背景信息 ASM授权策略支持为网格中的工作负载提供命名空间和工作负载级别的访问权限控制。由于授权策略属于流量管控能力,对授权策略的配置失误可能引起非预期的访问被拒绝或放行,这对网格管理人员的工作带来了很大挑战。一旦授权策略配置...
背景信息 ASM授权策略支持为网格中的工作负载提供命名空间和工作负载级别的访问权限控制。由于授权策略属于流量管控能力,对授权策略的配置失误可能引起非预期的访问被拒绝或放行,这对网格管理人员的工作带来了很大挑战。一旦授权策略配置...
新建命名空间 通过 服务网格 ASM控制台或者使用ASM KubeConfig定义的命名空间隶属于ASM实例本身,与该ASM管理的数据平面集群相对独立,因此ASM托管的控制平面的命名空间可以与数据平面集群的命名空间存在不同的情况。即在 服务网格 ASM控制...
在 网格管理 页面,单击目标实例名称,然后在左侧导航栏,选择 集群与工作负载管理 Kubernetes集群,然后单击 添加。在 添加Kubernetes集群 页面,选中需要添加的集群,然后单击 确定。如果应用服务运行于单集群或者同一VPC下的多集群时,...
在 网格管理 页面,单击目标实例名称,然后在左侧导航栏,选择 集群与工作负载管理 Kubernetes集群,然后单击 添加。在 添加Kubernetes集群 页面,选中需要添加的集群,然后单击 确定。如果应用服务运行于单集群或者同一VPC下的多集群时,...
在 网格管理 页面,单击目标实例名称,然后在左侧导航栏,选择 集群与工作负载管理 Kubernetes集群,然后单击 添加。在 添加Kubernetes集群 页面,选中需要添加的集群,然后单击 确定。如果应用服务运行于单集群或者同一VPC下的多集群时,...
当遇到配置更新推送耗时较长、控制平面负载过高、资源配置不够精确等问题时,您可以配置服务发现范围来提升控制平面向数据平面Sidecar代理的推送效率。通过限定ASM控制平面仅处理和发现指定命名空间下的应用,可以有效减少无效通信,加速...
在 网格管理 页面,单击目标实例名称,然后在左侧导航栏,选择 集群与工作负载管理 Kubernetes集群,然后单击 添加。在 添加Kubernetes集群 页面,选中需要添加的集群,然后单击 确定。如果应用服务运行于单集群或者同一VPC下的多集群时,...
服务网格 ASM(Service Mesh)支持使用具有集群管理员权限的Kubeconfig来导入任意类型的Kubernetes集群,并对其进行应用管理。本文介绍如何通过向ASM导入Kubeconfig的方式来添加Kubernetes集群。前提条件 已开通并创建ASM实例,且服务网格...
在Service Mesh中,不同的服务可能需要采集不同的可观测性数据,因此需要支持针对网格Waypoint与网关Pod分别定义采集配置规则,并统一标准化采集配置规则,以便更好地支持云原生应用的可观测性。可观测性在云原生应用中扮演着非常重要的...
服务网格ASM支持以Sidecar模式或Sidecarless模式为集群中的应用部署网格代理,以实现对底层网络功能的抽象化管理,例如负载均衡、服务发现、流量控制、安全性增强、流量可观测等。ASM通过Sidecar模式将网格代理容器加入到Pod,让网格代理...
您可以根据您实际的ASM版本选择合适的版本:API定义仓库 Clients仓库 若您的实例版本低于1.17,请前往Istio社区仓库获取依赖:API定义仓库 Clients仓库 准备工作 以下通过一段示例代码对使用Go SDK操作ASM资源进行说明。获取代码 将 asm-...
您可以根据您实际的ASM版本选择合适的版本:API定义仓库 Clients仓库 若您的实例版本低于1.17,请前往Istio社区仓库获取依赖:API定义仓库 Clients仓库 准备工作 以下通过一段示例代码对使用Go SDK操作ASM资源进行说明。获取代码 将 asm-...
重要 请勿频繁地重试或重试过长时间,避免出现级联的系统故障。解决方案 ASM支持使用虚拟服务定义HTTP请求重试策略。以下示例定义网格中的服务请求httpbin应用时,如果httpbin应用无响应或与httpbin应用建立连接失败,会重新请求httpbin...
重要 请勿频繁地重试或重试过长时间,避免出现级联的系统故障。解决方案 ASM支持使用虚拟服务定义HTTP请求重试策略。以下示例定义网格中的服务请求httpbin应用时,如果httpbin应用无响应或与httpbin应用建立连接失败,会重新请求httpbin...
重要 请勿频繁地重试或重试过长时间,避免出现级联的系统故障。解决方案 ASM支持使用虚拟服务定义HTTP请求重试策略。以下示例定义网格中的服务请求httpbin应用时,如果httpbin应用无响应或与httpbin应用建立连接失败,会重新请求httpbin...
当您需要将业务从Istio社区版迁移到 服务网格 ASM(Service Mesh),而现有的业务又不允许停止服务时,您可以通过新建ACK集群来对现有服务进行灰度切换。本文介绍如何在不停止服务的前提下将Istio社区版灰度迁移至ASM。卸载迁移与新建环境...
授权策略可以为网格中的工作负载启用访问控制能力。本文介绍授权策略的配置示例和字段说明。授权策略介绍 授权策略支持CUSTOM(自定义)、DENY(拒绝)和ALLOW(允许)三种规则,生效的优先级从高到低依次为:CUSTOM、DENY、ALLOW。工作...
在Service Mesh中,不同的服务可能需要采集不同的可观测性数据,因此需要支持针对网格代理与网关Pod分别定义采集配置规则,并统一标准化采集配置规则,以便更好地支持云原生应用的可观测性。可观测性在云原生应用中扮演着非常重要的角色,...
服务网格 ASM(Service Mesh)会为所有流入、流出及网格内部的服务流量生成指标,以便监控服务行为。这些指标包括总流量数、错误率和请求响应时间等信息。然而,长时间运行会生成大量的指标数据,显著增加了Envoy和Prometheus的资源消耗。...
如果您需要对网格外服务进行授权控制,请参见 对网格内服务访问外部网站进行授权控制 和 对网格内服务访问外部数据库进行授权控制。您可以启用网格审计功能,记录或追溯不同用户的日常操作,也可以为网格资源操作配置审计告警,在重要资源...
如果您需要对网格外服务进行授权控制,请参见 对网格内服务访问外部网站进行授权控制 和 对网格内服务访问外部数据库进行授权控制。您可以启用网格审计功能,记录或追溯不同用户的日常操作,也可以为网格资源操作配置审计告警,在重要资源...
或者需要优化模型推理效率、控制资源分配的问题时,可以使用模型服务网格自定义模型运行时,通过精细配置运行环境,确保每个模型都能在最适宜的条件下执行,提升服务质量、降低成本,并简化复杂模型的运维管理工作。本文介绍如何使用...
授权策略可以为网格中的工作负载启用访问控制能力。本文介绍授权策略的配置示例和字段说明。授权策略介绍 授权策略支持CUSTOM(自定义)、DENY(拒绝)和ALLOW(允许)三种规则,生效的优先级从高到低依次为:CUSTOM、DENY、ALLOW。工作...
部署在数据平面(即加入网格的Kubernetes集群)的Envoy Proxy可以输出所有访问日志。ASM支持自定义Envoy Proxy输出的访问日志内容。本文介绍如何自定义Envoy Proxy输出的访问日志内容。前提条件 已添加集群到ASM实例。已部署入口网关。已...
Istio控制面组件使用开源的xDS API直接配置gRPC应用,也就是说,您无需使用Sidecar,就可以使用流量路由、mTLS认证等功能管理工作负载。本文介绍如何在gRPC服务中使用无代理 服务网格 功能。前提条件 已创建ASM实例,且ASM实例为v1.12.4.2-...
默认情况下,服务网格 内的工作负载可以互相访问。当您需要对集群中的工作负载进行访问控制和权限管理时,可以使用授权策略设置工作负载的访问条件(例如限制请求路径、方法和客户端IP等),确保只有符合要求的请求才能访问对应工作负载,...
调用DescribeServiceMeshDetail获取服务网格详情。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限...
默认情况下,服务网格 内的工作负载可以互相访问。当您需要对集群中的工作负载进行访问控制和权限管理时,可以使用授权策略设置工作负载的访问条件(例如限制请求路径、方法和客户端IP等),确保只有符合要求的请求才能访问对应工作负载,...
调用UpdateMeshFeature更新服务网格的功能配置。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限...
本文介绍ASM的配置建议,包括网格诊断、网关、网格、API、服务治理等,帮助您规避错误的配置。网格诊断 ASM支持对实例进行网格诊断。诊断项包括数据平面版本检查、服务端口检查、服务关联检查等。建议您经常使用网格诊断功能对配置进行诊断...
本文介绍ASM的配置建议,包括网格诊断、网关、网格、API、服务治理等,帮助您规避错误的配置。网格诊断 ASM支持对实例进行网格诊断。诊断项包括数据平面版本检查、服务端口检查、服务关联检查等。建议您经常使用网格诊断功能对配置进行诊断...
部署在数据平面(即加入网格的Kubernetes集群)的Envoy Proxy可以输出所有访问日志。ASM支持自定义Envoy Proxy输出的访问日志内容。本文介绍如何自定义Envoy Proxy输出的访问日志内容。前提条件 已添加集群到ASM实例。已部署入口网关。已...
在 网格管理 页面,单击目标实例名称,然后在左侧导航栏,选择 网格安全中心 自定义授权服务,然后单击 关联自定义授权服务。在 关联自定义授权服务 页面,单击 基于envoy.ext_authz实现的自定义授权服务(HTTP或gRPC协议)页签,进行相关...
在 网格管理 页面,单击目标实例名称,然后在左侧导航栏,选择 网格安全中心 自定义授权服务,然后单击 关联自定义授权服务。在 关联自定义授权服务 页面,单击 基于envoy.ext_authz实现的自定义授权服务(HTTP或gRPC协议)页签,进行相关...
添加数据面集群并注入 Sidecar 代理 在阿里云 服务网格 ASM控制台,进入ASM实例后,在集群与工作负载管理中,添加希望流水线配置的ACK容器服务实例。并在 全局命名空间 中,为选定的命名空间(如default)启用 Sidecar 自动注入。创建ASM...
视频介绍 流量路径 在Sidecar模式下,典型的流量路径如下图所示:Ambient模式 Ambient模式由Istio社区在2022年推出,旨在解决Sidecar模式的固有缺点。应用Pod内不再有Envoy代理。转而通过节点级的Ztunnel和独立部署的Waypoint实现L4和L7...
服务网格 ASM(Service Mesh)支持为特定服务之间和特定路由上的东西向调用流量配置熔断规则,通过配置使网格代理主动拒绝出现故障上游服务的请求,实现无侵入式的流量熔断能力。本文介绍如何使用ASMCircuitBreaker CRD为东西向调用流量...
登录 ASM控制台,在左侧导航栏,选择 服务网格 网格管理。在 网格管理 页面,单击目标实例名称,然后在左侧导航栏,选择 流量管理中心 限流防护,然后单击 创建。在 创建 页面,按需进行以下配置,然后单击 确定。配置区域 配置项 说明 限...
对于网格内的请求,默认通过网格提供的mTLS证书完成请求身份的认证。确认了请求身份之后,您可以通过授权策略(AuthorizationPolicy)限制请求的行为。在提供了上述标准能力的同时,服务网格还支持接入自定义授权服务。自定义授权服务的...