mirror of https://github.com/istio/istio.io.git
zh: fix link issues for chinese documents (#3009)
* fix link issues for chinese documents * fix external links fail * fix link
This commit is contained in:
shalk(xiao kun)
istio-bot
parent
bb795b90c3
commit
28a9156f97
|
|
@ -25,7 +25,7 @@ Mixer 是负责提供策略控制和遥测收集的 Istio 组件:
|
|||
|
||||
除了这些纯粹的功能方面,Mixer 还具有如下所述的[可靠性和可扩展性](#可靠性和延迟)方面的优势。
|
||||
|
||||
策略执行和遥测收集完全由配置驱动。可以[完全禁用这些功能](/docs/setup/kubernetes/minimal-install/),并免除在 Istio 部署中运行 Mixer 组件的必要性。
|
||||
策略执行和遥测收集完全由配置驱动。可以[完全禁用这些功能](/zh/docs/setup/kubernetes/minimal-install/),并免除在 Istio 部署中运行 Mixer 组件的必要性。
|
||||
|
||||
## 适配器
|
||||
|
||||
|
|
@ -38,7 +38,7 @@ Mixer 处理不同基础设施后端的灵活性是通过使用通用插件模
|
|||
caption="Mixer 及其适配器"
|
||||
>}}
|
||||
|
||||
获取更多[适配器支持范围](/docs/reference/config/policy-and-telemetry/adapters/)方面的内容。
|
||||
获取更多[适配器支持范围](/zh/docs/reference/config/policy-and-telemetry/adapters/)方面的内容。
|
||||
|
||||
## 可靠性和延迟
|
||||
|
||||
|
|
|
|||
|
|
@ -199,7 +199,7 @@ Istio 将两种类型的身份验证以及凭证中的其他声明(如果适
|
|||
|
||||
### 认证策略
|
||||
|
||||
本节中提供了更多 Istio 认证策略方面的细节。正如[认证架构](/zh/docs/concepts/security#认证架构)中所说的,认证策略是对服务收到的请求生效的。要在双向 TLS 中指定客户端认证策略,需要在 `DetinationRule` 中设置 `TLSSettings`。[TLS 设置参考文档](/docs/reference/config/istio.networking.v1alpha3/#TLSSettings)中有更多这方面的信息。和其他的 Istio 配置一样,可以用 `.yaml` 文件的形式来编写认证策略,然后使用 `istioctl` 进行部署。
|
||||
本节中提供了更多 Istio 认证策略方面的细节。正如[认证架构](/zh/docs/concepts/security#认证架构)中所说的,认证策略是对服务收到的请求生效的。要在双向 TLS 中指定客户端认证策略,需要在 `DetinationRule` 中设置 `TLSSettings`。[TLS 设置参考文档](/zh/docs/reference/config/istio.networking.v1alpha3/#TLSSettings)中有更多这方面的信息。和其他的 Istio 配置一样,可以用 `.yaml` 文件的形式来编写认证策略,然后使用 `istioctl` 进行部署。
|
||||
|
||||
下面例子中的认证策略要求 `reviews` 服务必须使用双向 TLS:
|
||||
|
||||
|
|
@ -416,7 +416,7 @@ spec:
|
|||
|
||||
- **谁**指的是 `ServiceRoleBinding` 中的 `subject` 部分。
|
||||
- **做什么**指的是 `ServiceRole` 中的 `permissions` 部分。
|
||||
- **哪些条件**指的是你可以在 `ServiceRole` 或 `ServiceRoleBinding` 中使用 [Istio 属性](/docs/reference/config/policy-and-telemetry/attribute-vocabulary/)指定的 `conditions` 部分。
|
||||
- **哪些条件**指的是你可以在 `ServiceRole` 或 `ServiceRoleBinding` 中使用 [Istio 属性](/zh/docs/reference/config/policy-and-telemetry/attribute-vocabulary/)指定的 `conditions` 部分。
|
||||
|
||||
#### `ServiceRole`
|
||||
|
||||
|
|
@ -480,7 +480,7 @@ spec:
|
|||
|
||||
在 `ServiceRole` 中,`namespace` + `services` + `paths` + `methods` 的组合定义了**如何访问服务**。在某些情况下,您可能需要为规则指定其他条件。例如,规则可能仅适用于服务的某个**版本**,或仅适用于具有特定**标签**的服务,如 `foo`。您可以使用 `constraints` 轻松指定这些条件。
|
||||
|
||||
例如,下面的 `ServiceRole` 定义在以前的 `products-viewer` 角色基础之上添加了一个约束:`request.headers[version]` 为 `v1` 或 `v2` 。在[约束和属性页面](/docs/reference/config/authorization/constraints-and-properties/)中列出了约束支持的`key`值。在属性值是 `map` 类型的情况下,例如 `request.headers`,`key` 是 map 中的一个条目,例如 `request.headers[version]`。
|
||||
