有了服务网格之后,我们就可以把 SDK 中的大部分能力从应用中剥离出来,拆解为独立进程,以 Sidecar 的模式部署。通过将服务治理能力下沉到基础设施,可以让业务更加专注于业务逻辑,中间件团队则更加专注于各种通用能力,真正实现独立演进...
代码提交后,执行阿里云云效流水线,生成镜像,自动将应用的流量管理(VirtualService、Gateway、DestinationRule)相关的资源创建或更新到阿里云 服务网格 ASM 集群中,将应用程序编排(Deployment、Service)创建或更新到阿里云容器服务...
当您需要全面监控和审计服务网格内的OpenAPI操作时,可以使用OpenAPI操作审计功能,记录或追溯不同用户对网格的操作事件,提高网格的安全性和可追溯性。前提条件 已创建ASM实例。操作步骤 登录 ASM控制台,在左侧导航栏,选择 服务网格>...
当您需要全面监控和审计服务网格内的OpenAPI操作时,可以使用OpenAPI操作审计功能,记录或追溯不同用户对网格的操作事件,提高网格的安全性和可追溯性。前提条件 已创建ASM实例。操作步骤 登录 ASM控制台,在左侧导航栏,选择 服务网格>...
调用DescribeServiceMeshes获取服务网格列表。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 当前API暂无授权信息透出。请求参数 名称 类型...
虚拟服务是 服务网格 ASM实现流量路由功能的关键资源之一。对于访问指定目标主机的流量,虚拟服务定义了一组流量路由规则,每个路由规则定义了特定的流量匹配条件。如果流量匹配,则将其转发到路由规则所指定的目标服务或者目标服务的版本...
虚拟服务是 服务网格 ASM实现流量路由功能的关键资源之一。对于访问指定目标主机的流量,虚拟服务定义了一组流量路由规则,每个路由规则定义了特定的流量匹配条件。如果流量匹配,则将其转发到路由规则所指定的目标服务或者目标服务的版本...
您可以通过ASM入口网关安全地访问网格内的gRPC服务,实现对gRPC服务的精确访问控制,提升服务治理能力,保障服务间通信的安全性。本文介绍如何通过入口网关访问网格内gRPC服务,并在gRPC的两个版本之间进行流量切换。前提条件 已 创建入口...
您可以通过ASM入口网关安全地访问网格内的gRPC服务,实现对gRPC服务的精确访问控制,提升服务治理能力,保障服务间通信的安全性。本文介绍如何通过入口网关访问网格内gRPC服务,并在gRPC的两个版本之间进行流量切换。前提条件 已 创建入口...
攻击者向启用telemetry v2的 服务网格 服务发送特制的数据包,触发空指针异常,从而造成拒绝服务。本文介绍CVE-2020-10739漏洞的影响范围及防范措施。发送途径包括Ingress gateway或者Sidecar代理,详细描述请参见 ISTIO。影响范围 以下...
产品信息 API 标题 API概述 DescribeMetadata 获取服务网格ASM的基本信息 调用DescribeMetadata获取服务网格ASM的基本信息。网格实例 API 标题 API概述 CreateServiceMesh 创建一个服务网格实例 调用CreateServiceMesh创建一个服务网格实例...
将ACK集群添加到ASM实例后,您可以利用ASM提供的流量管理、故障处理、统一监控和日志管理等功能,来增强系统的可靠性和安全性,更好地管理和监控服务交互,并提高服务的可观测性。前提条件 已创建ASM实例。已创建ACK集群。具体操作,请参见...
将ACK集群添加到ASM实例后,您可以利用ASM提供的流量管理、故障处理、统一监控和日志管理等功能,来增强系统的可靠性和安全性,更好地管理和监控服务交互,并提高服务的可观测性。前提条件 已创建ASM实例。已创建ACK集群。具体操作,请参见...
服务网格 ASM提供了对接Consul注册中心功能,便于您将微服务迁移至ASM。本文介绍如何在ASM中对接Consul注册中心。前提条件 ASM版本需要升级到v1.7.5.31-g28ec7490-aliyun或者以上版本。已部署Consul作为服务注册中心,具体操作,请参见 ...
服务网格 ASM主要适用于需要对应用服务进行流量管理、安全管理、故障恢复、观测监控以及微服务架构迁移的应用场景。本文介绍ASM的常见应用场景。流量管理 通过ASM,可以轻松实现基于配置的流量管理:将流量管理与基础设施管理分隔开来,并...
默认情况下,服务网格 内的工作负载可以互相访问。当您需要对集群中的工作负载进行访问控制和权限管理时,可以使用授权策略设置工作负载的访问条件(例如限制请求路径、方法和客户端IP等),确保只有符合要求的请求才能访问对应工作负载,...
默认情况下,服务网格 内的工作负载可以互相访问。当您需要对集群中的工作负载进行访问控制和权限管理时,可以使用授权策略设置工作负载的访问条件(例如限制请求路径、方法和客户端IP等),确保只有符合要求的请求才能访问对应工作负载,...
SOFAStack 服务网格可以满足未容器化的虚拟机部署方案,也可以兼容过渡阶段的部分容器化和虚拟化混合部署的场景,加速企业云原生架构转型。金融场景网络安全 当前很多公司的微服务体系建设都建立在内网可信的假设之上,然而这个原则在当前...
当您需要全面监控和审计服务网格内的KubeAPI操作时,可以使用KubeAPI操作审计功能,记录或追溯不同用户的日常操作。通过查看审计中心概览、账号操作详情、资源操作概览和指定资源的详细操作列表,您可以更好地追踪和分析关键事件,了解资源...
当您需要全面监控和审计服务网格内的KubeAPI操作时,可以使用KubeAPI操作审计功能,记录或追溯不同用户的日常操作。通过查看审计中心概览、账号操作详情、资源操作概览和指定资源的详细操作列表,您可以更好地追踪和分析关键事件,了解资源...
目标规则是服务网格ASM实现流量路由功能的关键资源之一。目标规则定义在路由发生后,发往目标服务的流量策略。目标规则指定了负载均衡、来自Sidecar的连接池大小以及异常检测设置的相关配置,以便从负载均衡池中检测并清除不健康的主机。...
服务网格 ASM按照不同的功能及支撑能力划分为标准版、企业版和旗舰版,其中标准版为免费版本,其他两个版本为商业版。本文介绍 服务网格 ASM各个规格支持的功能。说明 商业版在标准版的基础上,增强了多协议支持以及动态扩展能力,提供精细...
您需要使用阿里云 服务网格 ASM的1.13及以上版本进行设置。使用JwksUri主要分为以下两种情况:JwksUri的地址为集群内部的服务:可以直接进行配置。JwksUri为集群外部的服务:需要配置对应的ServiceEntry。本文以Istio官方的JWT和Jwks为例...
您需要使用阿里云 服务网格 ASM的1.13及以上版本进行设置。使用JwksUri主要分为以下两种情况:JwksUri的地址为集群内部的服务:可以直接进行配置。JwksUri为集群外部的服务:需要配置对应的ServiceEntry。本文以Istio官方的JWT和Jwks为例...
目标规则是服务网格ASM实现流量路由功能的关键资源之一。目标规则定义在路由发生后,发往目标服务的流量策略。目标规则指定了负载均衡、来自Sidecar的连接池大小以及异常检测设置的相关配置,以便从负载均衡池中检测并清除不健康的主机。...
服务网格ASM提供日志中心功能,支持从ASM控制台查看服务网格控制平面和数据平面日志。启用日志采集后,您可以通过日志中心查看控制平面日志、配置基于日志的告警规则、查看数据平面日志和相关的Dashboard。本文介绍如何启用控制平面日志...
服务网格ASM提供日志中心功能,支持从ASM控制台查看服务网格控制平面和数据平面日志。启用日志采集后,您可以通过日志中心查看控制平面日志、配置基于日志的告警规则、查看数据平面日志和相关的Dashboard。本文介绍如何启用控制平面日志...
本文介绍如何在 服务网格 ASM中管理运行在 ACK Serverless集群 上的ECI Pod应用。前提条件 已创建 ACK Serverless集群。具体操作,请参见 容器服务 Serverless 版使用快速入门。说明 创建 ACK Serverless集群 时,您需要启用PrivateZone...
服务网格(SOFAStack Mesh)是蚂蚁集团自主研发的基于金融级生产实践的增强版服务网格平台,将传统微服务和 Service Mesh 技术进行了深度融合,其核心技术经过了蚂蚁集团的大规模生产实践验证。它深度、无缝对接了 SOFAStack 经典应用服务...
登录 ASM控制台,在左侧导航栏,选择 服务网格>网格管理。在 网格管理 页面,单击目标实例名称,然后在左侧导航栏,选择 网格安全中心>授权策略,然后单击 使用YAML创建。在 创建 页面,选择 命名空间 为 default,选择任意 场景模版,将...
登录 ASM控制台,在左侧导航栏,选择 服务网格>网格管理。在 网格管理 页面,单击目标实例名称,然后在左侧导航栏,选择 网格安全中心>授权策略,然后单击 使用YAML创建。在 创建 页面,选择 命名空间 为 default,选择任意 场景模版,将...
服务网格 ASM提供查看应用网格拓扑的功能。本文以入口网关访问bookinfo应用为例,介绍如何在ASM中结合网格拓扑观测同可用区优先路由(简称同AZ路由)。前提条件 已创建ASM实例。具体操作,请参见 创建ASM实例。已创建Kubernetes托管版集群...
服务网格 ASM按照不同的功能及支撑能力划分为标准版、企业版和旗舰版,其中标准版为免费版本,其他两个版本为商业版,不同的版本计费标准不同。本文介绍 服务网格 ASM计费项和计费方式。计费项 网格管理:企业版和旗舰版在标准版的基础上...
服务网格 ASM提供查看应用网格拓扑的功能。本文以入口网关访问bookinfo应用为例,介绍如何在ASM中结合网格拓扑观测同可用区优先路由(简称同AZ路由)。前提条件 已创建ASM实例。具体操作,请参见 创建ASM实例。已创建Kubernetes托管版集群...
步骤二:启用ASM的数据面KubeAPI访问能力 由于阿里云 服务网格 ASM是一个托管Istio兼容的控制平面,ArgoCD管理的 服务网格 ASM控制平面和数据平面(容器服务ACK)不在同一个Kubernetes集群环境中,因此需要在ASM中启用数据平面KubeAPI访问...
问题原因 在 服务网格 开启mTLS后,kubelet向Pod发送的健康检查请求被Sidecar拦截,而kubelet没有对应的TLS证书,导致健康检查失败。解决方案 配置端口健康检查流量免于经过Sidecar代理,具体操作步骤如下:配置端口健康检查流量免于经过...
网格内应用无需实现认证、鉴权逻辑,通过配置ASM自定义鉴权接入到阿里云IDaaS或任意支持OIDC协议的IdP进行鉴权和登录流程,鉴权通过后,将应用的请求以及认证信息一同被发往应用,应用可基于身份信息进行相应业务处理。相关概念 概念 说明 ...
网格内应用无需实现认证、鉴权逻辑,通过配置ASM自定义鉴权接入到阿里云IDaaS或任意支持OIDC协议的IdP进行鉴权和登录流程,鉴权通过后,将应用的请求以及认证信息一同被发往应用,应用可基于身份信息进行相应业务处理。相关概念 概念 说明 ...
当您的数据平面中包含大量的命名空间与服务,而您只希望 服务网格 ASM仅对其中少数几个命名空间中的服务进行服务发现时,您可以使用服务发现范围配置功能来提升配置推送效率。Sidecar资源推荐 功能介绍 您可以使用Sidecar资源推荐功能,...
基于Istio的阿里云 服务网格 ASM产品提供了基于位置的路由能力,可以将流量路由到最靠近的容器。这样可以确保服务调用的低延迟,并尽量保持服务调用在同一区域内,降低流量费用。本文介绍如何在ASM内实现基于位置的路由请求,以提高性能并...