华为云首页用户手册

应用服务网格 ASM-sidecar管理:sidecar注入

时间：2024-05-06 10:22:10

应用服务网格 ASM 网格配置

sidecar注入

可展示当前已注入sidecar的命名空间及所属集群。如果还未做过注入操作，或者需要为更多命名空间注入sidecar，请参考以下操作：

登录应用服务网格控制台，单击服务网格的名称，进入网格详情页面。
在左侧导航栏选择“网格配置”，单击“sidecar管理”页签。
单击“sidecar管理”，选择命名空间，判断是否重启已有服务，单击“确定”。

图1 注入sidecar
- 选择命名空间：选择一个或多个命名空间，系统将为命名空间设置标签istio-injection=enabled。
- 是否重启已有服务：
  ：会重启命名空间下已有服务关联的Pod，将会暂时中断业务。只有在重启后，已有服务关联的Pod才会自动注入istio-proxy sidecar。
  
  ：已有服务关联的Pod不会自动注入istio-proxy sidecar，需要在CCE控制台，手动重启工作负载才会注入sidecar。是否重启已有服务只会影响已有服务，只要为命名空间设置了istio-injection=enabled标签，后面新建的服务实例都会自动注入sidecar。
- 流量拦截配置
  
  默认情况下，ASM所注入的sidecar会拦截所有入方向和出方向流量，可通过流量拦截配置修改默认的流量拦截规则。
  
  入方向端口：可用于配置端口级别拦截规则，生效于网格服务的内部端口，以逗号分隔入站端口。
  - 仅拦截指定端口表示访问网格服务指定端口范围内的请求将被重定向到sidecar中。
  - 仅排除指定端口表示访问网格服务的请求，除端口范围外的请求将被重定向到sidecar中。
  出方向端口：可用于配置端口级别拦截规则，生效于网格服务对外访问的流量方向上，以逗号分隔出站端口。
  - 仅拦截指定端口表示网格服务访问指定端口范围内的请求将被重定向到sidecar中。
  - 仅排除指定端口表示网格服务对外访问的请求，除指定端口范围外的流量都将被重定向到sidecar中。
  出方向网段：可用于配置网段级别拦截规则，生效于网格服务对外访问的流量方向上，以逗号分隔 IP ，以 CIDR 形式表示。
  - 仅拦截指定网段表示指定网段范围内的流量将被重定向到sidecar中。
  - 仅排除指定网段表示除指定网段范围外的流量将被重定向到sidecar中。
- 若界面提示“以下集群未开放命名空间注入修改操作”，可能因为当前网格是通过1.0控制台创建的，默认不开放命名空间注入，需要通过kubectl命令行开放，具体操作请参见如何为集群开放命名空间注入？。
- 为集群的命名空间开启sidecar注入后，该命名空间下所有工作负载关联的Pod将自动注入sidecar。如果某些工作负载不希望注入sidecar，可参考某些工作负载不注入sidecar，该如何配置？进行配置。
- 对于1.8.4-r1及之前（所有1.3、1.6）版本的网格，建议确认工作负载是否包含注解：sidecar.istio.io/inject: 'true'。如未包含，请在spec.template.metadata.annotations字段下添加：
```
      annotations:
        sidecar.istio.io/inject: 'true'
```