服务网格 ASM(Service Mesh)支持统一管理集群南北与东西向的所有流量,通过对流量的超时、重试、限流、熔断、排队、预热、回退等配置,基于服务网格从多个维度提升分布式系统的高可用能力。本文主要介绍各种服务网格高可用能力的概念以及...
调用DescribeServiceMeshDetail获取服务网格详情。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限...
调用UpdateMeshFeature更新服务网格的功能配置。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限...
默认情况下,服务网格 内的工作负载可以互相访问。当您需要对集群中的工作负载进行访问控制和权限管理时,可以使用授权策略设置工作负载的访问条件(例如限制请求路径、方法和客户端IP等),确保只有符合要求的请求才能访问对应工作负载,...
默认情况下,服务网格 内的工作负载可以互相访问。当您需要对集群中的工作负载进行访问控制和权限管理时,可以使用授权策略设置工作负载的访问条件(例如限制请求路径、方法和客户端IP等),确保只有符合要求的请求才能访问对应工作负载,...
本文介绍ASM的配置建议,包括网格诊断、网关、网格、API、服务治理等,帮助您规避错误的配置。网格诊断 ASM支持对实例进行网格诊断。诊断项包括数据平面版本检查、服务端口检查、服务关联检查等。建议您经常使用网格诊断功能对配置进行诊断...
本文介绍ASM的配置建议,包括网格诊断、网关、网格、API、服务治理等,帮助您规避错误的配置。网格诊断 ASM支持对实例进行网格诊断。诊断项包括数据平面版本检查、服务端口检查、服务关联检查等。建议您经常使用网格诊断功能对配置进行诊断...
可观测可视化 Grafana 版 的数据报表功能,支持将指定的整张大盘导出,也可以定时将指定大盘发送到预设的邮箱。重要 该功能在Grafana专家版、高级版中可用,若您为Grafana开发者版,请升级至专家版或者高级版再使用该功能。前提条件 数据...
为避免过期版本实例存在的安全和稳定性风险,同时保证您业务的连贯性,服务网格 ASM支持通过原地升级或金丝雀升级的方式升级控制平面和数据平面。本文介绍ASM实例升级前后的注意事项和说明、升级路径、升级流程和操作步骤等。前提条件 已...
获取服务网格列表。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限策略语句的 Action 元素中使用,...
为避免过期版本实例存在的安全和稳定性风险,同时保证您业务的连贯性,服务网格 ASM(Service Mesh)支持通过原地升级或金丝雀升级的方式升级控制面和数据面。本文介绍ASM实例升级前后的注意事项和说明、升级路径、升级流程和操作步骤等。...
服务网格(SOFAStack Mesh)是蚂蚁集团自主研发的基于金融级生产实践的增强版服务网格平台,将传统微服务和 Service Mesh 技术进行了深度融合,其核心技术经过了蚂蚁集团的大规模生产实践验证。它深度、无缝对接了 SOFAStack 经典应用服务...
视频介绍 流量路径 在Sidecar模式下,典型的流量路径如下图所示:Ambient模式 Ambient模式由Istio社区在2022年推出,旨在解决Sidecar模式的固有缺点。应用Pod内不再有Envoy代理。转而通过节点级的Ztunnel和独立部署的Waypoint实现L4和L7...
登录 ASM控制台,在左侧导航栏,选择 服务网格 网格管理。在 网格管理 页面,单击目标实例名称,然后在左侧导航栏,选择 数据面组件管理 Sidecar代理配置。在 Sidecar代理配置 页面的 全局 页签,单击 资源设置,选中 为Sidecar设定ACK动态...
对于网格内的请求,默认通过网格提供的mTLS证书完成请求身份的认证。确认了请求身份之后,您可以通过授权策略(AuthorizationPolicy)限制请求的行为。在提供了上述标准能力的同时,服务网格还支持接入自定义授权服务。自定义授权服务的...
对于网格内的请求,默认通过网格提供的mTLS证书完成请求身份的认证。确认了请求身份之后,您可以通过授权策略(AuthorizationPolicy)限制请求的行为。在提供了上述标准能力的同时,服务网格还支持接入自定义授权服务。自定义授权服务的...
Sidecar代理通常是一个专门的透明网络代理(如Envoy),用于拦截并处理应用容器的入站和出站流量,实现对底层网络功能的抽象化管理,例如负载均衡、服务发现、流量控制、重试和超时处理等。Sidecar代理与控制平面组件相互通信,控制平面...
步骤四:为ASM实例和工作负载启用SMC加速 使用服务网格的KubeConfig编辑网格配置,添加"smcEnabled:true",以启用SMC加速功能。kubectl edit asmmeshconfig apiVersion:istio.alibabacloud....
此策略提供针对网格内指定服务服务提供全局限流能力,相比Istio社区限流方案增加分用户限流、设置突发流量窗口、自定义请求token消耗速率等高级限流功能。使用RateLimitingPolicy实现分用户限流场景 基于平均延迟的请求优先级调度 基于平均...
当您需要对特定命名空间的应用程序进行精细化授权和访问控制时,可以启用OPA注入范围控制功能,仅添加了 opa-istio-injection=enabled 标签的命名空间下的Pod会注入OPA Sidecar代理,实现更细粒度的访问控制。前提条件 已添加集群到ASM实例...
当您需要对特定命名空间的应用程序进行精细化授权和访问控制时,可以启用OPA注入范围控制功能,仅添加了 opa-istio-injection=enabled 标签的命名空间下的Pod会注入OPA Sidecar代理,实现更细粒度的访问控制。前提条件 已添加集群到ASM实例...
