购买网格

前提条件

已创建CCE集群，如果未创建，请参照购买CCE集群创建。

约束与限制

• 应用服务网格依赖集群CoreDNS的域名解析能力，请确保集群拥有足够资源，且CoreDNS插件运行正常。
• 1.13和1.15版本的istio组件不支持在CentOS和EulerOS2.5操作系统的节点上运行，在创建网格时，请不要指定这些类型的节点为master节点。
• 集群启用Istio时，需要开通node节点（控制面节点/工作节点）所在安全组的入方向7443端口规则，用于Sidecar自动注入回调。如果您使用CCE创建的默认安全组，此端口会自动开通。如果您自建安全组规则，请手动开通7443端口，以确保Istio自动注入功能正常

操作步骤

1. 登录应用服务网格控制台。
2. 单击右上角“购买网格”。
3. 设置网格参数。
   • 网格类型

     仅支持基础版，该网格为标准版本网格，提供商用级网格服务。

   • 网格名称

     网格的名称，取值必须以小写字母开头，由小写字母、数字、中划线（-）组成，且不能以中划线（-）结尾，长度范围为4~64个字符。

     同一账号下网格不可重名，且网格名称创建后不可修改。

   • Istio版本

     网格支持的Istio版本。

   • 启用IPv6

     启用双栈网格需满足以下条件：

     网格类型	Istio版本	支持启用的集群类型	集群网络类型	其他说明
     基础版	1.18及以上	CCE Turbo集群	云原生网络2.0	集群需要已启用IPv6，请参考通过CCE搭建IPv4/IPv6双栈集群

     该功能详细的使用操作请参考最佳实践中的如何搭建IPv4/IPv6双栈网格。

     

     • 仅istio1.18及以上版本的基础版网格支持启用IPv6功能。
     • 低版本的网格升级到1.18及以上时，不支持升级后开启IPv4/IPv6双栈。

     • 网格开启IPv4/IPv6双栈后不支持关闭， 未开启双栈的网格也不支持创建完成之后开启双栈。
   • 集群

     在集群列表中选择集群，或在列表右上角输入集群名称搜索需要的集群。仅可选择当前网格版本支持的集群版本。

   • Istio控制面节点

     基础版网格的控制面组件安装在用户集群，因此需要选择用于安装Istio控制面的节点。如果需要高可用，建议选择两个或以上不同可用区的节点。

     所选节点会被添加istio:master标签，网格组件会调度到该节点上。

   • 设置可观测性配置
     • 应用指标

       是否启用应用指标，应用指标开启后，可以在网格中构建服务访问指标、应用拓扑、服务健康和服务SLO定义。

       

       Istio1.18之前版本的应用指标仅支持对接华为云APM，1.18以及后续版本网格支持对接到AOM，如何使用AOM查看应用指标请参考AOM页面如何查询网格指标。

     • 访问日志

       是否启用访问日志，访问日志开启后，可以在网格中查询到详细的服务间访问记录，定位每次访问异常。选择”访问日志”后，选择需要对接到的LTS日志组和LTS日志流，访问日志将传输到对应的LTS日志流，并可在“监控中心-访问日志”中查看访问日志。

       

       访问日志目前仅Istio 1.18及以上版本支持对接到云日志服务（LTS）。若要对接到LTS，请提前在CCE集群插件中心中安装云原生日志采集插件（CCE Log-Agent）。

     • 调用链

       采样率：用于调用链生成的请求占全部请求的采样百分比。

       选择使用服务：即选择调用链上报的服务后端。当选择“第三方Jaeger/Zipkin服务”时需要配置“服务地址”和“服务端口”两个参数，即第三方调用链服务接收请求信息的地址和端口。

       

       • 仅Istio 1.15及以上版本支持第三方调用链。
       • 如果您要使用“第三方Jaeger/Zipkin服务”调用链，请先自行完成调用链服务的安装，也可参考如何对接Jaeger/Zipkin查看调用链进行安装。之后获取服务地址。
       • Jaeger和Zipkin的默认服务端口均为9411，如果安装的时候自定义了服务端口在配置“服务端口”时请填写实际的值。

4. （可选）高级配置。
   • 命名空间注入配置

     选择命名空间，为命名空间设置标签istio-injection=enabled，其中的Pod在重启后会自动注入istio-proxy sidecar。

     如果不进行命名空间注入配置，可在网格创建成功后在“网格配置 > sidecar管理”中注入sidecar。具体操作请参考sidecar注入。

   • 是否重启已有服务

     ：会重启命名空间下已有服务关联的Pod，将会暂时中断业务。只有在重启后，已有服务关联的Pod才会自动注入istio-proxy sidecar。

     ：已有服务关联的Pod不会自动注入istio-proxy sidecar，需要在CCE控制台，手动重启工作负载才会注入sidecar。

   • 流量拦截配置
     

     默认情况下，ASM所注入的sidecar会拦截所有入方向和出方向流量，可通过流量拦截配置修改默认的流量拦截规则。

     入方向端口：可用于配置端口级别拦截规则，生效于网格服务的内部端口，以逗号分隔入站端口。

     • 仅拦截指定端口表示访问网格服务指定端口范围内的请求将被重定向到sidecar中。
     • 仅排除指定端口表示访问网格服务的请求，除端口范围外的请求将被重定向到sidecar中。

     出方向端口：可用于配置端口级别拦截规则，生效于网格服务对外访问的流量方向上，以逗号分隔出站端口。

     • 仅拦截指定端口表示网格服务访问指定端口范围内的请求将被重定向到sidecar中。
     • 仅排除指定端口表示网格服务对外访问的请求，除指定端口范围外的流量都将被重定向到sidecar中。

     出方向网段：可用于配置网段级别拦截规则，生效于网格服务对外访问的流量方向上，以逗号分隔 IP ，以 CIDR 形式表示。

     • 仅拦截指定网段表示指定网段范围内的流量将被重定向到sidecar中。
     • 仅排除指定网段表示除指定网段范围外的流量将被重定向到sidecar中。
   • 资源标签

     填写标签键和标签值，最多添加20个标签。

5. 设置完成后，在页面右侧配置清单确认网格配置，确认无误后，单击“提交”。

   创建网格预计需要1~3分钟，请耐心等待。当网格状态从“安装中”变为“运行中”，表示网格创建成功。

   

   创建网格会自动创建一个otel-collector工作负载。详情请参考otel-collector工作负载作用。

   启用网格期间会操作如下资源：

   • 创建一个Helm应用编排release对象，作为服务网格控制面的资源。
   • 开通节点的安全组，允许7443端口的入流量，使其支持对Pod进行自动注入。