Поделиться через

Надстройка Open Service Mesh (OSM) в Службе Azure Kubernetes (AKS)

  • Статья

Open Service Mesh (OSM) — это упрощенная, расширяемая, облачная сетка служб, которая позволяет равномерно управлять, защищать и получать встроенные функции наблюдения для высокодинамовых сред микрослужб.

OSM выполняет уровень управления на основе Envoy в кластерах Kubernetes и поддерживает настройку через API SMI. OSM работает путем встраивания прокси-сервера Envoy в качестве контейнера расширения в каждый экземпляр приложения. Прокси-сервер Envoy содержит и выполняет правила в отношении политик управления доступом, реализует конфигурацию маршрутизации и фиксирует метрики. Плоскость управления постоянно настраивает прокси-серверы Envoy, чтобы обеспечить актуальность политик и правил маршрутизации и работоспособность прокси-серверов.

Корпорация Майкрософт запустила проект OSM, но теперь управляется Cloud Native Computing Foundation (CNCF).

Примечание.

При выходе из системы Open Service Mesh (OSM) в Cloud Native Computing Foundation (CNCF) рекомендуется определить конфигурации OSM и перенести их в эквивалентную конфигурацию Istio. Сведения о миграции из OSM в Istio см . в руководстве по миграции конфигураций Open Service Mesh (OSM) в Istio.

Включение надстройки OSM

Чтобы добавить OSM в кластер службы Azure Kubernetes (AKS), следует включить надстройку OSM с помощью Azure CLI или шаблона Bicep. Надстройка OSM предоставляет полностью поддерживаемую установку OSM, интегрированную с AKS.

Внимание

В зависимости от версии Kubernetes, запущенной в кластере, надстройка OSM устанавливает другую версию OSM.

Версия Kubernetes Установленная версия OSM
1.24.0 или более поздней версии 1.2.5
От 1.23.5 до 1.24.0 1.1.3
Ниже 1.23.5 1.0.0

Более старые версии OSM могут быть недоступны для установки или активно поддерживаться, если соответствующая версия AKS достигла конца срока действия. Вы можете проверить календарь выпуска AKS Kubernetes для получения сведений о окнах поддержки версий AKS.

Функции и возможности

OSM предоставляет следующие возможности и функции:

  • Безопасное взаимодействие между службами путем включения взаимной tls (mTLS).
  • Подключение приложений к OSM путем автоматического внедрения расширения прокси-сервера Envoy.
  • Прозрачная настройка смещения трафика при развертывании.
  • Определите и выполните подробные политики управления доступом для служб.
  • Мониторинг и отладка служб с помощью метрик наблюдаемости и аналитической информации о приложениях.
  • Зашифрованный обмен данными между конечными точками службы, развернутыми в кластере.
  • Настройка авторизации для трафика HTTP, HTTPS и TCP.
  • Настройка элементов для взвешенного управления трафиком между двумя или более службами для тестирования A/B или ранних развертываний.
  • Сбор и просмотр ключевых показателей эффективности из трафика приложения.
  • Интеграция с внешним управлением сертификатами.
  • Интеграция с существующими решениями для входящего трафика, такими как NGINX, Контур и маршрутизация приложений.

Дополнительные сведения об входящего трафика и OSM см. в разделе "Использование входящего трафика" для управления внешним доступом к службам в кластере и интеграции OSM с Контуром для входящего трафика. Пример интеграции OSM с контроллерами входящего трафика с помощью networking.k8s.io/v1 API см. в разделе Ingress с контроллером входящего трафика Kubernetes Nginx. Дополнительные сведения об использовании маршрутизации приложений, которые автоматически интегрируются с OSM, см. в разделе "Маршрутизация приложений".

Ограничения

Надстройка OSM для AKS имеет следующие ограничения.

  • После установки необходимо включить перенаправление Iptables для IP-адреса порта и исключения диапазона портов с помощью kubectl patch. Дополнительные сведения см. в статье перенаправление IPTables.
  • IP-адреса любых объектов pod, которым требуется доступ к IMDS, Azure DNS или серверу API Kubernetes, должны быть добавлены в глобальный список исключаемых диапазонов исходящих IP-адресов с помощью исключений из глобального диапазона исходящих IP-адресов.
  • OSM не поддерживает контейнеры Windows Server.

Следующие шаги

После включения надстройки OSM с помощью Azure CLI или шаблона Bicep переходите к следующим действиям: