Надстройка Open Service Mesh (OSM) в Службе Azure Kubernetes (AKS)
Open Service Mesh (OSM) — это упрощенная, расширяемая, облачная сетка служб, которая позволяет равномерно управлять, защищать и получать встроенные функции наблюдения для высокодинамовых сред микрослужб.
OSM выполняет уровень управления на основе Envoy в кластерах Kubernetes и поддерживает настройку через API SMI. OSM работает путем встраивания прокси-сервера Envoy в качестве контейнера расширения в каждый экземпляр приложения. Прокси-сервер Envoy содержит и выполняет правила в отношении политик управления доступом, реализует конфигурацию маршрутизации и фиксирует метрики. Плоскость управления постоянно настраивает прокси-серверы Envoy, чтобы обеспечить актуальность политик и правил маршрутизации и работоспособность прокси-серверов.
Корпорация Майкрософт запустила проект OSM, но теперь управляется Cloud Native Computing Foundation (CNCF).
Примечание.
При выходе из системы Open Service Mesh (OSM) в Cloud Native Computing Foundation (CNCF) рекомендуется определить конфигурации OSM и перенести их в эквивалентную конфигурацию Istio. Сведения о миграции из OSM в Istio см . в руководстве по миграции конфигураций Open Service Mesh (OSM) в Istio.
Включение надстройки OSM
Чтобы добавить OSM в кластер службы Azure Kubernetes (AKS), следует включить надстройку OSM с помощью Azure CLI или шаблона Bicep. Надстройка OSM предоставляет полностью поддерживаемую установку OSM, интегрированную с AKS.
Важно!
В зависимости от версии Kubernetes, запущенной в кластере, надстройка OSM устанавливает другую версию OSM.
| Версия Kubernetes | Установленная версия OSM |
|---|---|
| 1.24.0 или более поздней версии | 1.2.5 |
| От 1.23.5 до 1.24.0 | 1.1.3 |
| Ниже 1.23.5 | 1.0.0 |
Более старые версии OSM могут быть недоступны для установки или активно поддерживаться, если соответствующая версия AKS достигла конца срока действия. Вы можете проверка календарь выпуска AKS Kubernetes для получения сведений о окнах поддержки версий AKS.
Функции и возможности
OSM предоставляет следующие возможности и функции:
- Безопасное взаимодействие между службами путем включения взаимной tls (mTLS).
- Подключение приложений к OSM путем автоматического внедрения расширения прокси-сервера Envoy.
- Прозрачная настройка смещения трафика при развертывании.
- Определите и выполните подробные политики управления доступом для служб.
- Мониторинг и отладка служб с помощью метрик наблюдаемости и аналитической информации о приложениях.
- Зашифрованный обмен данными между конечными точками службы, развернутыми в кластере.
- Настройка авторизации для трафика HTTP, HTTPS и TCP.
- Настройка элементов для взвешенного управления трафиком между двумя или более службами для тестирования A/B или ранних развертываний.
- Сбор и просмотр ключевых показателей эффективности из трафика приложения.
- Интеграция с внешним управлением сертификатами.
- Интеграция с существующими решениями для входящего трафика, такими как NGINX, Контур и маршрутизация приложений.
Дополнительные сведения об входящего трафика и OSM см. в разделе "Использование входящего трафика" для управления внешним доступом к службам в кластере и интеграции OSM с Контуром для входящего трафика. Пример интеграции OSM с контроллерами входящего трафика с помощью networking.k8s.io/v1 API см. в разделе Ingress с контроллером входящего трафика Kubernetes Nginx. Дополнительные сведения об использовании маршрутизации приложений, которые автоматически интегрируются с OSM, см. в разделе "Маршрутизация приложений".
Ограничения
Надстройка OSM для AKS имеет следующие ограничения.
- После установки необходимо включить перенаправление Iptables для IP-адреса порта и исключения диапазона портов с помощью
kubectl patch. Дополнительные сведения см. в статье перенаправление IPTables. - IP-адреса любых объектов pod, которым требуется доступ к IMDS, Azure DNS или серверу API Kubernetes, должны быть добавлены в глобальный список исключаемых диапазонов исходящих IP-адресов с помощью исключений из глобального диапазона исходящих IP-адресов.
- Надстройка не работает в кластерах AKS, использующих надстройку сетки на основе Istio для AKS.
- OSM не поддерживает контейнеры Windows Server.
Следующие шаги
После включения надстройки OSM с помощью Azure CLI или шаблона Bicep переходите к следующим действиям: