マネージドモードのメッシュトポロジを使用すると、複数のクラスタのトラフィックトポロジを監視できます。マネージドモードでは、メッシュトポロジサービスインスタンスは、サービスの信頼性と使いやすさを向上させるために、Elastic Container Instanceとしてデプロイされます。マネージドモードでは、Service Mesh(ASM)インスタンス全体に対して1つのメッシュトポロジサービスのみをデプロイする必要があります。これにより、構成の作業負荷が軽減されます。
前提条件
Kubernetesクラスタが作成されていること。詳細については、「ACKマネージドクラスタを作成する」をご参照ください。
Kubernetesクラスタが v1.18.2.112 以後のASMインスタンスに追加されていること。詳細については、「ASMインスタンスにクラスタを追加する」をご参照ください。
セルフマネージドPrometheusインスタンスが作成されているか、または Managed Service for Prometheus が統合されてASMインスタンスを監視していること。詳細については、「セルフマネージドPrometheusインスタンスを使用してASMインスタンスを監視する」または「Managed Service for Prometheus を統合してASMインスタンスを監視する」をご参照ください。
機能の説明
ASMの可観測性ツールとして、メッシュトポロジは、関連するサービスと構成を表示するための視覚的なインターフェースを提供します。これにより、サービスのヘルスステータスを迅速に評価できます。メッシュトポロジは、ASMトラフィックの強力な可視化を提供します。リアルタイムの要求トラフィックとASM構成情報を組み合わせて、ASMの動作を即座に把握し、問題を迅速に特定するのに役立ちます。
v1.18.2.112 以降のASMインスタンスは、マネージドモードのメッシュトポロジをサポートしています。以前のバージョンでは、メッシュトポロジはデータプレーンのKubernetesクラスタにのみデプロイできます。マネージドモードのメッシュトポロジは、複数クラスタにわたる統合観測、容易な構成、サービスの信頼性という点で大きな利点があります。
メッシュトポロジは、次の2つのモードでデプロイできます。これらの2つのモードは、構成の複雑さとサービスの信頼性が異なります。
Kubernetesクラスタ内モード
このモードでは、メッシュトポロジサービスインスタンスをASMインスタンスの各データプレーンクラスタにデプロイする必要があります。このデプロイメントモードには、次の特性があります。
メッシュトポロジサービスインスタンスは、各データプレーンクラスタにデプロイされます。各メッシュトポロジサービスインスタンスは、所属クラスタのPrometheusインスタンスに接続され、クラスタ内のサービストラフィックトポロジを観測します。
各データプレーンクラスタのメッシュトポロジサービスインスタンスは、個別に構成する必要があります。複数のデータプレーンクラスタが存在する場合、複数のIPアドレスを構成する必要があります。構成は複雑です。
メッシュトポロジサービスインスタンスの可用性は、そのデータプレーンクラスタの影響を受けます。データプレーンクラスタのリソースが不足しているため、メッシュトポロジサービスインスタンスが使用できない場合があります。
マネージドモード
v1.18.2.112 以降のASMインスタンスは、マネージドモードのメッシュトポロジをサポートしています。マネージドモードでは、メッシュトポロジサービスインスタンスは、高いサービスの信頼性と使いやすさを提供するために、Elastic Container Instanceとしてデプロイされます。マネージドモードには、次の特性があります。
ASMインスタンスには1つのメッシュトポロジサービスインスタンスのみがデプロイされ、複数クラスタのトラフィックトポロジを一様に観測します。
クラスタごとにメッシュトポロジサービスインスタンスを個別に構成する必要はありません。これにより、構成の作業負荷が軽減されます。
メッシュトポロジサービスインスタンスのワークロードは、高いサービスの信頼性を提供するためにECIとしてデプロイされます。
手順 1:マネージドモードでメッシュトポロジを有効にする
メッシュトポロジを有効にした場合のみ、管理モードを選択できます。 [メッシュトポロジ] サービスを有効にしている場合は、サービスを無効にしてから再度有効にしてください。
[ASMコンソール] にログインします。左側のナビゲーションペインで、 を選択します。
[メッシュ管理] ページで、ASMインスタンスの名前をクリックします。左側のナビゲーションペインで、 を選択します。
[メッシュトポロジ] ページで、[マネージドモード] をクリックし、[有効にする] をクリックします。
[メッシュ トポロジをマネージド モードで有効にする] ダイアログ ボックスで、関連パラメーターを構成し、[OK] をクリックします。
パラメータ
説明
観測するクラスタ
メッシュトポロジサービスで観測するデータプレーンクラスタを選択します。複数クラスタを選択できます。マネージドモードでは、ASMインスタンスには1つのメッシュトポロジサービスインスタンスしかありません。
重要メッシュトポロジサービスで観測するデータプレーンクラスタを構成した後、メッシュトポロジサービスインスタンスのワークロードは、データプレーンクラスタの Service、Pod、Namespace、Deployment、Replicaset、Endpoints、および Node リソースに対する読み取り専用権限を持ちます。さらに、ワークロードは、データプレーンクラスタの istio-system ネームスペースにある Istio および Istio-sidecar-injector ConfigMap リソースに対する読み取り専用権限を持ちます。
メッシュトポロジサービスインスタンスのワークロードは、コントロールプレーンに Elastic Container Instance としてデプロイされます。これは、これらの Elastic Container Instance が複数クラスタの前述のリソースに対する読み取り専用権限を持つ可能性があることを示しています。この注意事項を十分に理解した上で、観測するクラスタを慎重に選択してください。
Prometheusアドレスを構成する
メッシュトポロジサービスインスタンスが依存するPrometheusインスタンスの HTTP API アドレスを構成します。
単一クラスタの観測を選択した場合は、クラスタに統合されているPrometheusインスタンスの HTTP API アドレスを使用できます。Managed Service for Prometheus インスタンスを使用する場合は、「HTTP API URLを使用してPrometheusインスタンスをセルフマネージドGrafanaシステムに接続する」の手順を実行することで、インスタンスの HTTP API アドレスを取得できます。
複数クラスタの観測を選択した場合は、依存するPrometheusインスタンスがこれらのクラスタのEnvoyメトリクスを収集していることを確認してください。複数クラスタの Managed Service for Prometheus インスタンスの集約Prometheusインスタンスを作成し、集約Prometheusインスタンスの HTTP API アドレスを取得できます。詳細については、「複数のAlibaba CloudアカウントにわたるPrometheusインスタンスデータを監視するためのグローバル集約インスタンスの使用」をご参照ください。
アクセス
マネージドモードでは、メッシュトポロジサービスにアクセスするためのClassic Load Balancer(CLB)インスタンスを作成できます。また、ASMゲートウェイを使用してメッシュトポロジサービスにアクセスすることもできます。メッシュトポロジサービスにアクセスするためのCLBインスタンスを作成するかどうかを選択できます。
[ASMメッシュトポロジにアクセスするためのCLBインスタンスを作成する] をオンにしない場合、
ASM コンソールでメッシュトポロジを有効にする前に、ASM ゲートウェイを使用してメッシュトポロジサービスにアクセスするための構成を完了する必要があります。詳細については、「メッシュトポロジを有効にして可観測性を向上させる」の「手順 2: メッシュトポロジのログオンページを開く」にある「方法 2: ASM ゲートウェイを使用してメッシュトポロジにアクセスする」をご参照ください。次に、ASM ゲートウェイの IP アドレスを記録します。
認証
マネージドモードのメッシュトポロジにログオンするには、Alibaba Cloudアカウントを使用するか、OpenID Connect(OIDC)を使用する必要があります。
[alibaba Cloudアカウントを使用してログオンする] には、構成ウィザードの [アクセス] 手順で [ASMメッシュトポロジにアクセスするためのCLBインスタンスを作成する] を有効にしていない場合、[メッシュトポロジにアクセスするためのアドレス] を指定する必要があります。このアドレスは、構成ウィザードの [アクセス] 手順で構成したASMゲートウェイのIPアドレスです。
OIDCを使用してログオンするには、IDプロバイダー(IdP)の ClientID、ClientSecret、および IssuerUri フィールドを構成する必要があります。IdPの構成方法の詳細については、「Alibaba Cloud IDaaSとASMを統合してシングルサインオンを実装する」の「手順 2:OIDCアプリケーションを追加および構成する」をご参照ください。
手順 2:メッシュトポロジサービスにアクセスする
マネージドモードでは、CLBインスタンスまたはASMゲートウェイを使用してMesh Topologyサービスにアクセスできます。詳細については、「Mesh Topologyを有効にして可観測性を向上させる」のステップ 2:Mesh Topologyのログオンページを開くの方法 1:Mesh Topologyに直接アクセスすると方法 2:ASMゲートウェイを使用してMesh Topologyにアクセスするをご参照ください。
関連情報
一部の要求の応答レイテンシが高いことが判明した場合、アクセスログを使用して高レイテンシの原因を特定できます。詳細については、「ASMのアクセスログを使用して高応答レイテンシの原因を特定する」をご参照ください。
最小のサービス呼び出しレイテンシを取得する場合は、ゾーン認識ルーティング機能を使用して、クライアントが同じゾーンにデプロイされた宛先サービスを最初に呼び出すようにすることができます。詳細については、「ASMインスタンストポロジでゾーン認識ルーティング機能を確認する」をご参照ください。
Managed Service for OpenTelemetry コンソールで、呼び出し情報と呼び出し情報に基づいて生成されたトポロジを表示できます。このようなデータは、パフォーマンスボトルネックを迅速に分析および診断し、診断効率を向上させるのに役立ちます。詳細については、「ASMトレースデータを Managed Service for OpenTelemetry に収集する」をご参照ください。
メッシュ監査機能を有効にして、さまざまなユーザーの日常業務を記録または追跡できます。また、ASMリソースに対する操作の監査アラートを構成し、重要なリソースが変更されたときにアラート連絡先にアラート通知をタイムリーに送信することもできます。詳細については、「ASMでKubeAPI操作監査機能を使用する」および「ASMリソースに対する操作の監査アラートを構成する」をご参照ください。
ASMは、クラウドネイティブ環境での攻撃対象領域を削減し、ゼロトラストアプリケーションネットワークを構築するための基本フレームワークを提供します。ASMは、エンドツーエンドの暗号化、サービスレベルのID認証、きめ細かい承認ポリシーを採用して、サービス間の通信を保護します。詳細については、「ゼロトラストセキュリティの概要」をご参照ください。