Suplemento do Open Service Mesh (OSM) no Azure Kubernetes Service (AKS)
O Open Service Mesh (OSM) é uma malha de serviço nativa da nuvem leve, extensível e que permite gerenciar, proteger e obter recursos de observabilidade prontos para uso uniformemente em ambientes de microsserviços altamente dinâmicos.
O OSM executa um plano de controle baseado em Envoy no Kubernetes e pode ser configurado com APIs SMI . O OSM funciona injetando um proxy Envoy como um contêiner sidecar com cada instância do seu aplicativo. O proxy Envoy contém e executa regras em torno de políticas de controle de acesso, implementa a configuração de roteamento e captura métricas. O plano de controle configura continuamente os proxies do Envoy para garantir que as políticas e as regras de roteamento estejam atualizadas e que os proxies estejam íntegros.
A Microsoft iniciou o projeto OSM, mas agora é regido pela Cloud Native Computing Foundation (CNCF).
Nota
Com a desativação do Open Service Mesh (OSM) pela Cloud Native Computing Foundation (CNCF), recomendamos identificar suas configurações OSM e migrá-las para uma configuração Istio equivalente. Para obter informações sobre como migrar do OSM para o Istio, consulte Diretrizes de migração para configurações do Open Service Mesh (OSM) para o Istio.
Ativar o suplemento do OSM
O OSM pode ser adicionado ao cluster do Serviço Kubernetes do Azure (AKS) habilitando o complemento OSM usando a CLI do Azure ou um modelo Bicep. O complemento OSM fornece uma instalação totalmente suportada do OSM que é integrada ao AKS.
Importante
Com base na versão do Kubernetes que seu cluster está executando, o complemento OSM instala uma versão diferente do OSM.
| Versão do Kubernetes | Versão do OSM instalada |
|---|---|
| 1.24.0 ou superior | 1.2.5 |
| Entre 1.23.5 e 1.24.0 | 1.1.3 |
| Abaixo de 1.23.5 | 1.0.0 |
As versões mais antigas do OSM podem não estar disponíveis para instalação ou ser ativamente suportadas se a versão correspondente do AKS tiver chegado ao fim da vida útil. Você pode verificar o calendário de lançamento do AKS Kubernetes para obter informações sobre as janelas de suporte da versão do AKS.
Capacidades e funcionalidades
O OSM fornece os seguintes recursos e capacidades:
- Proteja a comunicação serviço-a-serviço habilitando TLS mútuo (mTLS).
- Aplicações integradas na malha OSM usando injeção automática de sidecar do proxy Envoy.
- Configure de forma transparente a mudança de tráfego em implantações.
- Defina e execute políticas refinadas de controle de acesso para serviços.
- Monitore e depure serviços usando observabilidade e insights em métricas de aplicativos.
- Criptografar comunicações entre pontos de extremidade de serviço implantados no cluster.
- Habilite a autorização de tráfego HTTP/HTTPS e TCP.
- Configure controles de tráfego ponderado entre dois ou mais serviços para testes A/B ou implantações canárias.
- Colete e visualize KPIs do tráfego do aplicativo.
- Integre com o gerenciamento de certificados externos.
- Integre com soluções de entrada existentes, como NGINX, Contorno e Roteamento de Aplicativos.
Para obter mais informações sobre ingresso e OSM, consulte Usando a entrada para gerenciar o acesso externo a serviços dentro do cluster e Integrar o OSM com o Contour para entrada. Para obter um exemplo de como integrar o OSM com controladores de entrada usando a networking.k8s.io/v1 API, consulte Ingress with Kubernetes Nginx ingress controller. Para obter mais informações sobre como usar o Roteamento de Aplicativos, que se integra automaticamente ao OSM, consulte Roteamento de Aplicativos.
Limitações
O suplemento do AKS do OSM tem as seguintes limitações:
- Após a instalação, você deve habilitar o redirecionamento Iptables para exclusão de endereço IP de porta e intervalo de portas usando
kubectl patcho . Para obter mais informações, veja Redirecionamento de iptables. - Todos os pods que precisem de acesso ao IMDS, ao DNS do Azure ou ao servidor da API do Kubernetes têm de ter os endereços IP adicionados à lista global de intervalos de IP de saída excluídos com Exclusões de intervalos de IP de saída globais.
- O complemento não funciona em clusters AKS que estão usando o addon de malha de serviço baseado em Istio para AKS.
- O OSM não suporta contentores do Windows Server.
Próximos passos
Depois de habilitar o complemento OSM usando a CLI do Azure ou um modelo Bicep, você pode: