Doplněk Open Service Mesh (OSM) ve službě Azure Kubernetes Service (AKS)
Open Service Mesh (OSM) je jednoduchá rozšiřitelná síť nativních cloudových služeb, která umožňuje jednotně spravovat, zabezpečit a vyřaizovat funkce pozorovatelnosti pro vysoce dynamická prostředí mikroslužeb.
OSM spouští řídicí rovinu založenou na envoy v Kubernetes a dá se nakonfigurovat pomocí rozhraní API SMI . OSM funguje vložením proxy serveru Envoy jako kontejneru sajdkáře s každou instancí vaší aplikace. Proxy server envoy obsahuje a spouští pravidla týkající se zásad řízení přístupu, implementuje konfiguraci směrování a zaznamenává metriky. Řídicí rovina průběžně konfiguruje proxy servery envoy, aby zajistily, že zásady a pravidla směrování jsou aktuální a proxy servery jsou v pořádku.
Společnost Microsoft zahájila projekt OSM, ale řídí se teď sadou CLOUD Native Computing Foundation (CNCF).
Poznámka:
Při vyřazení open service mesh (OSM) od základu CLOUD Native Computing Foundation (CNCF) doporučujeme identifikovat konfigurace OSM a migrovat je na ekvivalentní konfiguraci Istio. Informace o migraci z OSM na Istio najdete v pokynech k migraci konfigurací Open Service Mesh (OSM) do Istio.
Povolení doplňku OSM
Osm je možné přidat do clusteru Azure Kubernetes Service (AKS) povolením doplňku OSM pomocí Azure CLI nebo šablony Bicep. Doplněk OSM poskytuje plně podporovanou instalaci OSM, která je integrovaná s AKS.
Důležité
Na základě verze Kubernetes, na které je cluster spuštěný, nainstaluje doplněk OSM jinou verzi OSM.
| Verze Kubernetes | Nainstalovaná verze OSM |
|---|---|
| 1.24.0 nebo vyšší | 1.2.5 |
| Mezi 1.23.5 a 1.24.0 | 1.1.3 |
| Nižší než 1,23.5 | 1.0.0 |
Starší verze OSM nemusí být k dispozici pro instalaci nebo se aktivně podporují, pokud odpovídající verze AKS dosáhla konce životnosti. Informace o windows podpory verzí AKS najdete v kalendáři verze AKS Kubernetes.
Možnosti a funkce
OSM poskytuje následující možnosti a funkce:
- Zabezpečená komunikace mezi službami povolením vzájemného protokolu TLS (mTLS).
- Připojování aplikací do sítě OSM pomocí automatického injektáže sajdkáře proxy envoy.
- Transparentně nakonfigurujte přesun provozu v nasazeních.
- Definujte a spusťte podrobné zásady řízení přístupu pro služby.
- Monitorování a ladění služeb pomocí pozorovatelnosti a přehledů o metrikách aplikací
- Šifrování komunikace mezi koncovými body služby nasazenými v clusteru
- Povolte autorizaci provozu přenosů přenosů http/HTTPS i tcp.
- Nakonfigurujte řízení váženého provozu mezi dvěma nebo více službami pro testování A/B nebo kanárské nasazení.
- Shromážděte a zobrazte klíčové ukazatele výkonu z provozu aplikací.
- Integrace se správou externích certifikátů
- Integrace se stávajícími řešeními příchozího přenosu dat, jako jsou NGINX, Contour a Směrování aplikací
Další informace o příchozím přenosu dat a OSM najdete v tématu Použití příchozího přenosu dat ke správě externího přístupu ke službám v rámci clusteru a integraci OSM s obrysem příchozího přenosu dat. Příklad integrace OSM s kontrolery příchozího přenosu dat pomocí networking.k8s.io/v1 rozhraní API najdete v tématu Příchozí přenos dat s kontrolerem příchozího přenosu dat Kubernetes Nginx. Další informace o použití směrování aplikace, která se automaticky integruje s OSM, naleznete v tématu Směrování aplikací.
Omezení
Doplněk OSM pro AKS má následující omezení:
- Po instalaci je nutné povolit přesměrování Iptables pro IP adresu portu a vyloučení rozsahu portů pomocí
kubectl patch. Další informace najdete v tématu Přesměrování iptables. - Všechny pody, které potřebují přístup k IMDS, Azure DNS nebo serveru rozhraní API Kubernetes, musí mít své IP adresy přidané na globální seznam vyloučených rozsahů odchozích IP adres podle pokynů v části Globální vyloučení rozsahu odchozích IP adres.
- Doplněk nefunguje na clusterech AKS, které používají doplněk sítě služby Založený na Istio pro AKS.
- OSM nepodporuje kontejnery Windows Serveru.
Další kroky
Po povolení doplňku OSM pomocí Azure CLI nebo šablony Bicep můžete: