Topologi Mesh dalam mode dikelola memungkinkan Anda memantau topologi lalu lintas dari beberapa kluster. Dalam mode ini, sebuah instance layanan Topologi Mesh diterapkan sebagai instance kontainer elastis (ECI) untuk meningkatkan keandalan dan kemudahan penggunaan. Anda hanya perlu menerapkan satu layanan Topologi Mesh untuk seluruh instance Service Mesh (ASM), sehingga mengurangi beban konfigurasi.
Prasyarat
Sebuah kluster Kubernetes telah dibuat. Untuk informasi lebih lanjut, lihat Buat kluster ACK yang dikelola.
Kluster Kubernetes telah ditambahkan ke instance ASM versi 1.18.2.112 atau lebih baru. Untuk informasi lebih lanjut, lihat Tambahkan kluster ke instance ASM.
Sebuah instance Prometheus yang dikelola sendiri telah dibuat atau Managed Service for Prometheus telah diintegrasikan untuk memantau instance ASM. Untuk informasi lebih lanjut, lihat Pantau instance ASM menggunakan instance Prometheus yang dikelola sendiri atau Integrasikan Managed Service for Prometheus untuk memantau instance ASM.
Deskripsi fitur
Sebagai alat observabilitas ASM, Topologi Mesh menyediakan antarmuka visual untuk melihat layanan dan konfigurasi terkait, membantu Anda mengevaluasi status kesehatan layanan dengan cepat. Topologi Mesh memberikan visualisasi kuat dari lalu lintas ASM dengan menggabungkan permintaan real-time dan informasi konfigurasi ASM, memberikan wawasan instan tentang perilaku ASM serta membantu Anda menemukan masalah secara efisien.
Instance ASM versi 1.18.2.112 dan lebih baru mendukung Topologi Mesh dalam mode dikelola. Di versi sebelumnya, Topologi Mesh hanya dapat diterapkan pada kluster Kubernetes lokal. Mode dikelola menawarkan keunggulan signifikan dalam hal observasi lintas kluster, kemudahan konfigurasi, dan keandalan layanan.
Topologi Mesh dapat diterapkan dalam dua mode berikut, yang berbeda dalam kompleksitas konfigurasi dan keandalan layanan:
Mode dalam kluster Kubernetes
Dalam mode ini, sebuah instance layanan Topologi Mesh harus diterapkan di setiap kluster bidang data dari instance ASM. Mode penyebaran ini memiliki karakteristik berikut:
Sebuah instance layanan Topologi Mesh diterapkan di setiap kluster bidang data dan terhubung ke instance Prometheus dari kluster homing untuk mengamati topologi lalu lintas layanan di kluster tersebut.
Setiap instance layanan Topologi Mesh di kluster bidang data harus dikonfigurasi secara terpisah. Dalam kasus beberapa kluster bidang data, beberapa alamat IP harus dikonfigurasi, membuat proses konfigurasi lebih rumit.
Ketersediaan instance layanan Topologi Mesh bergantung pada kluster bidang datanya. Instance layanan Topologi Mesh mungkin tidak tersedia jika sumber daya di kluster bidang data tidak mencukupi.
Mode dikelola
Instance ASM versi 1.18.2.112 dan lebih baru mendukung Topologi Mesh dalam mode dikelola. Dalam mode ini, sebuah instance layanan Topologi Mesh diterapkan sebagai instance kontainer elastis (ECI) untuk meningkatkan keandalan layanan dan kemudahan penggunaan. Mode dikelola memiliki karakteristik berikut:
Hanya satu instance layanan Topologi Mesh yang diterapkan dalam instance ASM, yang secara seragam mengamati topologi lalu lintas dari beberapa kluster.
Tidak diperlukan konfigurasi terpisah untuk setiap kluster, mengurangi beban konfigurasi secara signifikan.
Beban kerja instance layanan Topologi Mesh diterapkan sebagai ECI, memberikan keandalan layanan yang lebih tinggi.
Langkah 1: Aktifkan Topologi Mesh dalam mode dikelola
Anda hanya dapat memilih mode dikelola saat mengaktifkan Topologi Mesh. Jika Anda telah mengaktifkan layanan Topologi Mesh, nonaktifkan layanan tersebut terlebih dahulu sebelum mengaktifkannya kembali.
Masuk ke Konsol ASM. Di panel navigasi kiri, pilih .
Di halaman Mesh Management, klik nama instance ASM. Di panel navigasi kiri, pilih .
Di halaman Mesh Topology, klik Managed Mode lalu klik To enable.
Di kotak dialog Enable Mesh Topology in Managed Mode, konfigurasikan parameter terkait dan klik OK.
Parameter
Deskripsi
Clusters to observe
Pilih kluster bidang data yang akan diamati oleh layanan Topologi Mesh. Anda dapat memilih beberapa kluster. Dalam mode dikelola, sebuah instance ASM hanya memiliki satu instance layanan Topologi Mesh.
PentingSetelah Anda mengonfigurasi kluster bidang data yang akan diamati oleh layanan Topologi Mesh, beban kerja instance layanan Topologi Mesh memiliki izin baca saja pada Sumber Daya, Pod, Namespace, Deployment, Replicaset, Endpoints, dan Node di kluster bidang data. Selain itu, beban kerja memiliki izin baca saja pada Istio dan Istio-sidecar-injector ConfigMap resources di namespace istio-system dari kluster bidang data.
Beban kerja instance layanan Topologi Mesh diterapkan sebagai instance kontainer elastis di bidang kontrol. Ini menunjukkan bahwa instance kontainer elastis ini mungkin memiliki izin baca saja pada sumber daya sebelumnya dari beberapa kluster. Pilih kluster yang akan diamati dengan hati-hati setelah Anda sepenuhnya memahami catatan ini.
Configure Prometheus address
Konfigurasikan alamat API HTTP dari instance Prometheus yang bergantung pada instance layanan Topologi Mesh.
Jika Anda memilih untuk mengamati satu kluster, Anda dapat menggunakan alamat API HTTP dari instance Prometheus yang diintegrasikan dengan kluster. Jika Anda menggunakan instance Managed Service for Prometheus, Anda dapat memperoleh alamat API HTTP dari instance tersebut dengan melakukan langkah-langkah terkait di Gunakan URL API HTTP untuk menghubungkan instance Prometheus ke sistem Grafana yang dikelola sendiri.
Jika Anda memilih untuk mengamati beberapa kluster, pastikan bahwa instance Prometheus yang bergantung telah mengumpulkan metrik Envoy dari kluster tersebut. Anda dapat membuat instance Prometheus agregasi untuk instance Managed Service for Prometheus dari beberapa kluster dan memperoleh alamat API HTTP dari instance Prometheus agregasi. Untuk informasi lebih lanjut, lihat Buat instance agregasi global menggunakan Managed Service for Prometheus.
Access
Dalam mode dikelola, Anda dapat membuat instance Classic Load Balancer (CLB) untuk mengakses layanan Topologi Mesh. Anda juga dapat menggunakan gateway ASM untuk mengakses layanan Topologi Mesh. Anda dapat memilih apakah akan membuat instance CLB untuk mengakses layanan Topologi Mesh.
Jika Anda tidak mengaktifkan Create a CLB Instance to Access ASM Mesh Topology,
sebelum Anda mengaktifkan Topologi Mesh di konsol ASM, Anda perlu menyelesaikan konfigurasi untuk menggunakan gateway ASM untuk mengakses layanan Topologi Mesh. Untuk informasi lebih lanjut, lihat Metode 2: Gunakan gateway ASM untuk mengakses Topologi Mesh di Langkah 2: Buka halaman login Topologi Mesh dari Aktifkan Topologi Mesh untuk meningkatkan observabilitas. Lalu, catat alamat IP dari gateway ASM.
Authentication
Anda hanya dapat masuk ke Topologi Mesh dalam mode dikelola menggunakan akun Alibaba Cloud atau menggunakan OpenID Connect (OIDC).
To log on by using an Alibaba Cloud account, Anda harus menentukan The address to access Mesh Topology jika Anda tidak mengaktifkan Create a CLB Instance to Access ASM Mesh Topology di langkah Access dari wizard konfigurasi. Alamat ini adalah alamat IP dari gateway ASM yang dikonfigurasi di langkah Access dari wizard konfigurasi.
To log on by using OIDC, Anda harus mengonfigurasi bidang ClientID, ClientSecret, dan IssuerUri dari penyedia identitas (IdP). Untuk informasi lebih lanjut tentang cara mengonfigurasi IdP, lihat "Langkah 2: Tambahkan dan konfigurasikan aplikasi OIDC" di Integrasikan Alibaba Cloud IDaaS dengan ASM untuk menerapkan Single Sign-On (SSO).
Langkah 2: Akses layanan Topologi Mesh
Dalam mode dikelola, Anda dapat menggunakan instance CLB atau gateway ASM untuk mengakses layanan Topologi Mesh. Untuk informasi lebih lanjut, lihat Metode 1: Akses langsung Topologi Mesh dan Metode 2: Gunakan gateway ASM untuk mengakses Topologi Mesh dari Langkah 2: Buka halaman login Topologi Mesh di Aktifkan Topologi Mesh untuk meningkatkan observabilitas.
Referensi
Jika Anda menemukan bahwa beberapa permintaan mengalami latensi respons tinggi, Anda dapat menggunakan log akses untuk menemukan penyebab latensi tinggi. Untuk informasi lebih lanjut, lihat Temukan penyebab latensi respons tinggi menggunakan log akses di ASM.
Untuk mendapatkan latensi panggilan layanan terendah, gunakan fitur routing sadar zona agar klien memanggil layanan tujuan yang diterapkan di zona yang sama terlebih dahulu. Untuk informasi lebih lanjut, lihat Verifikasi fitur routing sadar zona pada topologi instance ASM.
Anda dapat melihat informasi panggilan dan topologi yang dihasilkan berdasarkan informasi panggilan di konsol Managed Service for OpenTelemetry. Data ini membantu Anda menganalisis dan mendiagnosis hambatan kinerja serta meningkatkan efisiensi diagnosis. Untuk informasi lebih lanjut, lihat Konfigurasikan dan laporkan data jejak ASM.
Aktifkan fitur audit mesh untuk merekam atau melacak operasi harian dari pengguna yang berbeda. Anda juga dapat mengonfigurasi peringatan audit untuk operasi pada sumber daya ASM dan mengirimkan notifikasi peringatan kepada kontak peringatan secara tepat waktu ketika sumber daya penting berubah. Untuk informasi lebih lanjut, lihat Gunakan fitur audit operasi KubeAPI di ASM dan Konfigurasikan peringatan audit untuk operasi pada sumber daya ASM.
ASM mengurangi permukaan serangan di lingkungan cloud-native dan menyediakan kerangka dasar untuk membangun jaringan aplikasi zero trust. ASM mengadopsi enkripsi ujung-ke-ujung, otentikasi identitas tingkat layanan, dan kebijakan otorisasi granular untuk mengamankan komunikasi antar-layanan. Untuk informasi lebih lanjut, lihat Ikhtisar keamanan zero trust.