Dodatek Open Service Mesh (OSM) w usłudze Azure Kubernetes Service (AKS)
Open Service Mesh (OSM) to uproszczona, rozszerzalna, natywna dla chmury siatka usług, która umożliwia jednolite zarządzanie, zabezpieczanie i uzyskiwanie wbudowanych funkcji obserwacji w środowiskach wysoce dynamicznych mikrousług.
OSM uruchamia płaszczyznę sterowania opartą na wysłanniku na platformie Kubernetes i można go skonfigurować przy użyciu interfejsów API SMI . OSM działa przez wstrzyknięcie serwera proxy usługi Envoy jako kontenera przyczepki z każdym wystąpieniem aplikacji. Serwer proxy usługi Envoy zawiera i wykonuje reguły dotyczące zasad kontroli dostępu, implementuje konfigurację routingu i przechwytuje metryki. Płaszczyzna sterowania stale konfiguruje serwery proxy usługi Envoy, aby upewnić się, że zasady i reguły routingu są aktualne, a serwery proxy są w dobrej kondycji.
Firma Microsoft uruchomiła projekt OSM, ale jest teraz zarządzana przez Cloud Native Computing Foundation (CNCF).
Uwaga
Po wycofaniu usługi Open Service Mesh (OSM) przez Cloud Native Computing Foundation (CNCF) zalecamy zidentyfikowanie konfiguracji OSM i migrację ich do równoważnej konfiguracji istio. Aby uzyskać informacje na temat migracji z osmu do istio, zobacz Wskazówki dotyczące migracji konfiguracji open Service Mesh (OSM) do istio.
Włączanie dodatku OSM
Osm można dodać do klastra usługi Azure Kubernetes Service (AKS), włączając dodatek OSM przy użyciu interfejsu wiersza polecenia platformy Azure lub szablonu Bicep. Dodatek OSM zapewnia w pełni obsługiwaną instalację osmu zintegrowanego z usługą AKS.
Ważne
W oparciu o wersję platformy Kubernetes, która jest uruchomiona, dodatek OSM instaluje inną wersję osmu.
| Wersja platformy Kubernetes | Zainstalowano wersję OSM |
|---|---|
| 1.24.0 lub nowsza | 1.2.5 |
| Od 1.23.5 do 1.24.0 | 1.1.3 |
| Poniżej 1.23.5 | 1.0.0 |
Starsze wersje OSM mogą nie być dostępne do zainstalowania lub być aktywnie obsługiwane, jeśli odpowiednia wersja usługi AKS osiągnęła koniec życia. Możesz sprawdzić kalendarz wydania usługi AKS Kubernetes, aby uzyskać informacje na temat systemu Windows obsługi wersji usługi AKS.
Możliwości i funkcje
OSM zapewnia następujące możliwości i funkcje:
- Zabezpieczanie komunikacji między usługami przez włączenie wzajemnego protokołu TLS (mTLS).
- Dołączanie aplikacji do siatki OSM przy użyciu automatycznego wstrzykiwania przyczepki serwera proxy Envoy.
- Przezroczyste konfigurowanie ruchu przesuwającego się we wdrożeniach.
- Zdefiniuj i wykonaj szczegółowe zasady kontroli dostępu dla usług.
- Monitorowanie i debugowanie usług przy użyciu możliwości obserwowania i wglądu w metryki aplikacji.
- Szyfruj komunikację między punktami końcowymi usługi wdrożonym w klastrze.
- Włącz autoryzację ruchu zarówno protokołu HTTP,HTTPS, jak i ruchu TCP.
- Konfigurowanie kontrolek ruchu ważonego między co najmniej dwiema usługami na potrzeby testowania A/B lub wdrożeń kanargu.
- Zbieranie i wyświetlanie kluczowych wskaźników wydajności z ruchu aplikacji.
- Integracja z zewnętrznym zarządzaniem certyfikatami.
- Integracja z istniejącymi rozwiązaniami ruchu przychodzącego, takimi jak NGINX, Kontur i Routing aplikacji.
Aby uzyskać więcej informacji na temat ruchu przychodzącego i OSM, zobacz Using ingress to manage external access to services within the cluster and Integrate OSM with Contour for ingress (Używanie ruchu przychodzącego do zarządzania dostępem zewnętrznym do usług w klastrze ) i Integrate OSM with Contour for ingress (Integrowanie osmu z konturem dla ruchu przychodzącego). Przykład integracji OSM z kontrolerami ruchu przychodzącego przy użyciu interfejsu API można znaleźć w temacie Ingress with Kubernetes Nginx ingress controller (Ruch przychodzący z kontrolerem ruchu przychodzącego networking.k8s.io/v1 Kubernetes Nginx). Aby uzyskać więcej informacji na temat korzystania z routingu aplikacji, który automatycznie integruje się z OSM, zobacz Routing aplikacji.
Ograniczenia
Dodatek OSM usługi AKS ma następujące ograniczenia:
- Po instalacji należy włączyć przekierowywanie adresów IPtable dla adresu IP portu i wykluczenia zakresu portów przy użyciu polecenia
kubectl patch. Aby uzyskać więcej informacji, zobacz przekierowanie iptables. - Wszystkie zasobniki, które wymagają dostępu do usługi IMDS, Azure DNS lub serwera interfejsu API platformy Kubernetes, muszą mieć adresy IP dodane do globalnej listy wykluczonych zakresów adresów IP ruchu wychodzącego przy użyciu globalnych wykluczeń zakresu adresów IP ruchu wychodzącego.
- Dodatek nie działa w klastrach usługi AKS korzystających z dodatku siatki usługi Istio dla usługi AKS.
- Dodatek OSM nie obsługuje kontenerów systemu Windows Server.
Następne kroki
Po włączeniu dodatku OSM przy użyciu interfejsu wiersza polecenia platformy Azure lub szablonu Bicep możesz:
Azure Kubernetes Service
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla