启用自动注入 在ASM控制台中启动自动注入功能,可以在创建Pod的过程中,将Sidecar自动注入Proxy容器,以实现数据平面的网格化。本示例为default命名空间启用Sidecar网格代理自动注入。具体操作,请参见 管理全局命名空间。创建ECI Pod应用 ...
2.地址围栏实现用户的网格化管理;3.地址经纬度转换查询;4.多源业务地址关联匹配;5.各类热力图分析。金融风控场景 金融领域中,个人和企业开卡、开户、登记、填写信息的过程中,地址信息存在行政区划缺、漏、错、假的现象,对于地址不全...
步骤一:为目标命名空间启用自动注入 在ASM控制台中启动自动注入功能,可以在创建Pod的过程中,将Sidecar自动注入Proxy容器,以实现数据平面的网格化。本示例为default和vk命名空间启用Sidecar网格代理自动注入。具体操作,请参见 管理全局...
您可以通过ASM集群的kubeconfig查看跨集群网格代理的定义,跨集群网格代理有一个特殊的名称:asm-cross-network-${ACK ID}。您可以根据自己的需求,自行调节网关的资源和副本数等配置。说明 目前跨集群网格代理是一个TCP Proxy,无法进行L7...
以下示例定义网格中的服务请求httpbin应用时,如果httpbin应用无响应或与httpbin应用建立连接失败,会重新请求httpbin应用3次,每次的请求时间为5秒。apiVersion:networking.istio.io/v1beta1 kind:VirtualService metadata:name:httpbin ...
以下示例定义网格中的服务请求httpbin应用时,如果httpbin应用无响应或与httpbin应用建立连接失败,会重新请求httpbin应用3次,每次的请求时间为5秒。apiVersion:networking.istio.io/v1beta1 kind:VirtualService metadata:name:httpbin ...
以下示例定义网格中的服务请求httpbin应用时,如果httpbin应用无响应或与httpbin应用建立连接失败,会重新请求httpbin应用3次,每次的请求时间为5秒。apiVersion:networking.istio.io/v1beta1 kind:VirtualService metadata:name:httpbin ...
GetVmMeta 查询VM网格化所需的元数据信息。ModifyServiceMeshName 修改服务网格实例名称。ReActivateAudit 重新激活审计。RemoveClusterFromServiceMesh 从服务网格中删除一个集群。RemoveVmAppFromMesh 将VM应用从服务网格中删除。...
ASM支持通过Annotation方式修改Sidecar代理资源和配置,包括全局、命名空间级别以及工作负载级别的代理配置,实现更灵活、精细化的Sidecar代理功能管理。全部 通过Annotation方式配置Sidecar Proxy 增强网格诊断能力。ASM新增多项网格诊断...
两种命名空间的区别 通过 服务网格 ASM控制台或者使用ASM Kubeconfig定义的命名空间隶属于ASM实例本身,与该ASM管理的数据平面集群是独立的,因此ASM托管的控制平面的命名空间可以与数据平面集群的命名空间存在不同的情况。即在 服务网格 ...
因为访问的路径为/ip,不是授权策略中定义的/headers,所以不被授权策略约束。执行以下命令,带有 x-ext-authz:deny 请求头访问 httpbin.default:8000/headers。kubectl exec"$(kubectl get pod-l app=sleep-n default-o jsonpath={.items....
因为访问的路径为/ip,不是授权策略中定义的/headers,所以不被授权策略约束。执行以下命令,带有 x-ext-authz:deny 请求头访问 httpbin.default:8000/headers。kubectl exec"$(kubectl get pod-l app=sleep-n default-o jsonpath={.items....
因为访问的路径为/ip,不是授权策略中定义的/headers,所以不被授权策略约束。执行以下命令,带有 x-ext-authz:deny 请求头访问 httpbin.default:8000/headers。kubectl exec"$(kubectl get pod-l app=sleep-n default-o jsonpath={.items....
本文介绍服务网格ASM的路径规范化策略,以及如何配置路径规范化策略。背景信息 在服务网格对请求的处理过程中,HTTP请求的路径信息至关重要。例如,您可能使用授权策略来为Kubernetes集群中的工作负载提供安全保护,而在请求路径没有符合...
本文介绍服务网格ASM的路径规范化策略,以及如何配置路径规范化策略。背景信息 在服务网格对请求的处理过程中,HTTP请求的路径信息至关重要。例如,您可能使用授权策略来为Kubernetes集群中的工作负载提供安全保护,而在请求路径没有符合...
在使用 服务网格 ASM之前,您需要创建一个ASM实例,对应用服务进行流量管理、安全管理、故障恢复、观测监控等。本文介绍如何通过ASM控制台创建ASM实例。前提条件 已开通以下服务。服务网格 ASM 弹性伸缩(ESS)服务 访问控制(RAM)服务 已...
在使用 服务网格 ASM之前,您需要创建一个ASM实例,对应用服务进行流量管理、安全管理、故障恢复、观测监控等。本文介绍如何通过ASM控制台创建ASM实例。前提条件 已开通以下服务。服务网格 ASM 弹性伸缩(ESS)服务 访问控制(RAM)服务 已...
在使用 服务网格 ASM之前,您需要创建一个ASM实例,对应用服务进行流量管理、安全管理、故障恢复、观测监控等。本文介绍如何通过ASM控制台创建ASM实例。前提条件 已开通以下服务。服务网格 ASM 弹性伸缩(ESS)服务 访问控制(RAM)服务 已...
当您需要观测多个集群的流量拓扑,可以使用托管模式的网格拓扑功能。托管模式将网格拓扑服务以弹性容器实例(ECI)的方式部署,提高服务可靠性和易用性。整个网格实例只需要部署一个网格拓扑服务,减少配置的工作量。前提条件 已创建...
Sidecar代理将阻止应用访问未在网格中定义服务条目的外部主机,保障网格内应用的安全。说明 若您已开启REGISTRY_ONLY,但未 创建服务条目(ServiceEntry),外部服务访问会被拒绝。若您未开启REGISTRY_ONLY,也未 创建服务条目...
Sidecar代理将阻止应用访问未在网格中定义服务条目的外部主机,保障网格内应用的安全。说明 若您已开启REGISTRY_ONLY,但未 创建服务条目(ServiceEntry),外部服务访问会被拒绝。若您未开启REGISTRY_ONLY,也未 创建服务条目...
本文为您介绍 服务网格(servicemesh)为RAM权限策略定义的操作(Action)、资源(Resource)和条件(Condition)。服务网格(servicemesh)的RAM代码(RamCode)为 servicemesh,支持的授权粒度为 资源级。权限策略通用结构 权限策略支持...
阿里云 服务网格 ASM(Service Mesh)支持将指标数据上报到阿里云可观测链路OpenTelemetry版和多种类型的自建系统...在ASM中实现分布式跟踪 通过ASM实现gRPC链路追踪 使用可观测链路OpenTelemetry版实现网格内外应用的一体化追踪
如果您配置的网格规则内容存在一些冲突导致推送失败,Sidecar代理或者网关将接收不到最新的配置内容。虽然Sidecar代理或网关在不重启的情况下,可以使用已经接收到的配置继续运行,但是一旦这些Pod重启,很有可能导致Sidecar代理或网关启动...
ASM可以便捷地为部署在网格内的应用提供链路追踪能力,但要实现网格内和网格外应用的一体化追踪,需要使用可观测链路OpenTelemetry版以形成调用链。本文介绍如何通过阿里云可观测链路OpenTelemetry版,使网格外部应用调用网格内部应用并...
ASM可以便捷地为部署在网格内的应用提供链路追踪能力,但要实现网格内和网格外应用的一体化追踪,需要使用可观测链路OpenTelemetry版以形成调用链。本文介绍如何通过阿里云可观测链路OpenTelemetry版,使网格外部应用调用网格内部应用并...
ASM提供了对Istio配置状态的详细分析,以便标识无效或次优的配置。本文介绍此分析可能产生的实例配置相关的错误或警告消息的详细说明。IST0101:引用资源未找到 消息...IST0174:未知的目标规则域名 目标规则中定义的域名在服务网格中并未定义。
同时,数据面Kubernetes集群的命名空间必须与每个标签选择器中定义的所有规则相符,才能被该选择器选中。更多信息,请参见 配置服务发现范围提升网格配置的推送效率。二、基于访问日志分析自动推荐生成Sidecar对象,以减少代理资源消耗 此...
在Service Mesh中,不同的服务可能需要采集不同的可观测性数据,因此需要支持针对网格Waypoint与网关Pod分别定义采集配置规则,并统一标准化采集配置规则,以便更好地支持云原生应用的可观测性。可观测性在云原生应用中扮演着非常重要的...
网格管理 API 标题 API概述 ReActivateAudit 重建新的网格审计日志 调用ReActivateAudit重建新的网格审计日志。在开启网格审计后,如果误删了存储审计日志的logproject,可以重新创建一个空白的网格审计日志。DescribeNodesInstanceType ...
返回 步骤二:配置网格拓扑 的网格拓扑页面,查看网格拓扑。显示示例如下:可以看到productpage v1指向了reviews-v2,即在本可用区的reviews服务不可用时,会自动切换到另一可用区的reviews服务。步骤四:通过网格拓扑验证同AZ路由 将部署...
返回 步骤二:配置网格拓扑 的网格拓扑页面,查看网格拓扑。显示示例如下:可以看到productpage v1指向了reviews-v2,即在本可用区的reviews服务不可用时,会自动切换到另一可用区的reviews服务。步骤四:通过网格拓扑验证同AZ路由 将部署...
当您需要全面监控和审计服务网格内的KubeAPI操作时,可以使用KubeAPI操作审计功能,记录或追溯不同用户的日常操作。通过查看审计中心概览、账号操作详情、资源操作概览和指定资源的详细操作列表,您可以更好地追踪和分析关键事件,了解资源...
当您需要全面监控和审计服务网格内的KubeAPI操作时,可以使用KubeAPI操作审计功能,记录或追溯不同用户的日常操作。通过查看审计中心概览、账号操作详情、资源操作概览和指定资源的详细操作列表,您可以更好地追踪和分析关键事件,了解资源...
当您需要全面监控和审计服务网格内的KubeAPI操作时,可以使用KubeAPI操作审计功能,记录或追溯不同用户的日常操作。通过查看审计中心概览、账号操作详情、资源操作概览和指定资源的详细操作列表,您可以更好地追踪和分析关键事件,了解资源...
当您需要全面监控和审计服务网格内的OpenAPI操作时,可以使用OpenAPI操作审计功能,记录或追溯不同用户对网格的操作事件,提高网格的安全性和可追溯性。前提条件 已创建ASM实例。操作步骤 登录 ASM控制台,在左侧导航栏,选择 服务网格 ...
当您需要全面监控和审计服务网格内的OpenAPI操作时,可以使用OpenAPI操作审计功能,记录或追溯不同用户对网格的操作事件,提高网格的安全性和可追溯性。前提条件 已创建ASM实例。操作步骤 登录 ASM控制台,在左侧导航栏,选择 服务网格 ...
当您需要全面监控和审计服务网格内的OpenAPI操作时,可以使用OpenAPI操作审计功能,记录或追溯不同用户对网格的操作事件,提高网格的安全性和可追溯性。前提条件 已创建ASM实例。操作步骤 登录 ASM控制台,在左侧导航栏,选择 服务网格 ...
多个集群加入网格后可能存在通信需求,ASM会在添加集群时对集群的Pod CIDR、Service CIDR、vSwitch CIDR进行检查。集群必须通过CIDR冲突检查,才能够被添加至ASM实例。本文介绍使用ASM管理多个集群时,如何规划Flannel网络和Terway网络的...
自定义策略场景示例 场景一:授予单个网格实例的管理权限 您可以使用以下脚本创建拥有单个网格实例管理权限的策略,授予RAM用户或RAM角色该权限策略后,RAM用户或RAM角色只能管理指定ID的网格实例。说明 创建权限策略时,请将以下脚本中的 ...