Complemento Open Service Mesh (OSM) no Serviço de Kubernetes do Azure (AKS)
A Malha de Serviço Aberta (OSM) é uma malha de serviços leve, extensível e nativa da nuvem que permite gerenciar, proteger e obter uniformemente recursos de observabilidade prontos para uso para ambientes de microsserviços altamente dinâmicos.
O OSM executa um painel de controle baseado em Envoy no Kubernetes e pode ser configurado com APIs SMI. O OSM funciona injetando um proxy Envoy como um contêiner sidecar com cada instância do seu aplicativo. O proxy Envoy contém e executa regras sobre políticas de controle de acesso, implementa a configuração de roteamento e captura métricas. O plano de controle configura continuamente os proxies do Envoy para garantir que as políticas e as regras de roteamento estejam atualizadas e que os proxies estejam íntegros.
A Microsoft iniciou o projeto OSM, mas agora ele é controlado pela Cloud Native Computing Foundation (CNCF).
Observação
Com a desativação do Open Service Mesh (OSM) pela Cloud Native Computing Foundation (CNCF), recomendamos identificar suas configurações de OSM e migrá-las para uma configuração equivalente do Istio. Para obter informações sobre como migrar do OSM para o Istio, consulte Diretrizes de migração para configurações do OSM (Open Service Mesh) para o Istio.
Habilita o complemento OSM
O OSM pode ser adicionado ao seu cluster do AKS (Serviço de Kubernetes do Azure) habilitando o complemento OSM usando a CLI do Azure ou um modelo Bicep. O complemento OSM fornece uma instalação totalmente suportada do OSM integrada ao AKS.
Importante
Com base na versão do Kubernetes que seu cluster está executando, o complemento OSM instala uma versão diferente do OSM.
| Versão do Kubernetes | Versão OSM instalada |
|---|---|
| 1.24.0 ou superior | 1.2.5 |
| Entre 1.23.5 e 1.24.0 | 1.1.3 |
| Abaixo de 1.23.5 | 1.0.0 |
As versões mais antigas do OSM podem não estar disponíveis para instalação ou não ter suporte ativo se a versão correspondente do AKS tiver atingido o fim da vida útil. Você pode conferir o calendário de lançamento do Kubernetes do AKS para obter informações sobre as janelas de suporte à versão do AKS.
Funcionalidades e recursos
O OSM fornece os seguintes recursos:
- Proteja a comunicação entre serviços habilitando o TLS mútuo (mTLS).
- Integrar facilmente aplicativos na malha do OSM habilitando a injeção automática de sidecar do proxy Envoy.
- Configurar de modo transparente a mudança de tráfego nas implantações.
- Definir e executar políticas refinadas de controle de acesso para serviços.
- Monitorar e depurar serviços usando a observação e informações sobre as métricas do aplicativo.
- Fornecer comunicações criptografadas entre os pontos de extremidade de serviço implantados no cluster
- Habilitar autorização de tráfego de HTTP/HTTPS e TCP.
- Configurar controles de tráfego ponderados entre dois ou mais serviços para testes A/B ou implantações canário.
- Coletar e exibir KPIs do tráfego do aplicativo.
- Integrar-se ao gerenciamento de certificados externos.
- Integre-se a soluções de entrada existentes, como NGINX, Contour e Roteamento de Aplicativo.
Para obter mais informações sobre a entrada e o OSM, consulte Usando a entrada para gerenciar o acesso externo a serviços dentro do cluster e Integrar o OSM com o Contour para entrada. Para obter um exemplo de como integrar o OSM com controladores de entrada usando a API networking.k8s.io/v1, confira Entrada com o controlador de entrada Kubernetes Nginx. Para obter mais informações sobre como usar o Roteamento de Aplicativos, que se integra automaticamente ao OSM, consulte Roteamento de Aplicativos.
Limitações
O complemento OSM do AKS tem as seguintes limitações:
- Após a instalação, você deve habilitar o redirecionamento do Iptables para exclusão do endereço IP da porta e do intervalo de portas usando
kubectl patch. Para obter mais informações, confira redirecionamento do iptables. - Todos os pods que precisem de acesso ao IMDS, ao DNS do Azure ou ao servidor da API Kubernetes devem ter seus endereços IP adicionados à lista global de intervalos de IP de saída excluídos usando Exclusões globais de intervalo IP de saída.
- O complemento não funciona nos clusters do AKS que estão usando o complemento de malha de serviço baseado em Istio para AKS.
- O OSM não suporta os contêineres do Windows Server.
Próximas etapas
Depois de habilitar o complemento OSM usando a CLI do Azure ou um modelo bicep, você pode: