检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
网关或工作负载部署应该只能访问存储在其命名空间内的Kubernetes Secret中的凭证(TLS证书和私钥)。但是,Istiod中的一个错误允许授权客户端访问和检索缓存在Istiod中的任何TLS证书和私钥。
严格模式(STRICT) 流量只能通过隧道进行传输,因为请求必须是TLS加密的密文,且必须带有客户端证书。 JWT认证 在服务网格中配置JWT(JSON Web Token)请求授权,可以实现来源认证。
多个集群的网格共享一套根证书,给数据面的服务实例分发密钥和证书对,并定期替换密钥证书,根据需要撤销密钥证书。在服务间访问时,网格的数据面代理就会代理本地服务和对端进行双向认证、通道加密。这里的双向认证的服务双方可以来自两个不同的集群,从而做到跨集群的透明的端到端双向认证。
{ "alg": "HS256", "typ": "JWT" } 负载Payload 存放令牌的主体内容,由认证服务AuthN生成相关信息并放到令牌的负载中。
DOWNSTREAM连接的本地地址 同HTTP 同HTTP 10.0.x.x:8000 - %DOWNSTREAM_REMOTE_ADDRESS% DOWNSTREAM连接的对端地址 同HTTP 同HTTP 10.44.x.x:46520 - %REQUESTED_SERVER_NAME% SSL
开启后,需要配置如下参数: URI:使用此值重写URI的路径(或前缀),如果原始URI是基于前缀匹配,那么将替换相应匹配的前缀。 Host/Authority头:使用此值重写HTTP/HTTPS的Host/Authority头。
} create -f /tmp/{证书名}.yaml (推荐)根据现有的Ingress-gateway配置,登录cce控制台,单击集群名称进入集群详情页面,在左侧菜单栏依次单击“服务-路由-创建路由”创建Ingress配置,并配置https证书。
"user": { "name": "username", //IAM用户名 "password": $ADMIN_PASS, //IAM用户密码,建议在配置文件或者环境变量中密文存放
开启TLS终止时需要绑定证书,以支持TLS数据传输加密认证;关闭TLS终止时,网关将直接转发加密的TLS数据。 密钥证书 配置TLS协议并开启TLS时,需要绑定证书,以支持TLS数据传输加密认证。 配置HTTPS协议时,需要绑定密钥证书。
resource-path 资源路径,即API访问路径。从具体API的URI模块获取,例如“获取用户Token”API的resource-path为“/v3/auth/tokens”。 query-string 查询参数,是可选部分,并不是每个API都有查询参数。
asm-proxy-1.8.4镜像包存放在SWR镜像仓库中,使用如下命令拉取镜像(x86和arm架构的命令相同)。
可通过以下命令获取otel-collector工作负载的配置信息: 以在基础版网格获取到的配置文件为例: receivers配置项定义了可以选择以zipkin、prometheus两种协议从envoy获取遥测数据,其中prometheus定义了以每15s的间隔从/stats/prometheus路径下抓取数据
1.3版本特性 基于Mixer的Metric、访问日志和调用链 支持SDS,证书轮换无需重启Pod 支持Sidecar API 控制面性能优化 华为私有版本Virtual Service Delegation上线,提前为大客户提供解耦Gateway流量配置 支持v1.13、v1.15
建议在配置文件或者环境变量中密文存放,使用时解密,确保安全。 图1 管理员创建IAM用户响应消息头 响应消息体(可选) 该部分可选。响应消息体通常以结构化格式(如JSON或XML)返回,与响应消息头中Content-Type对应,传递除响应消息头之外的内容。
、支持网关处TLS终止,支持配置对外证书和密钥 √ √ 负载均衡 支持轮询、随机、最小连接数以及一致性哈希的LB算法,可以基于特定的HTTP Header,或者基于Cookie值 √ √ 故障注入 支持注入指定时延或特定错误的故障,支持配置故障百分比 √ √ 熔断 支持配置最大请求数
、支持网关处TLS终止,支持配置对外证书和密钥 √ √ 负载均衡 支持轮询、随机、最小连接数以及一致性哈希的LB算法,可以基于特定的HTTP Header,或者基于Cookie值 √ √ 故障注入 支持注入指定时延或特定错误的故障,支持配置故障百分比 √ √ 熔断 支持配置最大请求数
如果您开启了TLS认证,则必须填写证书内认证域名,以完成SNI域名校验。 URL匹配规则 前缀匹配:例如映射URL为/healthz,只要符合此前缀的URL均可访问。例如/healthz/v1,/healthz/v2。 完全匹配:只有完全匹配上才能生效。
1.3和1.6版本升级到1.8版本,因为证书切换,sidecar需要同时全部重启。 数据面升级结束后,请等待所有升级中的工作负载滚动升级完成。 父主题: 金丝雀升级
漏洞公告 未认证的控制面DoS攻击(CVE-2022-23635) Istiod TLS证书密钥滥用(CVE-2021-34824)
根据升级路径选择合适的升级方式完成网格升级。 基础版本升级 升级详情请查看金丝雀升级。 企业版补丁更新 单击“补丁更新”,在弹出的提示框中单击“确定”。 父主题: 升级
