Open Service Mesh-invoegtoepassing (OSM) in Azure Kubernetes Service (AKS)
Open Service Mesh (OSM) is een lichtgewicht, uitbreidbare, cloudeigen service-mesh waarmee u op uniforme wijze kunt beheren, beveiligen en out-of-the-box waarneembaarheidsfuncties voor zeer dynamische microserviceomgevingen.
OSM voert een op Envoy gebaseerd besturingsvlak uit op Kubernetes en kan worden geconfigureerd met SMI-API's . OSM werkt door een Envoy-proxy als sidecarcontainer te injecteren bij elk exemplaar van uw toepassing. De Envoy-proxy bevat en voert regels uit rond toegangsbeheerbeleid, implementeert routeringsconfiguratie en legt metrische gegevens vast. Het besturingsvlak configureert voortdurend de Envoy-proxy's om ervoor te zorgen dat beleidsregels en routeringsregels up-to-date zijn en proxy's in orde zijn.
Microsoft heeft het OSM-project gestart, maar het wordt nu beheerd door de Cloud Native Computing Foundation (CNCF).
Notitie
Met de buitengebruikstelling van Open Service Mesh (OSM) door de Cloud Native Computing Foundation (CNCF) raden we u aan om uw OSM-configuraties te identificeren en te migreren naar een equivalente Istio-configuratie. Zie Migratierichtlijnen voor Open Service Mesh-configuraties (OSM) naar Istio voor meer informatie over het migreren van OSM naar Istio.
De OSM-invoegtoepassing inschakelen
OSM kan worden toegevoegd aan uw AKS-cluster (Azure Kubernetes Service) door de OSM-invoegtoepassing in te schakelen met behulp van de Azure CLI of een Bicep-sjabloon. De OSM-invoegtoepassing biedt een volledig ondersteunde installatie van OSM die is geïntegreerd met AKS.
Belangrijk
Op basis van de versie van Kubernetes wordt uw cluster uitgevoerd, installeert de OSM-invoegtoepassing een andere versie van OSM.
| Kubernetes-versie | OSM-versie geïnstalleerd |
|---|---|
| 1.24.0 of hoger | 1.2.5 |
| Tussen 1.23.5 en 1.24.0 | 1.1.3 |
| Onder 1.23.5 | 1.0.0 |
Oudere versies van OSM zijn mogelijk niet beschikbaar voor installatie of worden actief ondersteund als de bijbehorende AKS-versie het einde van de levensduur heeft bereikt. U kunt de AKS Kubernetes-releasekalender controleren op informatie over ondersteuningsvensters voor AKS-versies.
Mogelijkheden en functies
OSM biedt de volgende mogelijkheden en functies:
- Beveilig service-naar-service-communicatie door wederzijdse TLS (mTLS) in te schakelen.
- Onboard toepassingen op de OSM mesh met behulp van automatische sidecar injectie van Envoy proxy.
- Configureer verkeer dat wordt verplaatst op implementaties transparant.
- Definieer en voer fijnmazige beleidsregels voor toegangsbeheer voor services uit.
- Services bewaken en fouten opsporen met behulp van waarneembaarheid en inzichten in metrische gegevens van toepassingen.
- Versleutel de communicatie tussen service-eindpunten die zijn geïmplementeerd in het cluster.
- Schakel verkeersautorisatie in van zowel HTTP/HTTPS- als TCP-verkeer.
- Configureer gewogen verkeerscontroles tussen twee of meer services voor A/B-tests of kanarie-implementaties.
- KPI's verzamelen en weergeven vanuit toepassingsverkeer.
- Integreren met extern certificaatbeheer.
- Integreer met bestaande oplossingen voor inkomend verkeer, zoals NGINX, Contour en Toepassingsroutering.
Zie Inkomend verkeer gebruiken om externe toegang tot services binnen het cluster te beheren en OSM te integreren met Contour voor inkomend verkeer voor inkomend verkeer voor meer informatie over inkomend verkeer. Zie Inkomend verkeer met Kubernetes Nginx-controller voor inkomend verkeer voor een voorbeeld van het integreren van OSM met ingangscontroller voor inkomend verkeer met behulp van de networking.k8s.io/v1 API. Zie Toepassingsroutering voor meer informatie over het gebruik van toepassingsroutering, die automatisch wordt geïntegreerd met OSM.
Beperkingen
De AKS-invoegtoepassing van OSM heeft de volgende beperkingen:
- Na de installatie moet u iptables-omleiding inschakelen voor poort-IP-adres en poortbereikuitsluiting met behulp van
kubectl patch. Zie iptables-omleiding voor meer informatie. - Pods die toegang nodig hebben tot IMDS, Azure DNS of de Kubernetes API-server, moeten hun IP-adressen hebben toegevoegd aan de algemene lijst met uitgesloten uitgaande IP-bereiken met behulp van uitsluitingen van algemene uitgaande IP-bereiken.
- De invoegtoepassing werkt niet op AKS-clusters die gebruikmaken van de op Istio gebaseerde service-mesh-invoegtoepassing voor AKS.
- OSM biedt geen ondersteuning voor Windows Server-containers.
Volgende stappen
Nadat u de OSM-invoegtoepassing hebt ingeschakeld met behulp van de Azure CLI of een Bicep-sjabloon, kunt u het volgende doen: