购买基础版网格
基础版网格的控制面组件安装在用户集群,用户需要自行管理和维护集群内的控制面组件。
前提条件
已创建CCE集群,如果未创建,请参照购买CCE集群创建。
约束与限制
- 应用服务网格依赖集群CoreDNS的域名解析能力,请确保集群拥有足够资源,且CoreDNS插件运行正常。
- 集群启用Istio时,需要开通node节点(计算节点/工作节点)所在安全组的入方向7443端口规则,用于Sidecar自动注入回调。如果您使用CCE创建的默认安全组,此端口会自动开通。如果您自建安全组规则,请手动开通7443端口,以确保Istio自动注入功能正常。
- 1.13和1.15版本的istio组件不支持在CentOS和EulerOS2.5操作系统的节点上运行,在创建网格时,请不要指定这些类型的节点为mastre节点。
- 请根据下表ASM网格版本与集群版本适配规则匹配合适的网格版本和集群版本。
表1 ASM网格版本与集群版本适配规则 ASM网格版本
集群版本
1.3
v1.13、v1.15、v1.17、v1.19
1.6
v1.15、v1.17
1.8
v1.15、v1.17、v1.19、v1.21
1.13
v1.21、v1.23
1.15
v1.21、v1.23、v1.25、v1.27
1.18
v1.25、v1.27、v1.28、1.29、1.30
操作步骤
- 登录应用服务网格控制台,按以下说明进入购买网格页面。
- 如果还未创建过网格,请单击ASM基础版中的“创建网格”。
- 如果当前已有网格,请在网格列表页面右上角单击“购买网格”。
- 网格类型选择“基础版”。
- 设置基础版网格参数。
图1 基础版网格参数
- 网格名称
基础版网格的名称,取值必须以小写字母开头,由小写字母、数字、中划线(-)组成,且不能以中划线(-)结尾,长度范围为4~64个字符。
同一账号下网格不可重名,且网格名称创建后不可修改。
- 企业项目(可选)
企业项目是一种云资源管理方式,企业项目管理提供统一的云资源按项目管理,以及项目内的资源管理、成员管理。
如需使用企业项目,账号必须为企业实名认证,且已开通企业项目。更多信息请参见如何开通企业项目。
- Istio版本
基础版网格支持的Istio版本。
- 启用IPv6
启用双栈网格需满足以下条件:
网格类型
Istio版本
支持启用的集群类型
集群网络类型
其他说明
基础版
1.18及以上
CCE Turbo集群
云原生网络2.0
集群需要已启用IPv6,请参考通过CCE搭建IPv4/IPv6双栈集群
- 是否启用IPv6功能,仅istio1.18及以上版本的基础版网格支持。
- 低版本的网格升级到1.18及以上时,不支持升级后开启IPv4/IPv6双栈。
- 网格开启IPv4/IPv6双栈后不支持关闭, 未开启双栈的网格也不支持创建完成之后开启双栈。
- 集群
在集群列表中选择集群,或在列表右上角输入集群名称搜索需要的集群。仅可选择当前网格版本支持的集群版本。
- Istio控制面节点
基础版网格的控制面组件安装在用户集群,因此需要选择用于安装Istio控制面的节点。如果需要高可用,建议选择两个或以上不同可用区的节点。
所选节点会被添加istio:master标签,网格组件会调度到该节点上,但可能会和用户的业务容器运行在一起,生产环境建议使用企业版网格。
- 设置可观测性配置
- 应用指标
是否启用应用指标,应用指标开启后,可以在网格中构建服务访问指标、应用拓扑、服务健康和服务SLO定义。
Istio1.18之前版本的应用指标仅支持对接华为云APM,将为您自动开启基础版免费套餐,如需切换至高级套餐,请参考使用指南。1.18以及后续版本网格仅支持对接到华为云AOM,同时低版本网格升级到1.18后也可以切换到AOM,为了获取更优的使用体检,建议切换到AOM,如何使用AOM查看应用指标请参考AOM页面如何查询网格指标。开启AOM后,AOM将按用量进行收费。收费标准请参考华为云定价 。
- 访问日志
是否启用访问日志,访问日志开启后,可以在网格中查询到详细的服务键访问记录,定位每次访问异常。选择”访问日志”后,选择需要对接到的LTS日志组和LTS日志流,访问日志将传输到对应的LTS日志流,并可在“监控中心-访问日志”中查看访问日志。
访问日志目前仅Istio 1.18及以上版本支持对接到华为云云日志服务(LTS)。若要对接到华为云LTS,请提前在CCE集群插件中心中安装云原生日志采集插件(CCE Log-Agent)。
- 调用链
选择使用服务:即选择调用链上报的服务后端。可选择“华为云APM”和“第三方Jaeger/Zipkin服务”,当选择“第三方Jaeger/Zipkin服务”时,需要配置“服务地址”和“服务端口”两个参数,即第三方调用链服务接收请求信息的地址和端口。
- 仅Istio 1.15及以上版本支持第三方调用链。
- 如果您要使用“第三方Jaeger/Zipkin服务”调用链,请先自行完成调用链服务的安装,也可参考如何对接Jaeger/Zipkin查看调用链进行安装。之后获取服务地址。
- Jaeger和Zipkin的默认服务端口均为9411,如果安装的时候自定义了服务端口在配置“服务端口”时请填写实际的值。
- 应用指标
- 网格名称
- (可选)高级配置。
- sidecar配置
选择命名空间,为命名空间设置标签istio-injection=enabled,其中的Pod在重启后会自动注入istio-proxy sidecar。
如果不进行sidecar配置,可在网格创建成功后在“网格配置 > sidecar管理”中注入sidecar。具体操作请参考sidecar注入。
- 是否重启已有服务
:会重启命名空间下已有服务关联的Pod,将会暂时中断业务。只有在重启后,已有服务关联的Pod才会自动注入istio-proxy sidecar。
:已有服务关联的Pod不会自动注入istio-proxy sidecar,需要在CCE控制台,手动重启工作负载才会注入sidecar。
如果所选集群注入过sidecar,建议您选择重启已有服务,如果不重启,服务所在实例中已存在istio-proxy容器的情况下,网关会访问失败。
- 流量拦截配置
- 仅Istio 1.13及以上版本支持流量拦截功能。
- 默认情况下,ASM所注入的sidecar会拦截所有入方向和出方向流量,可通过流量拦截配置修改默认的流量拦截规则。
入方向端口:可用于配置端口级别拦截规则,生效于网格服务的内部端口,以逗号分隔入站端口。
- 仅拦截指定端口表示访问网格服务指定端口范围内的请求将被重定向到sidecar中。
- 仅排除指定端口表示访问网格服务的请求,除端口范围外的请求将被重定向到sidecar中。
出方向端口:可用于配置端口级别拦截规则,生效于网格服务对外访问的流量方向上,以逗号分隔出站端口。
- 仅拦截指定端口表示网格服务访问指定端口范围内的请求将被重定向到sidecar中。
- 仅排除指定端口表示网格服务对外访问的请求,除指定端口范围外的流量都将被重定向到sidecar中。
出方向网段:可用于配置网段级别拦截规则,生效于网格服务对外访问的流量方向上,以逗号分隔 IP ,以 CIDR 形式表示。
- 仅拦截指定网段表示指定网段范围内的流量将被重定向到sidecar中。
- 仅排除指定网段表示除指定网段范围外的流量将被重定向到sidecar中。
- 资源标签
填写标签键和标签值,最多添加20个标签。
- sidecar配置
- 设置完成后,在页面右侧配置清单确认网格配置,确认无误后,单击“提交”。
创建基础版网格预计需要1~3分钟,请耐心等待。当网格状态从“安装中”变为“运行中”,表示网格创建成功。
创建网格会自动创建一个otel-collector工作负载。详情请参考otel-collector工作负载作用。
启用网格期间会操作如下资源:
- 创建一个Helm应用编排release对象,作为服务网格控制面的资源。
- 开通节点的安全组,允许7443端口的入流量,使其支持对Pod进行自动注入。
- ASM从1.8.6-r4、1.13.9-r5、1.15.5-r3开始支持金丝雀升级,部署的istio资源均会带上版本后缀,如istiod-1-13-9-r5。