在使用服务网格ASM之前,您需要创建一个ASM实例。本文介绍如何通过ASM管理控制台创建ASM实例。

前提条件

背景信息

说明 创建服务网格的过程中,根据不同的配置,ASM可能会进行如下操作:
  • 创建安全组,该安全组允许VPC入方向全部ICMP端口的访问。
  • 创建VPC路由规则。
  • 创建EIP。
  • 创建RAM角色及相应策略,该角色拥有SLB的全部权限,云监控的全部权限,VPC的全部权限,日志服务的全部权限。服务网格会根据用户部署的配置相应的动态创建SLB、VPC路由规则等。
  • 创建专有网SLB,暴露6443端口。
  • 创建专有网SLB,暴露15011端口。
  • 在使用服务网格的过程中,ASM会收集被托管管控组件的日志信息用于稳定性保障。

操作步骤

  1. 登录ASM控制台
  2. 在左侧导航栏,选择服务网格 > 网格管理
  3. 网格管理页面单击创建新网格
  4. 创建新网格面板,完成网格配置。
    1. 设置网格基础选项。
      配置项 描述
      名称 设置服务网格的名称。
      规格 可选标准版专业版实例。专业版在标准版的基础上,增强了多协议支持以及动态扩展能力,提供精细化服务治理,完善零信任安全体系。
      Istio版本 选择Istio版本。
      地域 选择服务网格所在的地域。
      专有网络 选择服务网格的专有网络,您可以单击创建专有网络进行创建,详情请参见创建和管理专有网络
      交换机 选择服务网格的交换机,您可以单击创建交换机进行创建,详情请参见使用交换机
      公网访问 设置是否开放使用公网地址暴露API Server。ASM实例的运行基于Kubernetes运行时,可以通过API Server定义执行各种网格资源,如虚拟服务、目标规则或者Istio网关等。
      • 如果选择开放,会创建一个EIP,并挂载到私网SLB上。API Server的6443端口会暴露出来,您可以在公网通过kubeconfig来连接和操作集群,从而定义网格资源。
      • 如果选择不开放,则不会创建EIP,您只能在VPC下通过kubeconfig来连接和操作集群,从而定义网格资源。
      可观测性 设置是否启用链路追踪

      ASM集成了阿里云链路追踪服务,为分布式应用的开发者提供了完整的调用链路还原、调用请求量统计、链路拓扑、应用依赖分析等能力,可以帮助开发者快速分析和诊断分布式应用架构下的性能瓶颈,提升开发诊断效率。关于链路追踪的详细介绍,请参见使用链路追踪实现网格内外应用的一体化追踪

      说明 启用该配置之前,您需要登录链路追踪管理控制台开通链路追踪服务。
      设置是否开启采集Promethus监控指标

      关于Prometheus的详细介绍,请参见集成ARMS Prometheus实现网格监控集成自建Prometheus实现网格监控

      设置是否启用Kiali提升网格可观测

      Kiali for ASM是一个服务网格可观测性工具,提供了查看相关服务与配置的可视化界面。ASM从1.7.5.25版本开始支持内置Kiali for ASM。关于启用Kiali提升网格可观测的详细介绍,请参见通过ASM控制台开启Kiali的可观测性

      设置是否启用自建Skywalking。ASM集成了Skywalking,您可以通过Skywalking查看应用的监控指标。

      关于Skywalking功能的详细介绍,请参见集成自建Skywalking实现网格可观测性

      设置是否启用访问日志查询。您可以通过日志服务查看入口网关的访问日志。

      关于访问日志的详细介绍,请参见使用日志服务采集数据平面入口网关日志使用日志服务采集数据平面的AccessLog

      设置是否启用控制面日志采集

      ASM支持采集控制平面日志和日志告警,例如采集ASM控制平面向数据平面Sidecar推送配置的相关日志。关于控制面日志采集的详细介绍,请参见启用控制平面日志采集和日志告警

      策略控制 设置是否启用OPA插件

      服务网格ASM集成了开放策略代理(OPA),可用于为您的应用程序实现细粒度的访问控制。启用后,如同Istio Envoy代理容器一样,OPA代理容器也会随之被注入到业务Pod中。然后,在ASM中就可以使用OPA定义访问控制策略,为分布式应用的开发者提供了开箱可用的能力,从而帮助开发者快速定义使用策略,提升开发效率。关于OPA插件的详细介绍,请参见在ASM中使用OPA实现细粒度访问控制

      网格审计 设置是否启用网格审计

      网格审计功能可以帮助网格管理人员记录或追溯不同用户的日常操作,是集群安全运维中的重要环节。

      关于网格审计功能的详细介绍,请参见使用ASM网格审计

      服务网格资源配置 设置是否启用Istio资源历史版本

      当您更新Istio资源的spec字段中的内容时,ASM会记录更新Istio资源的历史版本,最多记录最近更新的5个版本。关于Istio资源历史版本的详细介绍,请参见回滚Istio资源的历史版本

      设置是否启用数据面集群KubeAPI访问Istio资源

      ASM支持通过数据面集群的Kubernetes API(KubeAPI)对Istio资源进行增删改查操作。关于数据面集群KubeAPI访问Istio资源的详细介绍,请参见使用数据面集群Kubernetes API访问Istio资源

    2. 设置网格高级选项。
      配置项 描述
      注入的Istio代理资源设置 设置Istio代理资源。
      说明
      • 资源限制:默认CPU为2 Core,内存为1024 MiB。
      • 所需资源:默认CPU为0.1 Core,内存为128 MiB。
      集群本地域名 设置服务网格实例使用的集群本地域名,默认为cluster.local。您只能将与网格集群域名相同的K8s集群加入网格实例。
      说明 当Istio版本≥1.6.4.5,您才可以设置集群本地域名,否则将隐藏集群本地域名。
      Nacos注册服务 设置是否启用Nacos注册服务,启用后,选择Nacos引擎。
      说明 Nacos引擎需要与ASM实例处于同一VPC,不然无法选择到Nacos引擎。

      关于使用Nacos注册服务的详细介绍,请参见通过MSE完成微服务的服务治理

  5. 了解和接受服务协议,并已阅读和同意阿里云服务网格服务条款和免责声明,然后选中该选项。
  6. 单击确定,开始实例的创建。
    说明 一个ASM实例的创建时间一般约为2到3分钟。

执行结果

实例创建成功后,您可以查看以下信息:
  • 网格管理页面,查看已创建的实例。
    如需查看最新信息,单击右侧的刷新 按钮。网格管理
  • 网格管理页面,单击目标实例操作列下的日志,查看该实例相关的日志信息。
  • 网格管理页面,单击目标实例操作列下的管理,查看该实例的ID、安全组等基本信息。一个新建实例会显示以下默认创建的Istio资源:
    • 1个命名空间:default
      说明 系统会为新建实例默认创建5个命名空间,控制台只显示default。通过Kubectl方式可以查询和操作其他命名空间,包括:istio-system、kube-node-lease、kube-public、kube-system。
    • 2个目标规则:API-Server(详情请参见 Istio 官网)、default(许可模式的网格范围认证策略,MeshPolicy)