Compartilhar via

Complemento Open Service Mesh (OSM) no Serviço de Kubernetes do Azure (AKS)

  • Artigo

A Malha de Serviço Aberta (OSM) é uma malha de serviços leve, extensível e nativa da nuvem que permite gerenciar, proteger e obter uniformemente recursos de observabilidade prontos para uso para ambientes de microsserviços altamente dinâmicos.

O OSM executa um painel de controle baseado em Envoy no Kubernetes e pode ser configurado com APIs SMI. O OSM funciona injetando um proxy Envoy como um contêiner sidecar com cada instância do seu aplicativo. O proxy Envoy contém e executa regras sobre políticas de controle de acesso, implementa a configuração de roteamento e captura métricas. O plano de controle configura continuamente os proxies do Envoy para garantir que as políticas e as regras de roteamento estejam atualizadas e que os proxies estejam íntegros.

A Microsoft iniciou o projeto OSM, mas agora ele é controlado pela Cloud Native Computing Foundation (CNCF).

Observação

Com a desativação do Open Service Mesh (OSM) pela Cloud Native Computing Foundation (CNCF), recomendamos identificar suas configurações de OSM e migrá-las para uma configuração equivalente do Istio. Para obter informações sobre como migrar do OSM para o Istio, consulte Diretrizes de migração para configurações do OSM (Open Service Mesh) para o Istio.

Habilita o complemento OSM

O OSM pode ser adicionado ao seu cluster do AKS (Serviço de Kubernetes do Azure) habilitando o complemento OSM usando a CLI do Azure ou um modelo Bicep. O complemento OSM fornece uma instalação totalmente suportada do OSM integrada ao AKS.

Importante

Com base na versão do Kubernetes que seu cluster está executando, o complemento OSM instala uma versão diferente do OSM.

Versão do Kubernetes Versão OSM instalada
1.24.0 ou superior 1.2.5
Entre 1.23.5 e 1.24.0 1.1.3
Abaixo de 1.23.5 1.0.0

As versões mais antigas do OSM podem não estar disponíveis para instalação ou não ter suporte ativo se a versão correspondente do AKS tiver atingido o fim da vida útil. Você pode conferir o calendário de lançamento do Kubernetes do AKS para obter informações sobre as janelas de suporte à versão do AKS.

Funcionalidades e recursos

O OSM fornece os seguintes recursos:

  • Proteja a comunicação entre serviços habilitando o TLS mútuo (mTLS).
  • Integrar facilmente aplicativos na malha do OSM habilitando a injeção automática de sidecar do proxy Envoy.
  • Configurar de modo transparente a mudança de tráfego nas implantações.
  • Definir e executar políticas refinadas de controle de acesso para serviços.
  • Monitorar e depurar serviços usando a observação e informações sobre as métricas do aplicativo.
  • Fornecer comunicações criptografadas entre os pontos de extremidade de serviço implantados no cluster
  • Habilitar autorização de tráfego de HTTP/HTTPS e TCP.
  • Configurar controles de tráfego ponderados entre dois ou mais serviços para testes A/B ou implantações canário.
  • Coletar e exibir KPIs do tráfego do aplicativo.
  • Integrar-se ao gerenciamento de certificados externos.
  • Integre-se a soluções de entrada existentes, como NGINX, Contour e Roteamento de Aplicativo.

Para obter mais informações sobre a entrada e o OSM, consulte Usando a entrada para gerenciar o acesso externo a serviços dentro do cluster e Integrar o OSM com o Contour para entrada. Para obter um exemplo de como integrar o OSM com controladores de entrada usando a API networking.k8s.io/v1, confira Entrada com o controlador de entrada Kubernetes Nginx. Para obter mais informações sobre como usar o Roteamento de Aplicativos, que se integra automaticamente ao OSM, consulte Roteamento de Aplicativos.

Limitações

O complemento OSM do AKS tem as seguintes limitações:

  • Após a instalação, você deve habilitar o redirecionamento do Iptables para exclusão do endereço IP da porta e do intervalo de portas usando kubectl patch. Para obter mais informações, confira redirecionamento do iptables.
  • Todos os pods que precisem de acesso ao IMDS, ao DNS do Azure ou ao servidor da API Kubernetes devem ter seus endereços IP adicionados à lista global de intervalos de IP de saída excluídos usando Exclusões globais de intervalo IP de saída.
  • O OSM não suporta os contêineres do Windows Server.

Próximas etapas

Depois de habilitar o complemento OSM usando a CLI do Azure ou um modelo bicep, você pode: