Partilhar via

Suplemento do Open Service Mesh (OSM) no Azure Kubernetes Service (AKS)

  • Artigo

O Open Service Mesh (OSM) é uma malha de serviço leve, extensível e nativa da nuvem que permite gerenciar, proteger e obter recursos de observabilidade prontos para uso uniformemente para ambientes de microsserviços altamente dinâmicos.

O OSM executa um plano de controle baseado em Envoy no Kubernetes e pode ser configurado com APIs SMI . O OSM funciona injetando um proxy Envoy como um contêiner sidecar com cada instância do seu aplicativo. O proxy Envoy contém e executa regras em torno de políticas de controle de acesso, implementa a configuração de roteamento e captura métricas. O plano de controle configura continuamente os proxies do Envoy para garantir que as políticas e as regras de roteamento estejam atualizadas e que os proxies estejam íntegros.

A Microsoft iniciou o projeto OSM, mas agora é regido pela Cloud Native Computing Foundation (CNCF).

Nota

Com a desativação do Open Service Mesh (OSM) pela Cloud Native Computing Foundation (CNCF), recomendamos identificar suas configurações OSM e migrá-las para uma configuração Istio equivalente. Para obter informações sobre como migrar do OSM para o Istio, consulte Diretrizes de migração para configurações do Open Service Mesh (OSM) para o Istio.

Ativar o suplemento do OSM

O OSM pode ser adicionado ao cluster do Serviço Kubernetes do Azure (AKS) habilitando o complemento OSM usando a CLI do Azure ou um modelo Bicep. O complemento OSM fornece uma instalação totalmente suportada do OSM que é integrada ao AKS.

Importante

Com base na versão do Kubernetes que seu cluster está executando, o complemento OSM instala uma versão diferente do OSM.

Versão do Kubernetes Versão do OSM instalada
1.24.0 ou superior 1.2.5
Entre 1.23.5 e 1.24.0 1.1.3
Abaixo de 1.23.5 1.0.0

As versões mais antigas do OSM podem não estar disponíveis para instalação ou ser ativamente suportadas se a versão correspondente do AKS tiver chegado ao fim da vida útil. Você pode verificar o calendário de lançamento do Kubernetes do AKS para obter informações sobre as janelas de suporte da versão do AKS.

Capacidades e funcionalidades

O OSM fornece os seguintes recursos e capacidades:

  • Proteja a comunicação serviço-a-serviço habilitando TLS mútuo (mTLS).
  • Aplicações integradas na malha OSM usando injeção automática de sidecar do proxy Envoy.
  • Configure de forma transparente a mudança de tráfego em implantações.
  • Defina e execute políticas refinadas de controle de acesso para serviços.
  • Monitore e depure serviços usando observabilidade e insights em métricas de aplicativos.
  • Criptografar comunicações entre pontos de extremidade de serviço implantados no cluster.
  • Habilite a autorização de tráfego HTTP/HTTPS e TCP.
  • Configure controles de tráfego ponderado entre dois ou mais serviços para testes A/B ou implantações canárias.
  • Colete e visualize KPIs do tráfego do aplicativo.
  • Integre com o gerenciamento de certificados externos.
  • Integre com soluções de entrada existentes, como NGINX, Contorno e Roteamento de Aplicativos.

Para obter mais informações sobre ingresso e OSM, consulte Usando a entrada para gerenciar o acesso externo a serviços dentro do cluster e Integrar o OSM com o Contour para entrada. Para obter um exemplo de como integrar o OSM com controladores de entrada usando a networking.k8s.io/v1 API, consulte Ingress with Kubernetes Nginx ingress controller. Para obter mais informações sobre como usar o Roteamento de Aplicativos, que se integra automaticamente ao OSM, consulte Roteamento de Aplicativos.

Limitações

O suplemento do AKS do OSM tem as seguintes limitações:

  • Após a instalação, você deve habilitar o redirecionamento Iptables para exclusão de endereço IP de porta e intervalo de portas usando kubectl patcho . Para obter mais informações, veja Redirecionamento de iptables.
  • Todos os pods que precisem de acesso ao IMDS, ao DNS do Azure ou ao servidor da API do Kubernetes têm de ter os endereços IP adicionados à lista global de intervalos de IP de saída excluídos com Exclusões de intervalos de IP de saída globais.
  • O OSM não suporta contentores do Windows Server.

Próximos passos

Depois de habilitar o complemento OSM usando a CLI do Azure ou um modelo Bicep, você pode: