产品优势
有了服务网格之后,我们就可以把 SDK 中的大部分能力从应用中剥离出来,拆解为独立进程,以 Sidecar 的模式部署。通过将服务治理能力下沉到基础设施,可以让业务更加专注于业务逻辑,中间件团队则更加专注于各种通用能力,真正实现独立演进...
集成云效实现蓝绿发布
代码提交后,执行阿里云云效流水线,生成镜像,自动将应用的流量管理(VirtualService、Gateway、DestinationRule)相关的资源创建或更新到阿里云 服务网格 ASM 集群中,将应用程序编排(Deployment、Service)创建或更新到阿里云容器服务...
使用OpenAPI操作审计
当您需要全面监控和审计服务网格内的OpenAPI操作时,可以使用OpenAPI操作审计功能,记录或追溯不同用户对网格的操作事件,提高网格的安全性和可追溯性。前提条件 已创建ASM实例。操作步骤 登录 ASM控制台,在左侧导航栏,选择 服务网格>...
使用OpenAPI操作审计
当您需要全面监控和审计服务网格内的OpenAPI操作时,可以使用OpenAPI操作审计功能,记录或追溯不同用户对网格的操作事件,提高网格的安全性和可追溯性。前提条件 已创建ASM实例。操作步骤 登录 ASM控制台,在左侧导航栏,选择 服务网格>...
DescribeServiceMeshes-获取服务网格列表
调用DescribeServiceMeshes获取服务网格列表。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 当前API暂无授权信息透出。请求参数 名称 类型...
管理虚拟服务
虚拟服务是 服务网格 ASM实现流量路由功能的关键资源之一。对于访问指定目标主机的流量,虚拟服务定义了一组流量路由规则,每个路由规则定义了特定的流量匹配条件。如果流量匹配,则将其转发到路由规则所指定的目标服务或者目标服务的版本...
管理虚拟服务
虚拟服务是 服务网格 ASM实现流量路由功能的关键资源之一。对于访问指定目标主机的流量,虚拟服务定义了一组流量路由规则,每个路由规则定义了特定的流量匹配条件。如果流量匹配,则将其转发到路由规则所指定的目标服务或者目标服务的版本...
通过ASM入口网关访问网格内gRPC服务
您可以通过ASM入口网关安全地访问网格内的gRPC服务,实现对gRPC服务的精确访问控制,提升服务治理能力,保障服务间通信的安全性。本文介绍如何通过入口网关访问网格内gRPC服务,并在gRPC的两个版本之间进行流量切换。前提条件 已 创建入口...
通过ASM入口网关访问网格内gRPC服务
您可以通过ASM入口网关安全地访问网格内的gRPC服务,实现对gRPC服务的精确访问控制,提升服务治理能力,保障服务间通信的安全性。本文介绍如何通过入口网关访问网格内gRPC服务,并在gRPC的两个版本之间进行流量切换。前提条件 已 创建入口...
CVE-2020-10739漏洞公告
攻击者向启用telemetry v2的 服务网格 服务发送特制的数据包,触发空指针异常,从而造成拒绝服务。本文介绍CVE-2020-10739漏洞的影响范围及防范措施。发送途径包括Ingress gateway或者Sidecar代理,详细描述请参见 ISTIO。影响范围 以下...
API概览
产品信息 API 标题 API概述 DescribeMetadata 获取服务网格ASM的基本信息 调用DescribeMetadata获取服务网格ASM的基本信息。网格实例 API 标题 API概述 CreateServiceMesh 创建一个服务网格实例 调用CreateServiceMesh创建一个服务网格实例...
添加集群到ASM实例
将ACK集群添加到ASM实例后,您可以利用ASM提供的流量管理、故障处理、统一监控和日志管理等功能,来增强系统的可靠性和安全性,更好地管理和监控服务交互,并提高服务的可观测性。前提条件 已创建ASM实例。已创建ACK集群。具体操作,请参见...
添加集群到ASM实例
将ACK集群添加到ASM实例后,您可以利用ASM提供的流量管理、故障处理、统一监控和日志管理等功能,来增强系统的可靠性和安全性,更好地管理和监控服务交互,并提高服务的可观测性。前提条件 已创建ASM实例。已创建ACK集群。具体操作,请参见...
对接Consul注册中心
服务网格 ASM提供了对接Consul注册中心功能,便于您将微服务迁移至ASM。本文介绍如何在ASM中对接Consul注册中心。前提条件 ASM版本需要升级到v1.7.5.31-g28ec7490-aliyun或者以上版本。已部署Consul作为服务注册中心,具体操作,请参见 ...
应用场景
服务网格 ASM主要适用于需要对应用服务进行流量管理、安全管理、故障恢复、观测监控以及微服务架构迁移的应用场景。本文介绍ASM的常见应用场景。流量管理 通过ASM,可以轻松实现基于配置的流量管理:将流量管理与基础设施管理分隔开来,并...
为工作负载设置访问策略
默认情况下,服务网格 内的工作负载可以互相访问。当您需要对集群中的工作负载进行访问控制和权限管理时,可以使用授权策略设置工作负载的访问条件(例如限制请求路径、方法和客户端IP等),确保只有符合要求的请求才能访问对应工作负载,...
为工作负载设置访问策略
默认情况下,服务网格 内的工作负载可以互相访问。当您需要对集群中的工作负载进行访问控制和权限管理时,可以使用授权策略设置工作负载的访问条件(例如限制请求路径、方法和客户端IP等),确保只有符合要求的请求才能访问对应工作负载,...
应用场景
SOFAStack 服务网格可以满足未容器化的虚拟机部署方案,也可以兼容过渡阶段的部分容器化和虚拟化混合部署的场景,加速企业云原生架构转型。金融场景网络安全 当前很多公司的微服务体系建设都建立在内网可信的假设之上,然而这个原则在当前...
使用KubeAPI操作审计
当您需要全面监控和审计服务网格内的KubeAPI操作时,可以使用KubeAPI操作审计功能,记录或追溯不同用户的日常操作。通过查看审计中心概览、账号操作详情、资源操作概览和指定资源的详细操作列表,您可以更好地追踪和分析关键事件,了解资源...
使用KubeAPI操作审计
当您需要全面监控和审计服务网格内的KubeAPI操作时,可以使用KubeAPI操作审计功能,记录或追溯不同用户的日常操作。通过查看审计中心概览、账号操作详情、资源操作概览和指定资源的详细操作列表,您可以更好地追踪和分析关键事件,了解资源...
管理目标规则
目标规则是服务网格ASM实现流量路由功能的关键资源之一。目标规则定义在路由发生后,发往目标服务的流量策略。目标规则指定了负载均衡、来自Sidecar的连接池大小以及异常检测设置的相关配置,以便从负载均衡池中检测并清除不健康的主机。...
功能特性
服务网格 ASM按照不同的功能及支撑能力划分为标准版、企业版和旗舰版,其中标准版为免费版本,其他两个版本为商业版。本文介绍 服务网格 ASM各个规格支持的功能。说明 商业版在标准版的基础上,增强了多协议支持以及动态扩展能力,提供精细...
JWT FAQ
您需要使用阿里云 服务网格 ASM的1.13及以上版本进行设置。使用JwksUri主要分为以下两种情况:JwksUri的地址为集群内部的服务:可以直接进行配置。JwksUri为集群外部的服务:需要配置对应的ServiceEntry。本文以Istio官方的JWT和Jwks为例...
JWT FAQ
您需要使用阿里云 服务网格 ASM的1.13及以上版本进行设置。使用JwksUri主要分为以下两种情况:JwksUri的地址为集群内部的服务:可以直接进行配置。JwksUri为集群外部的服务:需要配置对应的ServiceEntry。本文以Istio官方的JWT和Jwks为例...
管理目标规则
目标规则是服务网格ASM实现流量路由功能的关键资源之一。目标规则定义在路由发生后,发往目标服务的流量策略。目标规则指定了负载均衡、来自Sidecar的连接池大小以及异常检测设置的相关配置,以便从负载均衡池中检测并清除不健康的主机。...
启用控制平面日志采集和日志告警(新版)
服务网格ASM提供日志中心功能,支持从ASM控制台查看服务网格控制平面和数据平面日志。启用日志采集后,您可以通过日志中心查看控制平面日志、配置基于日志的告警规则、查看数据平面日志和相关的Dashboard。本文介绍如何启用控制平面日志...
启用控制平面日志采集和日志告警(新版)
服务网格ASM提供日志中心功能,支持从ASM控制台查看服务网格控制平面和数据平面日志。启用日志采集后,您可以通过日志中心查看控制平面日志、配置基于日志的告警规则、查看数据平面日志和相关的Dashboard。本文介绍如何启用控制平面日志...
管理ACK Serverless集群上的ECI Pod应用
本文介绍如何在 服务网格 ASM中管理运行在 ACK Serverless集群 上的ECI Pod应用。前提条件 已创建 ACK Serverless集群。具体操作,请参见 容器服务 Serverless 版使用快速入门。说明 创建 ACK Serverless集群 时,您需要启用PrivateZone...
什么是服务网格
服务网格(SOFAStack Mesh)是蚂蚁集团自主研发的基于金融级生产实践的增强版服务网格平台,将传统微服务和 Service Mesh 技术进行了深度融合,其核心技术经过了蚂蚁集团的大规模生产实践验证。它深度、无缝对接了 SOFAStack 经典应用服务...
为HTTP流量设置授权策略
登录 ASM控制台,在左侧导航栏,选择 服务网格>网格管理。在 网格管理 页面,单击目标实例名称,然后在左侧导航栏,选择 网格安全中心>授权策略,然后单击 使用YAML创建。在 创建 页面,选择 命名空间 为 default,选择任意 场景模版,将...
为HTTP流量设置授权策略
登录 ASM控制台,在左侧导航栏,选择 服务网格>网格管理。在 网格管理 页面,单击目标实例名称,然后在左侧导航栏,选择 网格安全中心>授权策略,然后单击 使用YAML创建。在 创建 页面,选择 命名空间 为 default,选择任意 场景模版,将...
使用网格拓扑观测同可用区优先路由
服务网格 ASM提供查看应用网格拓扑的功能。本文以入口网关访问bookinfo应用为例,介绍如何在ASM中结合网格拓扑观测同可用区优先路由(简称同AZ路由)。前提条件 已创建ASM实例。具体操作,请参见 创建ASM实例。已创建Kubernetes托管版集群...
计费说明
服务网格 ASM按照不同的功能及支撑能力划分为标准版、企业版和旗舰版,其中标准版为免费版本,其他两个版本为商业版,不同的版本计费标准不同。本文介绍 服务网格 ASM计费项和计费方式。计费项 网格管理:企业版和旗舰版在标准版的基础上...
使用网格拓扑观测同可用区优先路由
服务网格 ASM提供查看应用网格拓扑的功能。本文以入口网关访问bookinfo应用为例,介绍如何在ASM中结合网格拓扑观测同可用区优先路由(简称同AZ路由)。前提条件 已创建ASM实例。具体操作,请参见 创建ASM实例。已创建Kubernetes托管版集群...
ASM集成ArgoCD实现GitOps
步骤二:启用ASM的数据面KubeAPI访问能力 由于阿里云 服务网格 ASM是一个托管Istio兼容的控制平面,ArgoCD管理的 服务网格 ASM控制平面和数据平面(容器服务ACK)不在同一个Kubernetes集群环境中,因此需要在ASM中启用数据平面KubeAPI访问...
为什么注入Sidecar后,健康检查总失败或者无效
问题原因 在 服务网格 开启mTLS后,kubelet向Pod发送的健康检查请求被Sidecar拦截,而kubelet没有对应的TLS证书,导致健康检查失败。解决方案 配置端口健康检查流量免于经过Sidecar代理,具体操作步骤如下:配置端口健康检查流量免于经过...
ASM集成阿里云IDaaS实现网格内应用单点登录
网格内应用无需实现认证、鉴权逻辑,通过配置ASM自定义鉴权接入到阿里云IDaaS或任意支持OIDC协议的IdP进行鉴权和登录流程,鉴权通过后,将应用的请求以及认证信息一同被发往应用,应用可基于身份信息进行相应业务处理。相关概念 概念 说明 ...
ASM集成阿里云IDaaS实现网格内应用单点登录
网格内应用无需实现认证、鉴权逻辑,通过配置ASM自定义鉴权接入到阿里云IDaaS或任意支持OIDC协议的IdP进行鉴权和登录流程,鉴权通过后,将应用的请求以及认证信息一同被发往应用,应用可基于身份信息进行相应业务处理。相关概念 概念 说明 ...
配置推送优化概述
当您的数据平面中包含大量的命名空间与服务,而您只希望 服务网格 ASM仅对其中少数几个命名空间中的服务进行服务发现时,您可以使用服务发现范围配置功能来提升配置推送效率。Sidecar资源推荐 功能介绍 您可以使用Sidecar资源推荐功能,...
使用ASM实现基于位置的路由请求
基于Istio的阿里云 服务网格 ASM产品提供了基于位置的路由能力,可以将流量路由到最靠近的容器。这样可以确保服务调用的低延迟,并尽量保持服务调用在同一区域内,降低流量费用。本文介绍如何在ASM内实现基于位置的路由请求,以提高性能并...
- 产品推荐
- 这些文档可能帮助您