GeoSOT是中国提出的一套地球空间剖分理论,并在此基础上发展出的一种离散化、多尺度区域位置标识体系,该地理网格使用由自然资源部测绘标准化研究所主持制定的GB/T 40087-2021标准,即《地球空间网格编码规则》。H3是Uber研发的一种覆盖...
GeoSOT是中国提出的一套地球空间剖分理论,并在此基础上发展出的一种离散化、多尺度区域位置标识体系,该地理网格使用由自然资源部测绘标准化研究所主持制定的GB/T 40087-2021标准,即《地球空间网格编码规则》。H3是Uber研发的一种覆盖...
servicemesh-operator servicemesh-operator组件用于在ACK集群中简化服务网格(ASM)的部署、升级和配置管理流程,从而快速启用ASM所提供的流量管理、安全和可观测性等强大功能。适用范围 ACK集群版本需为1.21或更高。使用说明 在ACK集群中...
关于 Ganos 地理网格模型 地理网格是一种用于再现地球表面的多边形网格单元集合,能够有效表示地物在地理空间中的位置信息,并融合其他各类时空数据。地理网格计算通常采用由粗到细的逐级分割方式,对地球表面进行处理。通过将地球的曲面用...
服务网格 ASM(Service Mesh)数据面基于Envoy实现了7层代理(包括网关、Sidecar和Waypoint),提供了多种扩展方式可以用于实现一些高级功能。本文将全面介绍当前ASM提供的各类扩展方式以及各自的使用场景。扩展方式 目前ASM主要提供了以下...
ASM的网格代理支持以监控指标的形式输出工作负载级别的token消耗数,您可以通过这些指标实时观测到当前工作负载的token消耗情况。ASM新增两个指标:asm_llm_proxy_prompt_tokens:输入token数。asm_llm_proxy_completion_tokens:输出token...
传统的手工测试本身是一种样本化的行为,通过导入真实流量形态,可以完整地模拟线上的所有情况,例如异常的特殊字符、带恶意攻击的Token等,帮助您探测预发布服务最真实的处理能力和对异常的处理能力。隔离测试数据库 与数据处理相关的业务...
传统的手工测试本身是一种样本化的行为,通过导入真实流量形态,可以完整地模拟线上的所有情况,例如异常的特殊字符、带恶意攻击的Token等,帮助您探测预发布服务最真实的处理能力和对异常的处理能力。隔离测试数据库 与数据处理相关的业务...
传统的手工测试本身是一种样本化的行为,通过导入真实流量形态,可以完整地模拟线上的所有情况,例如异常的特殊字符、带恶意攻击的Token等,帮助您探测预发布服务最真实的处理能力和对异常的处理能力。隔离测试数据库 与数据处理相关的业务...
背景信息 为了确保 服务网格 ASM正常工作,Istio需要在网格中的每个Pod中配置一个Envoy代理,通过Iptables规则控制Pod的流量,以便通过注入的Envoy代理将流量重定向到应用程序。因为每个Pod的Iptables规则都是网络命名,所以更改不会影响...
示例一:使用KubeAPI管理入口网关 登录 ASM控制台,在左侧导航栏,选择 服务网格 网格管理。在 网格管理 页面,单击目标实例名称,然后在左侧导航栏,选择 ASM网关 入口网关。在 入口网关 页面,单击 使用YAML创建。在 创建 页面,输入网关...
示例一:使用KubeAPI管理入口网关 登录 ASM控制台,在左侧导航栏,选择 服务网格 网格管理。在 网格管理 页面,单击目标实例名称,然后在左侧导航栏,选择 ASM网关 入口网关。在 入口网关 页面,单击 使用YAML创建。在 创建 页面,输入网关...
服务网格 ASM(Service Mesh)出口网关作为网格内流量的统一出口,可以执行TLS/mTLS请求的发起,进而实现全链路的加密通信。同时,出口网关也可以执行丰富的安全策略,实现更加精细的访问控制。在服务网格中,出口网关是实现出口流量管理的...
开发gRPC自定义授权服务 ASM兼容开源Istio服务网格,Istio社区提供了自定义授权服务的 开发示例。这部分代码中同时实现了HTTP和gRPC两种协议的自定义授权服务。本文涉及的gRPC部分主要逻辑在 extAuthzServerV3 这个结构体中:type ...
类型 配置项 全局级别 命名空间级别 工作负载级别 资源设置 注入的Istio代理资源设置 全部版本 1.10.5.34 1.13.4.20 按比例配置Sidecar资源 1.24.6.83 istio-init初始化容器资源设置 1.9.7.93 1.10.5.34 1.13.4.20 为Sidecar设定ACK动态...
开发gRPC自定义授权服务 ASM兼容开源Istio服务网格,Istio社区提供了自定义授权服务的 开发示例。这部分代码中同时实现了HTTP和gRPC两种协议的自定义授权服务。本文涉及的gRPC部分主要逻辑在 extAuthzServerV3 这个结构体中:type ...
在规则配置上,您可以在控制台上白屏化配置,降低使用策略治理相关能力的门槛。策略类型包括以下大类:Infra:基础设施层资源相关的策略类型。Compliance:基于 阿里云K8s加固 等Kubernetes合规规范定制的策略类型。PSP:替代Pod Security ...
服务网格 ASM(Service Mesh)从1.22.6.109版本开始支持使用Terraform Kubernetes Provider对ASM中的自定义资源进行操作,或是对网格功能特性进行修改。本文将通过两个示例介绍如何使用Terraform创建或修改ASM自定义资源。前提条件 已通过...
准备工作 已开通DataV-Atlas服务。(可选)创建项目分组:系统提供默认分组,您可 按需创建。(可选)SQL基础知识:项目案例中使用SQL查询方式分析数据,您可按需了解相关概念。(可选)Ganos时空引擎的语法:项目中使用Ganos时空引擎的...