Open Service Mesh (OSM)-Add-On in Azure Kubernetes Service (AKS)
Open Service Mesh (OSM) ist ein schlankes, erweiterbares, cloudbasiertes Service Mesh, mit dem Sie die vorgefertigten Standardfunktionen für die Ermittelbarkeit für sehr dynamische Microservice-Umgebungen einheitlich verwalten, sichern und erhalten können.
OSM führt eine Envoy-basierte Steuerungsebene in Kubernetes aus und kann mit SMIAPIs konfiguriert werden. OSM fügt einen Envoy-Proxy als Sidecarcontainer mit jeder Instanz Ihrer Anwendung ein. Der Envoy-Proxy enthält Regeln für Zugriffskontrollrichtlinien und führt diese aus, implementiert die Routing-Konfiguration und erfasst Metriken. Die Steuerebene konfiguriert die Envoy-Proxys kontinuierlich, um sicherzustellen, dass Richtlinien und Routingregeln auf dem neuesten Stand und Proxys fehlerfrei sind.
Microsoft hat das OSM-Projekt gestartet, es wird aber jetzt von der Cloud Native Computing Foundation (CNCF) verwaltet.
Hinweis
Mit der Einstellung von Open Service Mesh (OSM) durch die Cloud Native Computing Foundation (CNCF) empfehlen wir, Ihre OSM-Konfigurationen zu identifizieren und zu einer entsprechenden Istio-Konfiguration zu migrieren. Informationen zum Migrieren von OSM zu Istio finden Sie im Migrationsleitfaden für Open Service Mesh (OSM)-Konfigurationen zu Istio.
Aktivieren des OSM-Add-Ons
OSM kann Ihrem Azure Kubernetes Service-Cluster (AKS) hinzugefügt werden, indem das OSM-Add-On mithilfe des Azure CLI oder einer Bicep-Vorlage ermöglicht wird. Das OSM-Add-On bietet eine vollständig unterstützte Installation von OSM, die in AKS integriert ist.
Wichtig
Je nach der Version von Kubernetes, die Ihr Cluster ausführt, installiert das OSM-Add-On eine andere Version von OSM:
| Kubernetes-Version | Installierte OSM-Version |
|---|---|
| 1.24.0 oder höher | 1.2.5 |
| Zwischen 1.23.5 und 1.24.0 | 1.1.3 |
| Niedriger als 1.23.5 | 1.0.0 |
Ältere Versionen von OSM sind möglicherweise nicht für die Installation verfügbar oder werden u. U. nicht aktiv unterstützt, wenn die entsprechende AKS-Version das Ende der Lebensdauer erreicht hat. Informationen zu Supportfenstern für AKS-Versionen finden Sie im Releasekalender für AKS Kubernetes.
Funktionen und Features
OSM bietet die folgenden Funktionen und Features:
- Schützen der Kommunikation zwischen Diensten durch Aktivierung von gegenseitigem TLS (mTLS).
- Onboarding von Anwendungen auf das OSM-Mesh durch Nutzung der automatischen Sidecar-Injektion des Envoy-Proxys.
- Transparentes Konfigurieren der Datenverkehrsverschiebung bei Bereitstellungen.
- Definieren und Ausführen präziser Zugriffskontrollrichtlinien für Dienste.
- Überwachen und debuggen Sie Dienste mithilfe von Einblicken und Erkenntnissen in Anwendungsmetriken.
- Verschlüsseln Sie die Kommunikation zwischen den im Cluster bereitgestellten Dienstendpunkten.
- Aktivieren Sie die Verkehrsautorisierung von sowohl HTTP/HTTPS- als auch TCP-Verkehr.
- Konfigurieren Sie gewichtete Verkehrssteuerelemente zwischen zwei oder mehr Diensten für A/B-Tests oder Canary-Bereitstellungen.
- Erfassen und Anzeigen von KPIs aus dem Anwendungsdatenverkehr.
- Integration in die externe Zertifikatverwaltung.
- Integrieren in vorhandene Eingangslösungen wie NGINX, Contour und Anwendungsrouting.
Weitere Informationen zum Eingang und zu OSM finden Sie unter Verwenden des Eingangs zum Verwalten des externen Zugriffs auf Dienste innerhalb des Clusters und Integrieren von OSM in Contour für den Eingang. Ein Beispiel für die Integration von OSM in Eingangscontroller mithilfe der networking.k8s.io/v1-API finden Sie unter Eingang mit Kubernetes Nginx-Eingangscontroller. Weitere Informationen zur Verwendung von Anwendungsrouting, das sich automatisch in OSM integriert, finden Sie unter Anwendungsrouting.
Einschränkungen
Für das OSM-AKS-Add-On gelten die folgenden Einschränkungen:
- Nach der Installation müssen Sie die Iptables-Umleitung für den Ausschluss von Port-IP-Adressen und Portbereichen mithilfe von
kubectl patchaktivieren. Weitere Informationen finden Sie unter Iptables-Umleitung. - Alle Pods, die Zugriff auf IMDS, Azure DNS oder den Kubernetes-API-Server benötigen, müssen gemäß Global outbound IP range exclusions (Globale Ausschlüsse für ausgehende IP-Adressbereiche) der globalen Liste der ausgeschlossenen ausgehenden IP-Adressbereiche hinzugefügt werden.
- Das Add-On funktioniert nicht in AKS-Clustern, die das Istio-basierte Service-Mesh-Add-On für AKS verwenden.
- OSM unterstützt keine Windows Server-Container.
Nächste Schritte
Nach dem Aktivieren des OSM-Add-Ons mithilfe der Azure CLI oder einer Bicep-Vorlage haben Sie folgende Möglichkeiten: