在使用服務網格ASM之前,您需要創建一個ASM實例,對應用服務進行流量管理、安全管理、故障恢復、觀測監控等。本文介紹如何通過ASM控制臺創建ASM實例。
前提條件
已開通以下服務。
已獲得以下角色授權。具體操作,請參見為RAM用戶和RAM角色授權。
AliyunServiceMeshDefaultRole
AliyunCSClusterRole
AliyunCSManagedKubernetesRole
配置說明
創建服務網格的過程中,根據不同的配置,ASM可能會進行如下操作:
創建安全組,該安全組允許VPC入方向全部ICMP端口的訪問。
說明創建時不支持使用已有安全組,創建后不支持更改安全組。
創建VPC路由規則。
創建EIP。
創建RAM角色及相應策略,該角色擁有CLB的全部權限、云監控的全部權限、VPC的全部權限、日志服務的全部權限。服務網格會根據用戶部署的配置相應的動態創建CLB、VPC路由規則等。
創建私網CLB,暴露6443和15011端口。
在使用服務網格的過程中,ASM會收集被托管管控組件的日志信息用于穩定性保障。
操作步驟
登錄ASM控制臺,在左側導航欄,選擇。
在網格管理頁面,單擊創建新網格,配置網格相關信息。
配置項
說明
網格名稱
服務網格的名稱。
規格
可選標準版、企業版和旗艦版實例。關于ASM各個規格功能對比,請參見什么是服務網格ASM?。
地域
服務網格所在的地域。
付費類型
支持以下兩種類型。更多信息,請參見計費說明。
按量付費:一種先使用后付費的計費方式。您只需為實際使用的函數計算資源付費,不需要提前購買資源。
包年包月:僅Istio控制面和API Server的私網CLB實例按照包年包月的方式計費,服務網格、API Server的公網訪問EIP實例仍然按照按量付費的方式計費。
購買時長:目前支持選擇1、2、3、6個月和1~3年。
自動續費:設置是否自動續費。
Istio版本
Istio版本。
Kubernetes集群
根據待添加到服務網格中的Kubernetes集群的信息,自動選擇服務網格的專有網絡、交換機及集群本地域名。更多信息,請參見創建Kubernetes托管版集群。
專有網絡
服務網格的專有網絡。您可以單擊創建專有網絡進行創建。更多信息,請參見創建和管理專有網絡。
交換機
服務網格的交換機。您可以單擊創建交換機進行創建。更多信息,請參見創建和管理交換機。
Istio控制面訪問
Istio控制面的CLB實例,用于訪問Istio控制面。
API Server訪問
API Server的CLB實例,還可以設置是否開放使用EIP暴露API Server。
開放:創建一個EIP,并掛載到私網CLB上。您可以在公網通過kubeconfig來連接和操作ASM。
不開放:不創建EIP。您只能在VPC下通過KubeConfig來連接和操作ASM。
可觀測性
是否啟用鏈路追蹤。
ASM集成了阿里云可觀測鏈路OpenTelemetry版,為分布式應用的開發者提供了完整的調用鏈路還原、調用請求量統計、鏈路拓撲、應用依賴分析等能力,可以幫助開發者快速分析和診斷分布式應用架構下的性能瓶頸,提升開發診斷效率。更多信息,請參見使用可觀測鏈路OpenTelemetry版實現網格內外應用的一體化追蹤。
說明啟用該配置之前,您需要開通可觀測鏈路OpenTelemetry版。
是否開啟采集Prometheus監控指標。關于Prometheus的詳細介紹,請參見集成可觀測監控Prometheus版實現網格監控和集成自建Prometheus實現網格監控。
是否啟用ASM網格拓撲提升網格可觀測。
ASM網格拓撲是一個服務網格可觀測性工具,提供了查看相關服務與配置的可視化界面。ASM從1.7.5.25版本開始支持內置網格拓撲。關于啟用ASM網格拓撲提升網格可觀測的詳細介紹,請參見開啟網格拓撲提高可觀測性。
