在使用服务网格 ASM 之前,您需要创建一个 ASM 实例。本文介绍如何通过 ASM 管理控制台创建 ASM 实例。

前提条件

背景信息

说明 创建服务网格的过程中,根据不同的配置,ASM 可能会进行如下操作:
  • 创建安全组,该安全组允许 VPC 入方向全部 ICMP 端口的访问
  • 创建 VPC 路由规则
  • 创建 EIP
  • 创建 RAM 角色及相应策略,该角色拥有SLB 的全部权限,云监控的全部权限,VPC 的全部权限,日志服务的全部权限。服务网格会根据用户部署的配置相应的动态创建 SLB、VPC 路由规则等
  • 创建专有网 SLB,暴露 6443 端口
  • 创建专有网 SLB,暴露 15011 端口
  • 在使用服务网格的过程中,ASM 会收集被托管管控组件的日志信息用于稳定性保障

操作步骤

  1. 登录 ASM 控制台
  2. 在左侧导航栏中选择网格实例,然后在右侧打开的页面中,单击创建新网格
  3. 创建新网格页面,填写网格的名称、选择相应的地域、专有网络 VPC 及交换机。
    说明 您可以在已有 VPC 列表和交换机列表中选择所需的 VPC 和交换机。如果没有您需要的 VPC 或交换机,可以通过单击创建专有网络创建交换机进行创建,请参见创建专有网络创建交换机
  4. 设置是否开放使用公网地址暴露 API Server
    ASM 实例的运行基于 Kubernetes 运行时,可以通过 API Server 定义执行各种网格资源,如虚拟服务、目标规则或者 Istio 网关等。
    • 如果选择开放,会创建一个 EIP,并挂载到私网 SLB 上。API Server 的 6443 端口会暴露出来,您可以在公网通过 kubeconfig 来连接和操作集群,从而定义网格资源。
      说明 此时建议您针对负载均衡的监听配置访问控制,以设置访问白名单或黑名单,详情参见访问控制概述
    • 如果选择不开放,则不会创建 EIP,您只能在 VPC 下通过 kubeconfig 来连接和操作集群,从而定义网格资源。
  5. 设置是否开放使用公网地址暴露 Istio Pilot
    • 如果选择开放,会创建一个 EIP,并挂载到私网 SLB 上。Istio Pilot 的 15011 端口会暴露出来,数据平面侧集群中部署的 Envoy 代理通过该公网地址连接到 Istio Pilot。
      说明 此时建议您针对负载均衡的监听配置访问控制,以设置访问白名单或黑名单,详情参见访问控制概述
    • 如果选择不开放,则不会创建 EIP,数据平面侧只能添加与该 VPC 互连的集群,包括同一 VPC 下的集群或者通过云企业网连通的跨 VPC 集群。
    说明 默认不开放公网地址暴露 Istio Pilot,优先通过 VPC 连通数据平面与控制平面。
  6. 设置是否启用链路追踪
    ASM 集成了阿里云链路追踪服务,为分布式应用的开发者提供了完整的调用链路还原、调用请求量统计、链路拓扑、应用依赖分析等能力,可以帮助开发者快速分析和诊断分布式应用架构下的性能瓶颈,提升开发诊断效率。
    说明 启用该配置之前,您需要登录链路追踪管理控制台开通链路追踪服务。
  7. 单击确定,开始实例的创建。
    说明 一个 ASM 实例的创建时间一般约为 2 到 3 分钟。

执行结果

实例创建成功后,您可以查看以下信息:
  • 网格实例页面,查看已创建的实例。

    如需查看最新信息,单击右侧的 refresh 按钮。

    网格实例列表
  • 网格实例页面,单击新建实例操作列的日志,进入网格日志页面查看该实例相关的日志信息。
  • 网格实例页面,单击新建实例操作列的 管理,查看该实例的基本信息、连接配置以及对应数据平面侧的集群信息、控制平面侧定义的命名空间、虚拟服务、目标规则与 Istio 网格等资源定义信息。一个新建实例会显示以下默认创建的 Istio 资源:
    • 1 个命名空间:default
      说明 系统会为新建实例默认创建 5 个命名空间,控制台只显示 default。通过 Kubectl 方式可以查询和操作其他命名空间,包括:istio-system、kube-node-lease、kube-public、kube-system。
    • 2 个目标规则:api-server(详情参见 Istio 官网)、default(许可模式的网格范围认证策略,MeshPolicy)