例如,下面的 `ServiceRole` 定义在以前的 `products-viewer` 角色基础之上添加了一个约束:`request.headers[version]` 为 `v1` 或 `v2` 。在[约束和属性页面](/zh/docs/reference/config/authorization/constraints-and-properties/)中列出了约束支持的`key`值。在属性值是 `map` 类型的情况下,例如 `request.headers`,`key` 是 map 中的一个条目,例如 `request.headers[version]`。
|
||||
|
||||
{{< text yaml >}}
|
||||
apiVersion: "rbac.istio.io/v1alpha1"
|
||||
|
|
@ -505,7 +505,7 @@ spec:
|
|||
- **`roleRef`** 指的是同一命名空间中的 `ServiceRole` 资源。
|
||||
- **`subjects`** 分配给角色的列表。
|
||||
|
||||
您可以使用 `user` 或一组 `properties` 显式指定 *subject*。`ServiceRoleBinding` *subject* 中的 *property* 类似于`ServiceRole` 规范中的 *constraint* 。 *property* 还允许您使用条件指定分配给此角色的一组帐户。它包含一个 `key` 及其允许的*值*。约束支持的 `key` 值列在[约束和属性页面](/docs/reference/config/authorization/constraints-and-properties/)中。
|
||||
您可以使用 `user` 或一组 `properties` 显式指定 *subject*。`ServiceRoleBinding` *subject* 中的 *property* 类似于`ServiceRole` 规范中的 *constraint* 。 *property* 还允许您使用条件指定分配给此角色的一组帐户。它包含一个 `key` 及其允许的*值*。约束支持的 `key` 值列在[约束和属性页面](/zh/docs/reference/config/authorization/constraints-and-properties/)中。
|
||||
|
||||
下面的例子显示了一个名为 `test-binding-products` 的 `ServiceRoleBinding`,它将两个 `subject` 绑定到名为 `product-viewer` 的 `ServiceRole` 并具有以下 `subject`
|
||||
|
||||
|
|
|
|||
|
|
@ -5,7 +5,7 @@ weight: 43
|
|||
keywords: [traffic-management,egress]
|
||||
---
|
||||
|
||||
[控制 Egress 流量](/zh/docs/tasks/traffic-management/egress/)任务演示了如何从网格内的应用程序访问外部(Kubernetes 集群外部)HTTP 和 HTTPS 服务。这里提醒一下:默认情况下,启用 Istio 的应用程序无法访问集群外的 URL。要启用此类访问,必须定义外部服务的 [`ServiceEntry`](/docs/reference/config/istio.networking.v1alpha3/#ServiceEntry),或者配置[直接访问外部服务](/docs/tasks/traffic-management/egress/#calling-external-services-directly)。
|
||||
[控制 Egress 流量](/zh/docs/tasks/traffic-management/egress/)任务演示了如何从网格内的应用程序访问外部(Kubernetes 集群外部)HTTP 和 HTTPS 服务。这里提醒一下:默认情况下,启用 Istio 的应用程序无法访问集群外的 URL。要启用此类访问,必须定义外部服务的 [`ServiceEntry`](/zh/docs/reference/config/istio.networking.v1alpha3/#ServiceEntry),或者配置[直接访问外部服务](/zh/docs/tasks/traffic-management/egress/#直接调用外部服务)。
|
||||
|
||||
[Egress 流量的 TLS](/zh/docs/examples/advanced-gateways/egress-tls-origination/) 任务演示了如何允许应用程序将 HTTP 请求发送到需要 HTTPS 的外部服务器。
|
||||
|
||||
|
|
|
|||
|
|
@ -4,7 +4,7 @@ description: 此任务描述 Istio 如何配置出口流量的 TLS。
|
|||
weight: 42
|
||||
---
|
||||
|
||||
[控制出口流量](/zh/docs/tasks/traffic-management/egress/)任务演示了如何从网格内部的应用程序访问 Kubernetes 集群外部的 HTTP 和 HTTPS 服务, 如该主题中所述,默认情况下,启用了 Istio 的应用程序无法访问集群外的 URL, 要启用外部访问,必须定义外部服务的[`ServiceEntry`](/docs/reference/config/istio.networking.v1alpha3/#ServiceEntry),或者[直接访问外部服务](/zh/docs/tasks/traffic-management/egress/#直接调用外部服务)。
|
||||
[控制出口流量](/zh/docs/tasks/traffic-management/egress/)任务演示了如何从网格内部的应用程序访问 Kubernetes 集群外部的 HTTP 和 HTTPS 服务, 如该主题中所述,默认情况下,启用了 Istio 的应用程序无法访问集群外的 URL, 要启用外部访问,必须定义外部服务的[`ServiceEntry`](/zh/docs/reference/config/istio.networking.v1alpha3/#ServiceEntry),或者[直接访问外部服务](/zh/docs/tasks/traffic-management/egress/#直接调用外部服务)。
|
||||
|
||||
此任务描述 Istio 如何配置出口流量的 TLS。
|
||||
|
||||
|
|
|
|||
|
|
@ -5,7 +5,7 @@ keywords: [流量管理,egress]
|
|||
weight: 50
|
||||
---
|
||||
|
||||
[控制 Egress 流量](/docs/tasks/traffic-management/egress/)任务和[配置 Egress Gateway](/docs/examples/advanced-gateways/egress-gateway/) 示例讲述了如何为类似 `edition.cnn.com` 的特定主机名配置
|
||||
[控制 Egress 流量](/zh/docs/tasks/traffic-management/egress/)任务和[配置 Egress Gateway](/zh/docs/examples/advanced-gateways/egress-gateway/) 示例讲述了如何为类似 `edition.cnn.com` 的特定主机名配置
|
||||
egress 流量。此示例演示了如何为一组处于公共域(如 `*.wikipedia.org`)的主机启用 egress 流量,而非单独配置每个主机。
|
||||
|
||||
## 背景
|
||||
|
|
@ -16,11 +16,11 @@ egress 流量。此示例演示了如何为一组处于公共域(如 `*.wikipe
|
|||
|
||||
## 开始之前
|
||||
|
||||
* 按照[安装指南](/docs/setup/)中的说明安装 Istio。
|
||||
* 按照[安装指南](/zh/docs/setup/)中的说明安装 Istio。
|
||||
|
||||
* 启动 [sleep]({{< github_tree >}}/samples/sleep) 示例,它将被用作外部请求的测试源。
|
||||
|
||||
如果您启用了[自动 sidecar 注入](/docs/setup/kubernetes/sidecar-injection/#automatic-sidecar-injection),请运行
|
||||
如果您启用了[自动 sidecar 注入](/zh/docs/setup/kubernetes/sidecar-injection/#sidecar-的自动注入),请运行
|
||||
|
||||
{{< text bash >}}
|
||||
$ kubectl apply -f @samples/sleep/sleep.yaml@
|
||||
|
|
|
|||
|
|
@ -62,7 +62,7 @@ Bookinfo 是一个异构应用,几个微服务是由不同的语言编写的
|
|||
$ kubectl apply -f <(istioctl kube-inject -f @samples/bookinfo/platform/kube/bookinfo.yaml@)
|
||||
{{< /text >}}
|
||||
|
||||
[`istioctl kube-inject`](/docs/reference/commands/istioctl/#istioctl-kube-inject) 命令用于在在部署应用之前修改 `bookinfo.yaml`。
|
||||
[`istioctl kube-inject`](/zh/docs/reference/commands/istioctl/#istioctl-kube-inject) 命令用于在在部署应用之前修改 `bookinfo.yaml`。
|
||||
|
||||
* 如果集群使用的是[自动 Sidecar 注入](/zh/docs/setup/kubernetes/sidecar-injection/#sidecar-的自动注入),为 `default` 命名空间打上标签 `istio-injection=enabled`。
|
||||
|
||||
|
|
|
|||
|
|
@ -6,7 +6,7 @@ weight: 70
|
|||
|
||||
Fluentd 适配器的设计目的是将 Istio 的日志发送给 [fluentd](https://www.fluentd.org/) 守护进程。
|
||||
|
||||
该适配器支持 [logentry template](/docs/reference/config/policy-and-telemetry/templates/logentry/)。
|
||||
该适配器支持 [logentry template](/zh/docs/reference/config/policy-and-telemetry/templates/logentry/)。
|
||||
|
||||
## 参数
|
||||
|
||||
|
|
|
|||
|
|
@ -4,7 +4,7 @@ description: 通过 Mixer 从 Istio 导出的默认监控指标(Metrics)。
|
|||
weight: 50
|
||||
---
|
||||
|
||||
此页面展示使用初始配置时,Istio 收集的监控指标(metrics)的详细信息。您可以随时通过更改配置来添加和删除指标。您可以在[这个文件]({{< github_file >}}/install/kubernetes/helm/subcharts/mixer/templates/config.yaml)的 "kind: metric” 小节中找到它们。它使用了 [metric 模板](/docs/reference/config/policy-and-telemetry/templates/metric/)来定义指标。
|
||||
此页面展示使用初始配置时,Istio 收集的监控指标(metrics)的详细信息。您可以随时通过更改配置来添加和删除指标。您可以在[这个文件]({{< github_file >}}/install/kubernetes/helm/subcharts/mixer/templates/config.yaml)的 "kind: metric” 小节中找到它们。它使用了 [metric 模板](/zh/docs/reference/config/policy-and-telemetry/templates/metric/)来定义指标。
|
||||
|
||||
我们将首先描述监控指标,然后描述每个指标的标签(labels)。
|
||||
|
||||
|
|
|
|||
|
|
@ -43,7 +43,7 @@ Action 定义了“如何访问资源”。
|
|||
|service|string|服务名称|
|
||||
|method|string|请求方法|
|
||||
|path|string|服务的 HTTP RestAPI|
|
||||
|properties|`map<string,[`istio.policy.v1beta1.Value`](/docs/reference/config/policy-and-telemetry/templates/authorization/#istio-policy-v1beta1-Value)>`|其他属性数据|
|
||||
|properties|`map<string,[`istio.policy.v1beta1.Value`](/zh/docs/reference/config/policy-and-telemetry/templates/authorization/#istio-policy-v1beta1-Value)>`|其他属性数据|
|
||||
|
||||
## Subject
|
||||
|
||||
|
|
@ -53,7 +53,7 @@ Subject 包括用户身份识别属性
|
|||
|----|----|----|
|
||||
|user|string|用户名称或 ID|
|
||||
|group|string|认证的用户组,`groups` 可以从 JWT 断言或用户签名中获得。创建模版事例时可以指定。|
|
||||
|properties|`map<string,[`istio.policy.v1beta1.Value`](/docs/reference/config/policy-and-telemetry/templates/authorization/#istio-policy-v1beta1-Value)>`|其他属性数据|
|
||||
|properties|`map<string,[`istio.policy.v1beta1.Value`](/zh/docs/reference/config/policy-and-telemetry/templates/authorization/#istio-policy-v1beta1-Value)>`|其他属性数据|
|
||||
|
||||
## Template
|
||||
|
||||
|
|
@ -61,8 +61,8 @@ Authorization 模版定义 Istio 中策略执行的参数。启动 Mixer 可以
|
|||
|
||||
|字段|类型|描述|
|
||||
|----|----|----|
|
||||
|subject|[`Subject`](/docs/reference/config/policy-and-telemetry/templates/authorization/#Subject)|主题包括用户身份识别的属性列表|
|
||||
|action|[`Action`](/docs/reference/config/policy-and-telemetry/templates/authorization/#Action)|操作定义了如何访问资源|
|
||||
|subject|[`Subject`](/zh/docs/reference/config/policy-and-telemetry/templates/authorization/#Subject)|主题包括用户身份识别的属性列表|
|
||||
|action|[`Action`](/zh/docs/reference/config/policy-and-telemetry/templates/authorization/#Action)|操作定义了如何访问资源|
|
||||
|
||||
## istio.policy.v1beta1.Value
|
||||
|
||||
|
|
|
|||
|
|
@ -4,7 +4,7 @@ description: 用于 Google Service Control 适配器的模板。
|
|||
weight: 110
|
||||
---
|
||||
|
||||
`servicecontrolreport` 模板需配合 [Google Servie Control](/docs/reference/config/policy-and-telemetry/adapters/servicecontrol/) 适配器使用。
|
||||
`servicecontrolreport` 模板需配合 [Google Servie Control](/zh/docs/reference/config/policy-and-telemetry/adapters/servicecontrol/) 适配器使用。
|
||||
|
||||
配置样例:
|
||||
|
||||
|
|
@ -32,7 +32,7 @@ spec:
|
|||
|
||||
## 模板
|
||||
|
||||
[Google Servie Control](/docs/reference/config/policy-and-telemetry/adapters/servicecontrol/) 适配器会根据这个模板描述的数据点,为每个请求生成指标和日志。
|
||||
[Google Servie Control](/zh/docs/reference/config/policy-and-telemetry/adapters/servicecontrol/) 适配器会根据这个模板描述的数据点,为每个请求生成指标和日志。
|
||||
|
||||
|字段|类型|描述|
|
||||
|---|---|---|
|
||||
|
|
|
|||
|
|
@ -9,9 +9,9 @@ keywords: [kubernetes,ansible]
|
|||
|
||||
## 先决条件
|
||||
|
||||
1. [下载对应的 Istio 版本](/docs/setup/kubernetes/download-release/)。
|
||||
1. [下载对应的 Istio 版本](/zh/docs/setup/kubernetes/download-release/)。
|
||||
|
||||
1. 执行所有必要的[平台特定配置](/docs/setup/kubernetes/platform-setup/)。
|
||||
1. 执行所有必要的[平台特定配置](/zh/docs/setup/kubernetes/platform-setup/)。
|
||||
|
||||
1. [安装 Ansible 2.4](https://docs.ansible.com/ansible/latest/intro_installation.html).
|
||||
|
||||
|
|
|
|||
|
|
@ -18,7 +18,7 @@ keywords: [kubernetes,多集群,federation,gateway]
|
|||
|
||||
* 两个或以上安装 **1.10 或更新**版本的 Kubernetes 集群。
|
||||
|
||||
* 在**每个** Kubernetes 集群上授权[使用 Helm 部署 Istio 控制平面](/docs/setup/kubernetes/helm-install/)。
|
||||
* 在**每个** Kubernetes 集群上授权[使用 Helm 部署 Istio 控制平面](/zh/docs/setup/kubernetes/helm-install/)。
|
||||
|
||||
* 一个 **Root CA**。跨集群通信需要在 service 之间使用 mTLS 连接。为了启用跨集群 mTLS 通信,每个集群的 Citadel
|
||||
都将被配置使用共享 root CA 生成的中间 CA 凭证。出于演示目的,我们将使用 `samples/certs` 目录下的简单 root CA
|
||||
|
|
@ -49,7 +49,7 @@ keywords: [kubernetes,多集群,federation,gateway]
|
|||
$ kubectl apply -f $HOME/istio.yaml
|
||||
{{< /text >}}
|
||||
|
||||
更多细节和自定义选项请参考[使用 Helm 安装](/docs/setup/kubernetes/helm-install/)的说明。
|
||||
更多细节和自定义选项请参考[使用 Helm 安装](/zh/docs/setup/kubernetes/helm-install/)的说明。
|
||||
|
||||
## 配置 DNS
|
||||
|
||||
|
|
|
|||
|
|
@ -12,7 +12,7 @@ keywords: [kubernetes,升级]
|
|||
|
||||
## 升级步骤
|
||||
|
||||
1. [下载新的 Istio 版本](/docs/setup/kubernetes/download-release/)并将目录更改为新版本目录。
|
||||
1. [下载新的 Istio 版本](/zh/docs/setup/kubernetes/download-release/)并将目录更改为新版本目录。
|
||||
|
||||
1. 升级 Istio 的[自定义资源定义](https://kubernetes.io/docs/concepts/extend-kubernetes/api-extension/custom-resources/#customresourcedefinitions)
|
||||
通过 `kubectl apply` ,等待几秒钟,让 CRD 在 kube-apiserver 中提交:
|
||||
|
|
@ -27,7 +27,7 @@ Istio 控制平面组件包括:Citadel、Ingress 网关、Egress 网关、Pilo
|
|||
|
||||
#### 用 Helm 升级
|
||||
|
||||
如果你用 [Helm](/docs/setup/kubernetes/helm-install/#option-2-install-with-helm-and-tiller-via-helm-install) 安装了 Istio,那么首选升级方式是让 Helm 负责升级:
|
||||
如果你用 [Helm](/zh/docs/setup/kubernetes/helm-install/#选项2-通过-helm-和-tiller-的-helm-install-安装-istio) 安装了 Istio,那么首选升级方式是让 Helm 负责升级:
|
||||
|
||||
{{< text bash >}}
|
||||
$ helm upgrade istio install/kubernetes/helm/istio --namespace istio-system
|
||||
|
|
|
|||
|
|
@ -78,7 +78,7 @@ keywords: [策略, denial, 白名单, 黑名单]
|
|||
|
||||
这段表达式匹配的条件是,来自服务 `reviews`,`version` 标签值为 `v3` 的,目标为 `ratings` 服务的请求。
|
||||
|
||||
这条规则使用 `denier` 适配器拒绝来自 `reviews:v3` 服务的请求。这个适配器会使用预定的状态码和消息拒绝请求。状态码和消息的定义可以参考 [Denier](/docs/reference/config/policy-and-telemetry/adapters/denier/) 适配器的配置文档。
|
||||
这条规则使用 `denier` 适配器拒绝来自 `reviews:v3` 服务的请求。这个适配器会使用预定的状态码和消息拒绝请求。状态码和消息的定义可以参考 [Denier](/zh/docs/reference/config/policy-and-telemetry/adapters/denier/) 适配器的配置文档。
|
||||
|
||||
1. 在浏览器中刷新 `productpage` 页面。
|
||||
|
||||
|
|
@ -96,7 +96,7 @@ Istio 也支持基于属性的黑名单和白名单。下面的白名单配置
|
|||
|
||||
1. 在登出状态下浏览 Bookinfo 的 `productpage`(`http://$GATEWAY_URL/productpage`),应该看到红星图标。在完成后续步骤之后,只有在使用 "jason" 的身份进行登录之后才能看到星形图标。
|
||||
|
||||
1. 给 [`list`](/docs/reference/config/policy-and-telemetry/adapters/list/) 适配器创建配置,其中包含 `v1, v2` 两个版本。保存下面的 YAML 代码为 `whitelist-handler.yaml`:
|
||||
1. 给 [`list`](/zh/docs/reference/config/policy-and-telemetry/adapters/list/) 适配器创建配置,其中包含 `v1, v2` 两个版本。保存下面的 YAML 代码为 `whitelist-handler.yaml`:
|
||||
|
||||
{{< text yaml >}}
|
||||
apiVersion: config.istio.io/v1alpha2
|
||||
|
|
@ -115,7 +115,7 @@ Istio 也支持基于属性的黑名单和白名单。下面的白名单配置
|
|||
$ istioctl create -f whitelist-handler.yaml
|
||||
{{< /text >}}
|
||||
|
||||
1. 创建一个 [`listentry`](/docs/reference/config/policy-and-telemetry/templates/listentry/) 适配器的模板,用于解析版本标签,将下面的 YAML 代码段保存为 `appversion-instance.yaml`:
|
||||
1. 创建一个 [`listentry`](/zh/docs/reference/config/policy-and-telemetry/templates/listentry/) 适配器的模板,用于解析版本标签,将下面的 YAML 代码段保存为 `appversion-instance.yaml`:
|
||||
|
||||
{{< text yaml >}}
|
||||
apiVersion: config.istio.io/v1alpha2
|
||||
|
|
|
|||
|
|
@ -31,7 +31,7 @@ keywords: [策略,限额]
|
|||
|
||||
在此任务中,您将 Istio 配置为根据 IP 地址将流量限制到访问 `productpage` 的用户。您将使用 `X-Forwarded-For` 请求 http header 作为客户端 IP 地址。您还将使用免除登录用户的条件速率限制。
|
||||
|
||||
为方便起见,您可以配置 [memquota](/docs/reference/config/policy-and-telemetry/adapters/memquota/) 适配器启用速率限制。但是,在生产系统上,你需要 [`Redis`](http://redis.io/) ,然后配置 [`redisquota`](/docs/reference/config/policy-and-telemetry/adapters/redisquota/) 适配器。 `memquota` 和 `redisquota` 适配器都支持 [quota template](/docs/reference/config/policy-and-telemetry/templates/quota/),因此,在两个适配器上启用速率限制的配置是相同的。
|
||||
为方便起见,您可以配置 [memquota](/zh/docs/reference/config/policy-and-telemetry/adapters/memquota/) 适配器启用速率限制。但是,在生产系统上,你需要 [`Redis`](http://redis.io/) ,然后配置 [`redisquota`](/zh/docs/reference/config/policy-and-telemetry/adapters/redisquota/) 适配器。 `memquota` 和 `redisquota` 适配器都支持 [quota template](/zh/docs/reference/config/policy-and-telemetry/templates/quota/),因此,在两个适配器上启用速率限制的配置是相同的。
|
||||
|
||||
1. 速率限制配置分为两部分。
|
||||
* 客户端
|
||||
|
|
@ -50,8 +50,8 @@ keywords: [策略,限额]
|
|||
|
||||
或者
|
||||
|
||||
将以下 yaml 文件另存为 `redisquota.yaml` 。替换 [rate_limit_algorithm](/docs/reference/config/policy-and-telemetry/adapters/redisquota/#Params-QuotaAlgorithm),
|
||||
[`redis_server_url`](/docs/reference/config/policy-and-telemetry/adapters/redisquota/#Params)包含配置值。
|
||||
将以下 yaml 文件另存为 `redisquota.yaml` 。替换 [rate_limit_algorithm](/zh/docs/reference/config/policy-and-telemetry/adapters/redisquota/#quotaalgorithm),
|
||||
[`redis_server_url`](/zh/docs/reference/config/policy-and-telemetry/adapters/redisquota/#参数)包含配置值。
|
||||
|
||||
{{< text yaml >}}
|
||||
apiVersion: "config.istio.io/v1alpha2"
|
||||
|
|
@ -232,7 +232,7 @@ keywords: [策略,限额]
|
|||
destinationVersion: destination.labels["version"] | "unknown"
|
||||
{{< /text >}}
|
||||
|
||||
`quota` 模板定义了 `memquota` 或 `redisquota` 使用的三个维度,用于设置匹配某些属性的请求。 `destination` 将被设置为 `destination.labels [“app”]`,`destination.service.host`或`"unknown"`中的第一个非空值。有关表达式的更多信息,请参阅[表达式语言文档](/docs/reference/config/policy-and-telemetry/expression-language/)中获取更多表达式方面的内容。
|
||||
`quota` 模板定义了 `memquota` 或 `redisquota` 使用的三个维度,用于设置匹配某些属性的请求。 `destination` 将被设置为 `destination.labels [“app”]`,`destination.service.host`或`"unknown"`中的第一个非空值。有关表达式的更多信息,请参阅[表达式语言文档](/zh/docs/reference/config/policy-and-telemetry/expression-language/)中获取更多表达式方面的内容。
|
||||
|
||||
1. 确认 `quota rule` 的创建情况:
|
||||
|
||||
|
|
|
|||
|
|
@ -104,7 +104,7 @@ $ for from in "foo" "bar" "legacy"; do kubectl exec $(kubectl get pod -l app=sle
|
|||
200
|
||||
{{< /text >}}
|
||||
|
||||
还可以在 [`DestinationRule`](/docs/reference/config/istio.networking.v1alpha3/#DestinationRule) 中指定一个客户端的子集所发出的请求来是用双向 TLS 通信,然后使用 [Grafana](/zh/docs/tasks/telemetry/using-istio-dashboard/) 验证配置执行情况,确认通过之后,将策略的应用范围扩大到该服务的所有子集。
|
||||
还可以在 [`DestinationRule`](/zh/docs/reference/config/istio.networking.v1alpha3/#DestinationRule) 中指定一个客户端的子集所发出的请求来是用双向 TLS 通信,然后使用 [Grafana](/zh/docs/tasks/telemetry/using-istio-dashboard/) 验证配置执行情况,确认通过之后,将策略的应用范围扩大到该服务的所有子集。
|
||||
|
||||
## 锁定使用双向 TLS (可选)
|
||||
|
||||
|
|
|
|||
|
|
@ -42,7 +42,7 @@ keywords: [安全,访问控制,rbac,鉴权]
|
|||
|
||||
* 用这个命令移除所有现存 RBAC 策略:
|
||||
|
||||
> 保存现有策略是可以的,不过需要对策略的 `constraints` 以及 `properties` 字段进行修改,参考[约束和属性](/docs/reference/config/authorization/constraints-and-properties/)中的内容,了解这两个字段所支持的值。
|
||||
> 保存现有策略是可以的,不过需要对策略的 `constraints` 以及 `properties` 字段进行修改,参考[约束和属性](/zh/docs/reference/config/authorization/constraints-and-properties/)中的内容,了解这两个字段所支持的值。
|
||||
|
||||
{{< text bash >}}
|
||||
$ kubectl delete servicerole --all
|
||||
|
|
|
|||
|
|
@ -65,11 +65,11 @@ keywords: [遥测,追踪,lightstep]
|
|||
EOF
|
||||
{{< /text >}}
|
||||
|
||||
1. 遵循[部署 Bookinfo 示例应用程序说明](/docs/examples/bookinfo/#deploying-the-application)。
|
||||
1. 遵循[部署 Bookinfo 示例应用程序说明](/zh/docs/examples/bookinfo/#部署应用)。
|
||||
|
||||
## 可视化追踪数据
|
||||
|
||||
1. 遵循[为 Bookinfo 应用创建 ingress gateway 的说明](/docs/examples/bookinfo/#determining-the-ingress-ip-and-port)。
