴露在公网的,受攻击影响的可能性大一些。 根本原因 15012端口接收的请求不需要认证信息即可被Istiod处理,在大量向Istiod该端口发送请求时会导致Istiod服务不可用。 受影响版本 低于1.13.1版本的Istio
TLS加密的密文,且必须带有客户端证书。 JWT认证 在服务网格中配置JWT(JSON Web Token)请求授权,可以实现来源认证。在接收用户请求时,该配置用于认证请求头信息中的Access Token是否可信,并授权给来源合法的请求。 仅支持为HTTP协议的服务配置JWT认证。
验证服务访问 虚拟机服务访问容器服务 容器服务访问虚拟机服务 虚拟机服务访问虚拟机服务 父主题: 虚拟机治理
如上图的架构图所示,otel-collector包含了四个模块: Receivers 接收器Receivers是遥测数据进入otel-collector的方式,可以是推送或拉取。Receivers可以以多种格式接收遥测数据,例如上图中的OTLP、Jaeger、Prometheus格式。 Processors
欢迎使用应用服务网格 应用服务网格(Application Service Mesh,简称ASM)是基于开源Istio推出的服务网格平台,它深度、无缝对接了企业级Kubernetes集群服务云容器引擎(CCE),在易用性、可靠性、可视化等方面进行了一系列增强,可为客户提供开箱即用的上手体验。
流量治理 通过修改负载均衡方式,进行故障注入测试及配置基本连接池管理。 配置流量策略 登录应用服务网格控制台,在左侧导航栏中选择“流量治理”。 选择组件所在的集群和命名空间。 在拓扑图中,单击组件名称。在服务流量策略中,进行流量策略配置。 负载均衡算法 ROUND_ROBIN:轮询,默认负载均衡算法。
x-b3-sampled x-b3-flags x-ot-span-context 下面以一个典型的例子来说明如何在接收和发送请求时,通过修改代码来传递调用链相关Header信息。 Python代码示例 服务接收端在处理请求时,从请求端解析相关Header。在调用后端请求时,传递Trace相关的header。
x-b3-sampled x-b3-flags x-ot-span-context 下面以一个典型的例子来说明如何在接收和发送请求时,通过修改代码来传递调用链相关Header信息。 Python代码示例 服务接收端在处理请求时,从请求端解析相关Header。在调用后端请求时,传递Trace相关的header。
什么是应用服务网格 应用服务网格(Application Service Mesh,简称ASM)是华为云基于开源Istio推出的服务网格平台,它深度、无缝对接了华为云的企业级Kubernetes集群服务云容器引擎(CCE),在易用性、可靠性、可视化等方面进行了一系列增强,可为客户提供开箱即用的上手体验。
传统微服务SDK结合 适用场景 传统SDK开发的服务希望使用服务网格能力。 希望将Istio与微服务平台集成,并以Istio为基础打造一个微服务管控中心。 价值 提供Spring Cloud、Dubbo等传统微服务SDK的集成解决方案,传统的微服务SDK开发的业务代码无需大的修改
容器服务访问虚拟机服务 启动ASM-PROXY后,容器内的服务可以访问虚拟机上的服务,如下图所示。 验证流程如下: 部署虚拟机服务:在虚拟机中部署httptest应用。 部署容器服务:在CCE集群中部署容器服务tomcat。 添加虚拟机服务到网格:不同于容器服务有自动注册能力,当
虚拟机服务访问容器服务 启动ASM-PROXY后,虚拟机服务可以访问容器内的服务,如下图所示。 验证流程如下: 部署容器服务:在CCE集群中部署容器服务tomcat。 容器服务加入网格:将tomcat服务加入网格,确保服务诊断状态为正常。 访问容器服务:编辑虚拟机的/etc/ho
从服务级别下钻到服务版本级别,还可以进一步下钻到服务实例级别。通过实例级别的拓扑可以观察到配置了熔断规则后,网格如何隔离故障实例,使其逐渐接收不到流量。并且可以在故障实例正常时,如何进行实例的故障恢复,自动给恢复的实例重新分配流量。 父主题: 应用场景
虚拟机服务访问虚拟机服务 启动ASM-PROXY后,虚拟机服务之间可以互相访问,如下图所示。 验证流程 准备两台ECS虚拟机。 虚拟机1请参考部署ASM-PROXY部署PROXY,虚拟机2可以不用部署。但请确保虚拟机间网络正常,且安全组、防火墙已放通。 在虚拟机1上部署httptest应用。
yload和签名Signature。 头部Header 头部描述JWT的元数据,包括算法alg和类别typ等信息。alg描述签名算法,这样接收者可以根据对应的算法来验证签名,默认是如下所示的HS256,表示 HMAC-SHA256;typ表示令牌类型,设置为JWT,表示这是一个JWT类型的令牌。
在较高的层次上,Istio有助于降低这些部署的复杂性,并减轻开发团队的压力。它是一个完全开源的服务网格,可以透明地分层到现有的分布式应用程序上。它也是一个平台,包括允许集成到任何日志记录平台、遥测或策略系统的API。Istio的多样化功能使您能够成功高效地运行分布式微服务架构,并提供保护、连接和监控微服务的统一方法。
端到端的透明安全 适用场景 众所周知,将传统的单体应用拆分为一个个微服务固然带来了各种好处,包括更好的灵活性、可伸缩性、重用性,但微服务也同样面临着特殊的安全需求,如下所示: 为了抵御中间人攻击,需要用到流量加密。 为了提供灵活的服务访问控制,需要用到TLS和细粒度访问策略。 为
束的流量才可访问到灰度版本。例如,仅Cookie满足“User=Internal”的HTTP请求才能转发到灰度版本,其余请求仍然由默认版本接收。 图5 基于请求内容 Cookie内容 正则匹配:此处需要您使用正则表达式来匹配相应的规则。 自定义Header 完全匹配:只有完全匹配