专有网络概述
专有网络构成 每个专有网络都至少由一个私网网段、一个路由器(vRouter)和一个交换机(vSwitch)组成。私网网段 私网网段在创建专有网络和交换机时,您需要以CIDR地址块的形式指定专有网络使用的私网网段。您可以使用下表中标准的私网网段...
开启托管模式的网格拓扑
当您需要观测多个集群的流量拓扑,可以使用托管模式的网格拓扑功能。托管模式将网格拓扑服务以弹性容器实例(ECI)的方式部署,提高服务可靠性和易用性。整个网格实例只需要部署一个网格拓扑服务,减少配置的工作量。前提条件 已创建...
创建ASM实例
Kubernetes集群 根据待添加到 服务网格 中的Kubernetes集群的信息,自动选择服务网格的专有网络、交换机及集群本地域名。更多信息,请参见 创建Kubernetes托管版集群。专有网络 服务网格 的专有网络。您可以单击 创建专有网络 进行创建。更...
创建ASM实例
Kubernetes集群 根据待添加到 服务网格 中的Kubernetes集群的信息,自动选择服务网格的专有网络、交换机及集群本地域名。更多信息,请参见 创建Kubernetes托管版集群。专有网络 服务网格 的专有网络。您可以单击 创建专有网络 进行创建。更...
API概览
DescribeCens 获取网络连通性检测结果 调用DescribeCens获取同一服务网格下多集群跨VPC的网络连通性检测结果。DescribeCrTemplates 查询Istio资源YAML模板 调用DescribeCrTemplates查询服务网格中常见使用场景下的Istio资源YAML模板。...
多集群网络规划
多集群网络规划示例 示例一:服务网格 与集群都在同一VPC 对象 VPC vSwitch Pod Service 服务网格 192.168.0.0/16 192.168.0.0/24/集群1 192.168.0.0/16 192.168.0.0/24 10.0.0.0/16 172.16.0.0/16 集群2 192.168.0.0/16 192.168.0.0/24 10...
使用Terraform管理ASM实例
service_mesh_name=local.mesh_name#服务网格的网络配置。network {#专有网络ID。vpc_id=alicloud_vpc.default.id#虚拟交换机ID。vswitche_list=[alicloud_vswitch.default.id]}#服务网格的版本。version=local.mesh_version#服务网格的API...
什么是服务网格
服务网格(SOFAStack Mesh)是蚂蚁集团自主研发的基于金融级生产实践的增强版服务网格平台,将传统微服务和 Service Mesh 技术进行了深度融合,其核心技术经过了蚂蚁集团的大规模生产实践验证。它深度、无缝对接了 SOFAStack 经典应用服务...
功能发布记录
本文介绍 服务网格 ASM相关内容的最新动态。2024年03月 功能 功能描述 发布地域 适用Istio版本 适用产品规格 相关文档 访问日志支持以纯文本(非JSON)的形式定义输出。支持将访问日志以纯文本的形式输出至容器标准输出。纯文本形式相比...
什么是服务网格ASM?
阿里云 服务网格(Service Mesh,简称ASM)提供一个全托管式的 服务网格 平台,兼容社区Istio开源 服务网格,用于简化服务的治理,包括服务调用之间的流量路由与拆分管理、服务间通信的认证安全以及网格可观测性能力,从而极大地减轻开发与...
管理ACK Edge集群应用
将ACK Edge集群(边缘集群)添加至 服务网格 ASM,可实现多应用的高效集中管理和监控,借助ASM的流量管理、可观测管理等功能确保边缘计算环境的高可靠性和安全性,从而提升运维效率、保障业务稳定性并增强服务可观测性。前提条件 已 创建...
通过ASM管理注册集群应用
注册集群数据面所使用的网络环境与服务网格ASM集群(ASM实例)对应的VPC网络已实现互通,且满足带宽要求,即保证ASM推送配置到网格代理保持同步。您可以在AMS实例创建成功后,通过 ASM控制台 的 网格状态 页面,确保配置推送已处于 已同步...
基本概念
可观测 网格拓扑、SLO 安全 OIDC、JWT Istio Istio是一个开源的服务网格,提供连接、保护、控制以及观测功能,通过提供完整的非侵入式的微服务治理解决方案,可以解决云原生服务的管理、网络连接以及安全管理等服务网络治理问题。...
历史功能发布记录(2023年之前)
通过监控网络流量来推断服务拓扑和网格分析,帮助您了解 服务网格 的结构和运行状况。全部 v1.14及以上 全部 查看应用的网格拓扑 新增ASM安全策略功能。ASM对Istio原生安全资源的场景进行封装,便于用户对常见安全场景进行一站式配置。目前...
DescribeServiceMeshes-获取服务网格列表
Network object 服务网格网络配置信息。VpcId string 专有网络 ID。vpc-2zew0rajjkmxy2369*SecurityGroupId string 安全组 ID。sg-2ze384sxttxbctnj*VSwitches array 虚拟交换机 ID 列表。string 虚拟交换机 ID 列表。["1","2"]...
在ASM上访问外部服务的流量管理
说明 登录 ASM控制台,单击目标实例名称,在左侧导航栏选择 网格实例>网络状态,查看Istio的内部服务注册表中定义的服务。如果该选项设置为 ALLOW_ANY,则Sidecar代理允许对未知服务的透传通过。优点是直接透传对外部服务的访问,缺点是...
在ASM上访问外部服务的流量管理
说明 登录 ASM控制台,单击目标实例名称,在左侧导航栏选择 网格实例>网络状态,查看Istio的内部服务注册表中定义的服务。如果该选项设置为 ALLOW_ANY,则Sidecar代理允许对未知服务的透传通过。优点是直接透传对外部服务的访问,缺点是...
产品优势
网络安全 通过网格安全,可以更方便地实现应用的身份标识和访问控制,辅之以数据加密,就能实现全链路可信,从而使得服务可以运行于零信任网络中,提升整体安全水位。简单易用易维护 SOFAStack 服务网格提供集中式图形化易操作的管理平台,...
网格优化中心概述
功能介绍 Service Mesh是一种用于管理微服务架构中网络通信的解决方案,通过在每个服务实例中添加代理,实现流量控制、服务发现、负载均衡等功能。虽然Service Mesh能够提供很多强大的功能,但也存在一些性能问题,例如:延迟增加:Service...
计费说明
负载均衡按量计费 包年包月 VPC专有网络 必选项 用于构建 服务网格 网络环境和路由规则。更多信息,请参见 什么是专有网络。产品计费 EIP弹性公网IP 建议项 使用公网地址暴露API Server。更多信息,请参见 什么是弹性公网IP。计费概述 可...
应用场景
依据服务网格特点和优势,服务网格适用于以下应用场景。服务治理与业务逻辑解耦 在...通过服务网格可以更方便地实现应用的身份标识和访问控制,辅之以数据加密,就能实现全链路可信,从而使得服务可以运行于零信任网络中,提升整体安全水位。
使用自适应配置推送优化提升控制平面推送效率
通过分析服务间的实际调用关系,该功能自动为服务生成优化后的Sidecar资源,仅为必要的服务推送必需的Sidecar配置,减少不必要的网络通信,增强服务网格的性能和响应速度。前提条件 已部署Istio资源实现流量路由。背景信息 在默认情况下,...
将监控指标采集到可观测监控Prometheus版
启用服务网格数据平面监控指标,可以使网关和Sidecar代理生成与其运行状态相关的指标数据。通过将这些指标采集到阿里云可观测监控Prometheus版,您可以从网关状态、网格全局、网格服务级别、网格工作负载等多个维度实现全面监控,发现潜在...
将监控指标采集到可观测监控Prometheus版
启用服务网格数据平面监控指标,可以使网关和Sidecar代理生成与其运行状态相关的指标数据。通过将这些指标采集到阿里云可观测监控Prometheus版,您可以从网关状态、网格全局、网格服务级别、网格工作负载等多个维度实现全面监控,发现潜在...
产品架构
数据层面:由一系列代理(蚂蚁自研 MOSN)组成,用于管理和控制服务之间的网络通信。系统架构 SOFAStack 服务网格结合了 SOFAStack 微服务的优势,将 SOFAStack 微服务和 Service Mesh 双剑合璧,即基于 SDK 的传统微服务可以和基于 ...
管理ASM服务关联角色
通过ASM服务关联角色(AliyunServiceRoleForServiceMesh),服务网格 可以获得阿里云容器服务ACK、专有网络VPC、负载均衡CLB、日志服务SLS、可观测链路 OpenTelemetry 版、应用实时监控服务ARMS、云企业网CEN等的访问权限。更多服务关联...
DescribeCens-获取网络连通性检测结果
调用DescribeCens获取同一服务网格下多集群跨VPC的网络连通性检测结果。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 当前API暂无授权信息...
对网格内服务访问外部网站进行授权控制
Kubernetes集群中的NetworkPolicy能够控制某些外部网站允许或禁止被某些命名空间下的服务访问,但是NetworkPolicy的方式对网络隔离比较粗粒度,对应用安全、业务安全的保护不够到位。您可以使用ASM零安全体系,动态配置授权策略,实现对...
ASM网关概述
ASM网关可以为网格内应用提供统一的流量入口和出口,实现端到端安全加密和流量控制。本文介绍ASM入口网关和出口网关的相关功能。入口网关 入口网关为Kubernetes集群提供了七层网关功能,根据HTTP请求的内容将来自同一个TCP端口的请求分发到...
对网格内服务访问外部网站进行授权控制
Kubernetes集群中的NetworkPolicy能够控制某些外部网站允许或禁止被某些命名空间下的服务访问,但是NetworkPolicy的方式对网络隔离比较粗粒度,对应用安全、业务安全的保护不够到位。您可以使用ASM零安全体系,动态配置授权策略,实现对...
使用ASM授权策略试运行模式
可以看到从sleep应用所在的Pod中执行curl命令访问httpbin应用20次,返回值均为200,表明网络连接正常。步骤二:创建授权策略并启用试运行模式 登录 ASM控制台,在左侧导航栏,选择 服务网格>网格管理。在 网格管理 页面,单击目标实例名称...
使用Istio资源实现版本流量路由
在 集群列表 页面,单击目标集群名称,然后在左侧导航栏,选择 网络>服务。在 服务 页面顶部,选择 命名空间 为 istio-system,在 External IP 列,查看 istio-ingressgateway 对应的80端口的IP地址。在浏览器地址栏,输入 http://{入口...
零信任安全概述
通过 服务网格 技术,为微服务架构采用零信任网络安全方法提供必要的基础,以此实现所有访问都经过强身份认证、基于上下文授权、记录监控等安全目标。使用这些网格功能,您可以为属于网格的所有应用程序提供安全控制能力,例如所有流量都已...
使用ASM授权策略试运行模式
可以看到从sleep应用所在的Pod中执行curl命令访问httpbin应用20次,返回值均为200,表明网络连接正常。步骤二:创建授权策略并启用试运行模式 登录 ASM控制台,在左侧导航栏,选择 服务网格>网格管理。在 网格管理 页面,单击目标实例名称...
集成自建Prometheus实现网格监控
本文介绍如何在ASM集成自建Prometheus实现网格监控。前提条件 已创建ACK集群,详情请参见 创建Kubernetes托管版集群。已创建ASM实例,详情请参见 创建ASM实例。已在ACK集群中创建Prometheus实例和Grafana示例。具体操作,请参见 开源...
集成自建Prometheus实现网格监控
本文介绍如何在ASM集成自建Prometheus实现网格监控。前提条件 已创建ACK集群,详情请参见 创建Kubernetes托管版集群。已创建ASM实例,详情请参见 创建ASM实例。已在ACK集群中创建Prometheus实例和Grafana示例。具体操作,请参见 开源...
创建出口网关
在 集群列表 页面,单击目标集群名称,然后在左侧导航栏,选择 网络>服务。在 服务 页面,从 命名空间 下拉列表中选择 istio-system。可以看到出口网关的基本信息。External IP 列的IP为出口网关的IP地址。您也可以单击出口网关服务名称,...
创建出口网关
在 集群列表 页面,单击目标集群名称,然后在左侧导航栏,选择 网络>服务。在 服务 页面,从 命名空间 下拉列表中选择 istio-system。可以看到出口网关的基本信息。External IP 列的IP为出口网关的IP地址。您也可以单击出口网关服务名称,...
为ASM网关启用压缩
在 集群列表 页面,单击目标集群名称,然后在左侧导航栏,选择 网络>服务。在 服务 页面顶部,设置 命名空间 为 istio-system,在 External IP 列查看istio-ingressgateway对应的IP地址(端口为80)。在打开的开发者工具页面,输入上一步...
使用ASM Serverless网关提升高可用性和弹性
如果选择了ClusterIP,需要保证客户端与网关Pod网络互相打通,例如Terway网络插件默认同一VPC下的Pod可以互相访问。步骤二:创建流量规则 创建HTTP域名。登录 ASM控制台,在左侧导航栏,选择 服务网格>网格管理。在 网格管理 页面,单击...
- 产品推荐
- 这些文档可能帮助您