是否將訪問日志采集到阿里云日志服務。您可以通過日志服務查看入口網關的訪問日志。關于訪問日志的詳細介紹,請參見生成和采集ASM網關訪問日志和使用日志服務采集數據平面的AccessLog。
是否啟用控制面日志采集。
ASM支持采集控制平面日志和日志告警,例如采集ASM控制平面向數據平面Sidecar推送配置的相關日志。關于控制面日志采集的詳細介紹,請參見啟用控制平面日志采集和日志告警(舊版)或啟用控制平面日志采集和日志告警(新版)。
網格審計
是否啟用網格審計。
網格審計功能可以幫助網格管理人員記錄或追溯不同用戶的日常操作,是集群安全運維中的重要環節。關于網格審計功能的詳細介紹,請參見使用KubeAPI操作審計。
資源配置
是否啟用Istio資源歷史版本。
當您更新Istio資源的
spec字段中的內容時,ASM會記錄更新Istio資源的歷史版本,最多記錄最近更新的5個版本。關于Istio資源歷史版本的詳細介紹,請參見回滾Istio資源的歷史版本。是否啟用數據面集群KubeAPI訪問Istio資源。
ASM支持通過數據面集群的Kubernetes API(KubeAPI)對Istio資源進行增刪改查操作。關于數據面集群KubeAPI訪問Istio資源的詳細介紹,請參見通過數據面集群KubeAPI訪問Istio資源。
集群本地域名
服務網格實例使用的集群本地域名,默認為cluster.local。您只能將與網格集群域名相同的K8s集群加入網格實例。
說明僅ASM實例版本為1.6.4.5及以上支持設置集群本地域名,否則將隱藏集群本地域名。
數據面模式
選擇是否啟用Ambient Mesh模式。Ambient Mesh支持Sidecar和Sidecarless兩種形態的數據平面架構。您可以按需選擇其中之一或兩者融合使用。更多信息,請參見Ambient Mesh模式概述。
說明該功能處于公測階段。
可選:開通按量付費服務。
如果您是首次創建商業版實例,在依賴檢查右側狀態列下會顯示未通過,您需要開通按量付費服務。
單擊依賴檢查右側說明列下的立即開通,選中服務網格(按量付費)服務協議,單擊立即開通。返回創建服務網格頁面,單擊ASM服務開通檢查右側的重新檢查,此時,依賴檢查右側狀態列下會顯示通過。
仔細閱讀并選中服務協議,然后單擊創建服務網格。
說明一個ASM實例的創建時間一般約為2到3分鐘。
相關操作
實例創建成功后,您可以在網格管理頁面的實例列表查看已創建的實例。在實例列表的操作列,您還可以進行如下操作。
操作 | 說明 |
查看實例的相關信息 | 單擊目標實例對應的管理,在基本信息頁面查看詳細信息。 系統會為新建實例默認創建5個命名空間,控制臺只顯示istio-system和default。通過kubectl方式可以查詢和操作其他命名空間,包括istio-system、kube-node-lease、kube-public、kube-system和default。 |
修改實例的相關信息 |
|
變更實例規格 | 單擊目標實例對應的規格變更。具體操作,請參見變更ASM實例規格。 |
查看日志信息 | 單擊目標實例對應的日志。更多信息,請參見日志分析。 |
刪除實例 | 單擊目標實例對應的 |
> 刪除,在刪除網格對話框,仔細閱讀刪除注意事項,選擇需要保留的資源,確認無誤后單擊確定。關于刪除操作的注意事項如下,請謹慎操作。
刪除ASM實例,將無法繼續使用該實例下服務網格的相關功能。
刪除API Server所使用的CLB,將無法操作服務網格和相關配置。
刪除Istio Pilot所使用的CLB,將無法操作服務網格和相關配置。