当网格内的应用需要与外部服务进行通信时,您可以使用出口网关作为统一的出口,集中管理所有的出站流量。通过配置出口网关,您可以实现对流量的安全控制和路由,提升网格内应用程序的安全性和可观测性。重要 阅读本文前,请确保您已经了解 ...
当网格内的应用需要与外部服务进行通信时,您可以使用出口网关作为统一的出口,集中管理所有的出站流量。通过配置出口网关,您可以实现对流量的安全控制和路由,提升网格内应用程序的安全性和可观测性。前提条件 已添加集群到ASM实例。已...
ASM通过Sidecar模式将网格代理容器加入到Pod,让网格代理容器与应用容器共同部署在同一Pod中、共享相同的网络命名空间,并使得网格代理透明地拦截和处理应用容器的入站和出站流量。本文主要介绍在ASM中使用原生Sidecar方式部署网格代理。...
阿里云 服务网格 ASM对Istio原生安全资源的场景进行封装,提供ASM安全策略功能,便于一站式配置常见的安全场景。本文介绍什么是ASM安全策略以及ASM安全策略的相关功能。什么是ASM安全策略 如果需要更高级别的安全能力,您需要配合使用多个...
阿里云 服务网格 ASM对Istio原生安全资源的场景进行封装,提供ASM安全策略功能,便于一站式配置常见的安全场景。本文介绍什么是ASM安全策略以及ASM安全策略的相关功能。什么是ASM安全策略 如果需要更高级别的安全能力,您需要配合使用多个...
Sidecar代理通常是一个专门的透明网络代理(如Envoy),用于拦截并处理应用容器的入站和出站流量,实现对底层网络功能的抽象化管理,例如负载均衡、服务发现、流量控制、重试和超时处理等。Sidecar代理与控制平面组件相互通信,控制平面...
为避免过期版本实例存在的安全和稳定性风险,同时保证您业务的连贯性,服务网格 ASM支持通过原地升级或金丝雀升级的方式升级控制平面和数据平面。本文介绍ASM实例升级前后的注意事项和说明、升级路径、升级流程和操作步骤等。前提条件 已...
为避免过期版本实例存在的安全和稳定性风险,同时保证您业务的连贯性,服务网格 ASM(Service Mesh)支持通过原地升级或金丝雀升级的方式升级控制面和数据面。本文介绍ASM实例升级前后的注意事项和说明、升级路径、升级流程和操作步骤等。...
互联网中间件 事件总线 云消息队列 RocketMQ 5.0 版 分布式任务调度 应用高可用服务 微消息队列 MQTT 服务网格 轻量消息队列(原 MNS)消息队列 RabbitMQ 版 存储与 CDN 内容分发 对象存储 全站加速 块存储 数据库文件存储 文件存储 HDFS ...
当Sidecar转发Pod的出站或入站请求时,将与ASM请求调度Agent进行交互,并从Agent处获取流量调度决策,进而对请求进行限流、排队等调度行为。ASM流量调度套件提供一系列预置的流量调度策略,这些策略将经过ASM请求调度控制器向ASM请求调度...
ASM对Istio原生安全资源的场景进行封装,提供ASM安全策略功能,便于一站式配置常见的安全场景。ASM集成了开放策略代理(OPA)插件,通过OPA定义访问控制策略,可以使您的应用实现细粒度的访问控制。本文介绍如何使用ASM安全策略接入外部OPA...
ASM对Istio原生安全资源的场景进行封装,提供ASM安全策略功能,便于一站式配置常见的安全场景。ASM集成了开放策略代理(OPA)插件,通过OPA定义访问控制策略,可以使您的应用实现细粒度的访问控制。本文介绍如何使用ASM安全策略接入外部OPA...
Sidecar代理拦截到该服务的所有入站和出站TCP通信,并与 服务网格 ASM控制面通信。前提条件 集群版本为v1.16及以上。如需升级集群,请参见 手动升级集群。如需使用RAM用户进行策略管理时,请确保该RAM用户拥有以下授权:cs:...
为default命名空间启用Sidecar网格代理自动注入。具体操作,请参见 启用自动注入。在default命名空间下部署应用。具体操作,请参见 在ASM实例关联的集群中部署应用。修改Sidecar代理最小的内存。登录 容器服务管理控制台,在左侧导航栏选择...
服务网格ASM支持针对网格内部署的工作负载发起网络包探测任务,获取一定时段内Pod内的TCP流量包信息,并转储到Kubernetes集群节点机器上以供下载查看。本文介绍网络包探测任务诊断网格内流量。背景信息 当应用接入服务网格后,由于应用本身...
服务网格ASM支持针对网格内部署的工作负载发起网络包探测任务,获取一定时段内Pod内的TCP流量包信息,并转储到Kubernetes集群节点机器上以供下载查看。本文介绍网络包探测任务诊断网格内流量。背景信息 当应用接入服务网格后,由于应用本身...
分类 名称 通用概念 Istio、托管服务网格(Managed Service Mesh)、控制面(Control Plane)、数据面(Data Plane)、命名空间(Namespace)计费相关 按量付费(pay-as-you-go)、资源包(Resource Plan)网格相关 集群与工作负载 ...
工作原理 阿里云 服务网格 ASM支持基于修订与标签的升级模式,以更稳定安全的方式执行新版本控制面的金丝雀升级。在新升级模式中,数据面的网格代理将与其使用的特定控制面版本相关联。这使得新版本能够以较低的风险在集群中部署,直到明确...
通过目标规则配置离群检测,可以使 服务网格 在给定的一段时间长度内观察服务响应发生错误的次数。如果服务的某个端点的错误次数超过给定阈值,则将此服务端点标记为不健康,并将此端点移出服务的可用端点列表(即驱逐此端点)。后续请求将...
通过目标规则配置离群检测,可以使 服务网格 在给定的一段时间长度内观察服务响应发生错误的次数。如果服务的某个端点的错误次数超过给定阈值,则将此服务端点标记为不健康,并将此端点移出服务的可用端点列表(即驱逐此端点)。后续请求将...
使用集群高可用配置和服务网格来应对应用的可用区级故障 为了应对可用区级别的故障,第一步需要将应用的工作负载均匀地部署在不同的可用区。ACK 支持多可用区(AZ)节点池。在节点池的创建和运行过程中,推荐您为节点池选择多个不同AZ的...
简称ASM)提供一个全托管式的 服务网格 平台,兼容社区Istio开源 服务网格,用于简化服务治理,包括服务调用之间的流量路由与拆分管理、服务间通信的认证安全以及网格可观测性能力,从而极大地减轻开发与运维的工作负担。阿里云服务网格ASM...
服务网格ASM支持打通多个集群的服务发现以及网络互访,结合多地域、多集群的服务对等部署模式,在任意的服务发生故障时,只要集群中还存在可用的服务工作负载实例,服务网格 ASM(Service Mesh)都可以秒级对流量目标实现无感切换,保证...
例如,如果特定的Sidecar需要针对网格外部的服务具有出口TLS设置,而不是需要网格中的每个Sidecar都具有该配置(这是默认行为),可以指定工作负载选择器。TrafficPolicy 应用到指定目的地的流量策略,作用于目的地的全部端口。字段 类型 ...
在网格拓扑控制台,选择 default 命名空间,带版本应用视角 选择 工作负载视角,查看工作负载之间的调用关系,流量走向。说明 您也可以在网格拓扑控制台设置命名空间为 default,带版本应用视角 选择 应用视角、服务视角 或 带版本视角,...
动态子集路由可以识别模型服务网格中每个运行时工作负载中正在运行的模型,通过ASM网关识别推理请求对应的模型,将请求精准地路由到正确的运行时工作负载,从而优化模型服务网格的路由决策,加速对推理请求的响应过程。有关动态子集路由的...
通过ACK One的服务网格功能,您可以实现多集群的一站式应用分发和流量治理。本文介绍如何在ACK One Fleet实例中开启和关闭 服务网格 以及如何将关联集群添加到 服务网格 中。前提条件 已开通 服务网格ASM 服务。已获取ASM服务关联角色...
关于 Ganos 地理网格模型 地理网格是一种用于再现地球表面的多边形网格单元集合,能够有效表示地物在地理空间中的位置信息,并融合其他各类时空数据。地理网格计算通常采用由粗到细的逐级分割方式,对地球表面进行处理。通过将地球的曲面用...
服务网格 ASM集成了可观测监控Prometheus版,可以实现对 服务网格 的监控。在开通ARMS之后,您可以在ARMS中为ACK集群一键安装Prometheus监控插件,此后即可通过ARMS预定义的仪表板监控Kubernetes集群的众多性能指标。本文介绍如何集成可...
服务网格 ASM集成了可观测监控Prometheus版,可以实现对 服务网格 的监控。在开通ARMS之后,您可以在ARMS中为ACK集群一键安装Prometheus监控插件,此后即可通过ARMS预定义的仪表板监控Kubernetes集群的众多性能指标。本文介绍如何集成可...
ASM支持使用自定义Metric的功能针对性输出监控指标,支持自定义网格级别、命名空间级别、工作负载级别的监控指标。本文介绍如何在 服务网格 ASM中自定义监控指标。前提条件 已添加集群到ASM实例。具体操作,请参见 添加集群到ASM实例。背景...
ASM支持使用自定义Metric的功能针对性输出监控指标,支持自定义网格级别、命名空间级别、工作负载级别的监控指标。本文介绍如何在 服务网格 ASM中自定义监控指标。前提条件 已添加集群到ASM实例。具体操作,请参见 添加集群到ASM实例。背景...
配置示例 示例一:允许foo命名空间中所有的工作负载都使用mTLS 说明 对于网格级别的配置,命名空间 namespace 字段需设置为 istio-system。apiVersion:security.istio.io/v1beta1 kind:PeerAuthentication metadata:name:default namespace...
配置示例 示例一:允许foo命名空间中所有的工作负载都使用mTLS 说明 对于网格级别的配置,命名空间 namespace 字段需设置为 istio-system。apiVersion:security.istio.io/v1beta1 kind:PeerAuthentication metadata:name:default namespace...
步骤四:为ASM实例和工作负载启用SMC加速 使用服务网格的KubeConfig编辑网格配置,添加"smcEnabled:true",以启用SMC加速功能。kubectl edit asmmeshconfig apiVersion:istio.alibabacloud....
简称ASM)提供了一个全托管式的服务网格平台,兼容于社区Istio开源服务网格,用于简化服务的治理,包括服务调用之间的流量路由与拆分管理、服务间通信的认证安全以及网格可观测性能力,从而极大地减轻开发与运维的工作负担。
若您使用自建的OIDC服务,请参考 ASM中集成Keycloak实现网格内应用单点登录 实现网格内应用的单点登录。登录 ASM控制台,在左侧导航栏,选择 服务网格 网格管理。在 网格管理 页面,单击目标实例名称,然后在左侧导航栏,选择 网格安全中心...
若您使用自建的OIDC服务,请参考 ASM中集成Keycloak实现网格内应用单点登录 实现网格内应用的单点登录。登录 ASM控制台,在左侧导航栏,选择 服务网格 网格管理。在 网格管理 页面,单击目标实例名称,然后在左侧导航栏,选择 网格安全中心...
基于访问日志分析自动推荐生成Sidecar资源对象的工作实现原理如下:通过分析数据平面网格代理产生的访问日志获取数据平面服务之间的调用依赖关系,为数据平面中的每个工作负载自动推荐生成相应的Sidecar资源对象。根据分析结果生成出...
当地域级故障发生时,特定地域下任何可用区内的服务都面临着无法连接、数据丢失以及工作负载无法运行等风险。服务网格 ASM(Service Mesh)支持将ASM入口网关部署在Kubernetes集群或 弹性容器实例 ECI(Elastic Container Instance)中,...