在使用服务网格ASM之前,您需要创建一个ASM实例,对应用服务进行流量管理、安全管理、故障恢复、观测监控等。本文介绍如何通过ASM控制台创建ASM实例。
前提条件
已开通以下服务。
已获得以下角色授权。具体操作,请参见为RAM用户和RAM角色授权。
AliyunServiceMeshDefaultRole
AliyunCSClusterRole
AliyunCSManagedKubernetesRole
配置说明
创建服务网格的过程中,根据不同的配置,ASM可能会进行如下操作:
创建安全组,该安全组允许VPC入方向全部ICMP端口的访问。
说明创建时不支持使用已有安全组,创建后不支持更改安全组。
创建VPC路由规则。
创建EIP。
创建RAM角色及相应策略,该角色拥有CLB的全部权限、云监控的全部权限、VPC的全部权限、日志服务的全部权限。服务网格会根据用户部署的配置相应的动态创建CLB、VPC路由规则等。
创建私网CLB,暴露6443和15011端口。
在使用服务网格的过程中,ASM会收集被托管管控组件的日志信息用于稳定性保障。
操作步骤
登录ASM控制台,在左侧导航栏,选择 。
在网格管理页面,单击创建新网格,配置网格相关信息。
配置项
说明
网格名称
服务网格的名称。
规格
可选标准版、企业版和旗舰版实例。关于ASM各个规格功能对比,请参见什么是服务网格ASM?。
地域
服务网格所在的地域。
付费类型
支持以下两种类型。更多信息,请参见计费说明。
按量付费:一种先使用后付费的计费方式。您只需为实际使用的函数计算资源付费,不需要提前购买资源。
包年包月:仅Istio控制面和API Server的私网CLB实例按照包年包月的方式计费,服务网格、API Server的公网访问EIP实例仍然按照按量付费的方式计费。
购买时长:目前支持选择1、2、3、6个月和1~3年。
自动续费:设置是否自动续费。
Istio版本
Istio版本。
Kubernetes集群
根据待添加到服务网格中的Kubernetes集群的信息,自动选择服务网格的专有网络、交换机及集群本地域名。更多信息,请参见创建Kubernetes托管版集群。
专有网络
服务网格的专有网络。您可以单击创建专有网络进行创建。更多信息,请参见创建和管理专有网络。
交换机
服务网格的交换机。您可以单击创建交换机进行创建。更多信息,请参见创建和管理交换机。
Istio控制面访问
Istio控制面的CLB实例,用于访问Istio控制面。
API Server访问
API Server的CLB实例,还可以设置是否开放使用EIP暴露API Server。
开放:创建一个EIP,并挂载到私网CLB上。您可以在公网通过kubeconfig来连接和操作ASM。
不开放:不创建EIP。您只能在VPC下通过KubeConfig来连接和操作ASM。
可观测性
是否启用链路追踪。
ASM集成了阿里云可观测链路OpenTelemetry版,为分布式应用的开发者提供了完整的调用链路还原、调用请求量统计、链路拓扑、应用依赖分析等能力,可以帮助开发者快速分析和诊断分布式应用架构下的性能瓶颈,提升开发诊断效率。更多信息,请参见使用可观测链路OpenTelemetry版实现网格内外应用的一体化追踪。
说明启用该配置之前,您需要开通可观测链路OpenTelemetry版。
是否开启采集Prometheus监控指标。关于Prometheus的详细介绍,请参见集成可观测监控Prometheus版实现网格监控和集成自建Prometheus实现网格监控。
是否启用ASM网格拓扑提升网格可观测。
ASM网格拓扑是一个服务网格可观测性工具,提供了查看相关服务与配置的可视化界面。ASM从1.7.5.25版本开始支持内置网格拓扑。关于启用ASM网格拓扑提升网格可观测的详细介绍,请参见开启网格拓扑提高可观测性。
是否将访问日志采集到阿里云日志服务。您可以通过日志服务查看入口网关的访问日志。关于访问日志的详细介绍,请参见生成和采集ASM网关访问日志和使用日志服务采集数据平面的AccessLog。
是否启用控制面日志采集。
ASM支持采集控制平面日志和日志告警,例如采集ASM控制平面向数据平面Sidecar推送配置的相关日志。关于控制面日志采集的详细介绍,请参见启用控制平面日志采集和日志告警(旧版)或启用控制平面日志采集和日志告警(新版)。
网格审计
是否启用网格审计。
网格审计功能可以帮助网格管理人员记录或追溯不同用户的日常操作,是集群安全运维中的重要环节。关于网格审计功能的详细介绍,请参见使用KubeAPI操作审计。
资源配置
是否启用Istio资源历史版本。
当您更新Istio资源的
spec
字段中的内容时,ASM会记录更新Istio资源的历史版本,最多记录最近更新的5个版本。关于Istio资源历史版本的详细介绍,请参见回滚Istio资源的历史版本。是否启用数据面集群KubeAPI访问Istio资源。
ASM支持通过数据面集群的Kubernetes API(KubeAPI)对Istio资源进行增删改查操作。关于数据面集群KubeAPI访问Istio资源的详细介绍,请参见通过数据面集群KubeAPI访问Istio资源。
集群本地域名
服务网格实例使用的集群本地域名,默认为cluster.local。您只能将与网格集群域名相同的K8s集群加入网格实例。
说明仅ASM实例版本为1.6.4.5及以上支持设置集群本地域名,否则将隐藏集群本地域名。
数据面模式
选择是否启用Ambient Mesh模式。Ambient Mesh支持Sidecar和Sidecarless两种形态的数据平面架构。您可以按需选择其中之一或两者融合使用。更多信息,请参见Ambient Mesh模式概述。
说明该功能处于公测阶段。
可选:开通按量付费服务。
如果您是首次创建商业版实例,在依赖检查右侧状态列下会显示未通过,您需要开通按量付费服务。
单击依赖检查右侧说明列下的立即开通,选中服务网格(按量付费)服务协议,单击立即开通。返回创建服务网格页面,单击ASM服务开通检查右侧的重新检查,此时,依赖检查右侧状态列下会显示通过。
仔细阅读并选中服务协议,然后单击创建服务网格。
说明一个ASM实例的创建时间一般约为2到3分钟。
相关操作
实例创建成功后,您可以在网格管理页面的实例列表查看已创建的实例。在实例列表的操作列,您还可以进行如下操作。
操作 | 说明 |
查看实例的相关信息 | 单击目标实例对应的管理,在基本信息页面查看详细信息。 系统会为新建实例默认创建5个命名空间,控制台只显示istio-system和default。通过kubectl方式可以查询和操作其他命名空间,包括istio-system、kube-node-lease、kube-public、kube-system和default。 |
修改实例的相关信息 |
|
变更实例规格 | 单击目标实例对应的规格变更。具体操作,请参见变更ASM实例规格。 |
查看日志信息 | 单击目标实例对应的日志。更多信息,请参见日志分析。 |
删除实例 | 单击目标实例对应的 > 删除,在删除网格对话框,仔细阅读删除注意事项,选择需要保留的资源,确认无误后单击确定。 |
关于删除操作的注意事项如下,请谨慎操作。
删除ASM实例,将无法继续使用该实例下服务网格的相关功能。
删除API Server所使用的CLB,将无法操作服务网格和相关配置。
删除Istio Pilot所使用的CLB,将无法操作服务网格和相关配置。