升级期间请勿进行灰度发布、流量规则配置等操作。
在一个服务版本正常工作,正常处理流量的同时,用户可以创建一个新的灰度版本。当灰度版本启动成功后,引导用户配置灰度规则来切分流量。
端到端的透明安全 适用场景 众所周知,将传统的单体应用拆分为一个个微服务固然带来了各种好处,包括更好的灵活性、可伸缩性、重用性,但微服务也同样面临着特殊的安全需求,如下所示: 为了抵御中间人攻击,需要用到流量加密。 为了提供灵活的服务访问控制,需要用到TLS和细粒度访问策略。
策略类型:分为“基于流量比例”和“基于请求内容”两种类型,通过页签选择确定。 基于流量比例 根据流量比例配置规则,从默认版本中切分指定比例的流量到灰度版本。例如75%的流量走默认版本,25%的流量走灰度版本。
添加网关 服务网关在微服务实践中可以做到统一接入、流量管控、安全防护、业务隔离等功能。 前提条件 服务网关使用弹性负载均衡服务(ELB)的负载均衡器提供网络访问,因此在添加网关前,请提前创建负载均衡。
图8 查看启动进度 配置流量策略 为灰度版本设置流量策略,灰度版本会根据配置的流量配比引流老版本中的部分或全部流量。 灰度版本部署成功后,单击“配置流量策略”。 设置流量策略。 策略类型分为“基于流量比例”和“基于请求内容”,通过页签选择确定。
支持对服务间内部通信流量进行治理、支持对服务外网访问流量(即Ingress流量)进行治理 √ √ 运行环境支持 支持容器应用治理 √ √ 认证 非侵入的双向TLS认证和通道加密 √ √ 授权 服务访问授权管理 √ √ 灰度发布 支持基于浏览器、操作系统、自定义HTTP Header
VirtualService和DestinationRule是流量控制最关键的两个资源,在VirtualService中定义了一组路由规则,当流量进入时,逐个规则进行匹配,直到匹配成功后将流量转发给指定的路由地址。
流量治理 应用流量治理提供可视化云原生应用的网络状态监控,并实现在线的网络连接和安全策略的管理和配置,当前支持连接池、熔断、负载均衡、HTTP头域、故障注入等能力。 连接池管理 配置TCP和HTTP的连接和请求池相关阈值,保护目标服务,避免对服务的过载访问。
更多 流量监控 Pod刚刚启动后,为什么不能立即看到流量监控数据? 总览页面上的时延数据为什么不准确? 流量监控拓扑图中为何找不到我的组件? 更多 添加服务 添加的对外访问方式不能生效,如何排查? 一键创建体验应用为什么启动很慢?
流量拦截配置 默认情况下,ASM所注入的sidecar会拦截所有入方向和出方向流量,可通过流量拦截配置修改默认的流量拦截规则。 入方向端口:可用于配置端口级别拦截规则,生效于网格服务的内部端口,以逗号分隔入站端口。
已经注入sidecar的服务实例之间,默认通过隧道进行通信,流量会自动进行TLS加密。 选择“对端认证”页签,单击“立即配置”,在弹出对话框中选择认证策略类型。
应用场景 服务灰度发布 服务流量管理 端到端的透明安全 服务运行监控 传统微服务SDK结合
其他场景从ELB过来的流量会先访问到节点,然后通过Service转发到Pod,建议值为节点级别(local)。流量最终转发给本节点上的Pod,而不会负载均衡到其他节点上的Pod,避免出现因跨节点网络故障而导致请求异常。 父主题: 网关Service
通过实例级别的拓扑可以观察到配置了熔断规则后,网格如何隔离故障实例,使其逐渐接收不到流量。并且可以在故障实例正常时,如何进行实例的故障恢复,自动给恢复的实例重新分配流量。 父主题: 应用场景
统一通过网格的控制面下发流量规则,对所有形态的数据面进行一致的管理。 父主题: 应用场景
长期以来,业务升级逐渐形成了几个发布策略:金丝雀发布、蓝绿发布、A/B测试、滚动升级以及分批暂停发布,尽可能避免因发布导致的流量丢失或服务不可用问题。ASM当前支持金丝雀发布和蓝绿发布两种发布方式。
2022年7月 序号 功能名称 功能描述 阶段 相关文档 1 ASM服务首次上线,提供非侵入的流量治理和灰度发布能力 应用服务网格(Application Service Mesh,简称ASM)是华为云基于开源Istio推出的服务网格平台,它深度、无缝对接了华为云的企业级Kubernetes
Local保留客户端源IP并避免LoadBalancer和NodePort类型服务的第二跳,但存在潜在的不均衡流量传播风险。
购买CCE集群 弹性负载均衡 ELB 弹性负载均衡(Elastic Load Balance,ELB)将访问流量自动分发到多台云服务器,扩展应用系统对外的服务能力,实现更高水平的应用容错。 您可以通过弹性负载均衡从外部访问应用服务网格。 创建共享型负载均衡器
