在使用Service MeshASM之前,您需要建立一個ASM執行個體,對應用服務進行流量管理、安全管理、故障恢複、觀測監控等。本文介紹如何通過ASM控制台建立ASM執行個體。
前提條件
已開通以下服務。
已獲得以下角色授權。具體操作,請參見為RAM使用者和RAM角色授權。
AliyunServiceMeshDefaultRole
AliyunCSClusterRole
AliyunCSManagedKubernetesRole
配置說明
建立Service Mesh的過程中,根據不同的配置,ASM可能會進行如下操作:
建立安全性群組,該安全性群組允許VPC入方向全部ICMP連接埠的訪問。
說明建立時不支援使用已有安全性群組,建立後不支援更改安全性群組。
建立VPC路由規則。
建立EIP。
建立RAM角色及相應策略,該角色擁有CLB的全部許可權、CloudMonitor的全部許可權、VPC的全部許可權、Log Service的全部許可權。Service Mesh會根據使用者部署的配置相應的動態建立CLB、VPC路由規則等。
建立私網CLB,暴露6443和15011連接埠。
在使用Service Mesh的過程中,ASM會收集被託管管控組件的日誌資訊用於穩定性保障。
操作步驟
登入ASM控制台,在左側導覽列,選擇 。
在網格管理頁面,單擊建立新網格,配置網格相關資訊。
配置項
說明
網格名稱
Service Mesh的名稱。
規格
可選企業版和旗艦版關於ASM各個規格功能對比,請參見什麼是服務網格ASM?。
地區
Service Mesh所在的地區。
付費類型
支援隨用隨付。
Istio版本
Istio版本。
Kubernetes叢集
根據待添加到Service Mesh中的Kubernetes叢集的資訊,自動選擇服務網格的專用網路、交換器及叢集本地區名。更多資訊,請參見建立ACK託管叢集。
專用網路
Service Mesh的專用網路。您可以單擊建立專用網路進行建立。更多資訊,請參見建立和管理專用網路。
交換器
Service Mesh的交換器。您可以單擊建立交換器進行建立。更多資訊,請參見建立和管理交換器。
Istio控制面訪問
Istio控制面的CLB執行個體,用於訪問Istio控制面。
API Server訪問
API Server的CLB執行個體,還可以設定是否開放使用EIP暴露API Server。
開放:建立一個EIP,並掛載到私網CLB上。您可以在公網通過kubeconfig來串連和操作ASM。
不開放:不建立EIP。您只能在VPC下通過KubeConfig來串連和操作ASM。
可觀測性
是否啟用鏈路追蹤。
ASM整合了阿里雲可觀測鏈路OpenTelemetry版,為分布式應用的開發人員提供了完整的調用鏈路還原、調用請求量統計、鏈路拓撲、應用依賴分析等能力,可以協助開發人員快速分析和診斷分布式應用架構下的效能瓶頸,提升開發診斷效率。更多資訊,請參見使用可觀測鏈路OpenTelemetry版實現網格內外應用的一體化追蹤。
說明啟用該配置之前,您需要開通可觀測鏈路OpenTelemetry版。
是否開啟採集Prometheus監控指標。關於Prometheus的詳細介紹,請參見整合可觀測監控Prometheus版實現網格監控和整合自建Prometheus實現網格監控。
是否啟用ASM網格拓撲提升網格可觀測。
ASM網格拓撲是一個Service Mesh可觀測性工具,提供了查看相關服務與配置的可視化介面。ASM從1.7.5.25版本開始支援內建網格拓撲。關於啟用ASM網格拓撲提升網格可觀測的詳細介紹,請參見開啟網格拓撲提高可觀測性。
是否將訪問日誌採集到阿里雲Log Service。您可以通過Log Service查看入口網關的訪問日誌。關於訪問日誌的詳細介紹,請參見產生和採集ASM網關訪問日誌和使用Log Service採集資料平面的AccessLog。
是否啟用控制面日誌採集。
ASM支援採集控制平面日誌和日誌警示,例如採集ASM控制平面向資料平面Sidecar推送配置的相關日誌。關於控制面日誌採集的詳細介紹,請參見啟用控制平面日誌採集和日誌警示(舊版)或啟用控制平面日誌採集和日誌警示(新版)。
網格審計
是否啟用網格審計。
網格審計功能可以協助網格管理員記錄或追溯不同使用者的日常操作,是叢集安全營運中的重要環節。關於網格審計功能的詳細介紹,請參見使用KubeAPIAction Trail。
資源配置
是否啟用Istio資源歷史版本。
當您更新Istio資源的
spec
欄位中的內容時,ASM會記錄更新Istio資源的歷史版本,最多記錄最新動向的5個版本。關於Istio資源歷史版本的詳細介紹,請參見復原Istio資源的歷史版本。是否啟用資料面叢集KubeAPI訪問Istio資源。
ASM支援通過資料面叢集的Kubernetes API(KubeAPI)對Istio資源進行增刪改查操作。關於資料面叢集KubeAPI訪問Istio資源的詳細介紹,請參見通過資料面叢集KubeAPI訪問Istio資源。
叢集本地區名
Service Mesh執行個體使用的叢集本地區名,預設為cluster.local。您只能將與網格叢集網域名稱相同的K8s叢集加入網格執行個體。
說明僅ASM執行個體版本為1.6.4.5及以上支援設定叢集本地區名,否則將隱藏叢集本地區名。
資料面模式
選擇是否啟用Ambient Mesh模式。Ambient Mesh支援Sidecar和Sidecarless兩種形態的資料平面架構。您可以按需選擇其中之一或兩者融合使用。更多資訊,請參見Ambient Mesh模式概述。
說明該功能處於公測階段。
開通隨用隨付服務。
如果您是首次建立商業版執行個體,在依賴檢查右側狀態列下會顯示未通過,您需要開通隨用隨付服務。
單擊依賴檢查右側說明列下的立即開通,選中服務網格(隨用隨付)服務合約,單擊立即開通。返回建立服務網格頁面,單擊ASM服務開通檢查右側的重新檢查,此時,依賴檢查右側狀態列下會顯示通過。
仔細閱讀並選中服務合約,然後單擊建立服務網格。
說明一個ASM執行個體的建立時間一般約為2到3分鐘。
相關操作
執行個體建立成功後,您可以在網格管理頁面的執行個體列表查看已建立的執行個體。在執行個體列表的操作列,您還可以進行如下操作。
操作 | 說明 |
查看執行個體的相關資訊 | 單擊目標執行個體對應的管理,在基本資料頁面查看詳細資料。 系統會為建立執行個體預設建立5個命名空間,控制台只顯示istio-system和default。通過kubectl方式可以查詢和操作其他命名空間,包括istio-system、kube-node-lease、kube-public、kube-system和default。 |
修改執行個體的相關資訊 |
|
變更執行個體規格 | 單擊目標執行個體對應的規格變更。具體操作,請參見變更ASM執行個體規格。 |
查看日誌資訊 | 單擊目標執行個體對應的日誌。更多資訊,請參見日誌分析。 |
刪除執行個體 | 單擊目標執行個體對應的 > 刪除,在刪除網格對話方塊,仔細閱讀刪除注意事項,選擇需要保留的資源,確認無誤後單擊確定。 |
關於刪除操作的注意事項如下,請謹慎操作。
刪除ASM執行個體,將無法繼續使用該執行個體下Service Mesh的相關功能。
刪除API Server所使用的CLB,將無法操作Service Mesh和相關配置。
刪除Istio Pilot所使用的CLB,將無法操作Service Mesh和相關配置。