|
||||
1. 遵循[为 Bookinfo 应用创建 ingress gateway 的说明](/zh/docs/examples/bookinfo/#确定-ingress-的-ip-和端口)。
|
||||
|
||||
1. 为了验证前序步骤是否成功,请确保在 shell 中设置了 `GATEWAY_URL` 环境变量。
|
||||
|
||||
|
|
@ -111,7 +111,7 @@ Istio 以可配置的追踪采样百分比捕获追踪数据。要了解如何
|
|||
|
||||
如果您没有计划任何后续任务,请从集群中删除 Bookinfo 示例应用程序及任何 LightStep [𝑥]PM secret。
|
||||
|
||||
1. 要删除 Bookinfo 应用程序,请参考 [Bookinfo 清理](/docs/examples/bookinfo/#cleanup)说明。
|
||||
1. 要删除 Bookinfo 应用程序,请参考 [Bookinfo 清理](/zh/docs/examples/bookinfo/#清理")说明。
|
||||
|
||||
1. 删除为 LightStep [𝑥]PM 生成的 secret。
|
||||
|
||||
|
|
|
|||
|
|
@ -33,7 +33,7 @@ keywords: [流量管理,熔断]
|
|||
|
||||
## 断路器
|
||||
|
||||
1. 创建一个 [目标规则](/docs/reference/config/istio.networking.v1alpha3/#DestinationRule),针对 `httpbin` 服务设置断路器:
|
||||
1. 创建一个 [目标规则](/zh/docs/reference/config/istio.networking.v1alpha3/#DestinationRule),针对 `httpbin` 服务设置断路器:
|
||||
|
||||
> 如果您的 Istio 启用了双向 TLS 身份验证,则必须在应用之前将 TLS 流量策略 `mode:ISTIO_MUTUAL` 添加到 `DestinationRule`。否则请求将产生 503 错误,如[设置目标规则后出现 503 错误](/zh/help/ops/traffic-management/troubleshooting/#设置目标规则后出现-503-错误)所述。
|
||||
|
||||
|
|
|
|||
|
|
@ -7,7 +7,7 @@ keywords: [流量管理,egress]
|
|||
|
||||
缺省情况下,Istio 服务网格内的 Pod,由于其 iptables 将所有外发流量都透明的转发给了 Sidecar,所以这些集群内的服务无法访问集群之外的 URL,而只能处理集群内部的目标。
|
||||
|
||||
本文的任务描述了如何将外部服务暴露给 Istio 集群中的客户端。你将会学到如何通过定义 [`ServiceEntry`](/docs/reference/config/istio.networking.v1alpha3/#ServiceEntry) 来调用外部服务;或者简单的对 Istio 进行配置,要求其直接放行对特定 IP 范围的访问。
|
||||
本文的任务描述了如何将外部服务暴露给 Istio 集群中的客户端。你将会学到如何通过定义 [`ServiceEntry`](/zh/docs/reference/config/istio.networking.v1alpha3/#ServiceEntry) 来调用外部服务;或者简单的对 Istio 进行配置,要求其直接放行对特定 IP 范围的访问。
|
||||
|
||||
## 开始之前
|
||||
|
||||
|
|
|
|||
|
|
@ -5,7 +5,7 @@ weight: 30
|
|||
keywords: [流量管理,ingress]
|
||||
---
|
||||
|
||||
在 Kubernetes 环境中,[Kubernetes Ingress 资源](https://kubernetes.io/docs/concepts/services-networking/ingress/) 用于指定应在集群外部公开的服务。在 Istio 服务网格中,更好的方法(也适用于 Kubernetes 和其他环境)是使用不同的配置模型,即 [Istio `Gateway`](/docs/reference/config/istio.networking.v1alpha3/#Gateway) 。 `Gateway` 允许将 Istio 功能(例如,监控和路由规则)应用于进入集群的流量。
|
||||
在 Kubernetes 环境中,[Kubernetes Ingress 资源](https://kubernetes.io/docs/concepts/services-networking/ingress/) 用于指定应在集群外部公开的服务。在 Istio 服务网格中,更好的方法(也适用于 Kubernetes 和其他环境)是使用不同的配置模型,即 [Istio `Gateway`](/zh/docs/reference/config/istio.networking.v1alpha3/#Gateway) 。 `Gateway` 允许将 Istio 功能(例如,监控和路由规则)应用于进入集群的流量。
|
||||
|
||||
此任务描述如何配置 Istio 以使用 Istio 在服务网格外部公开服务 `Gateway`。
|
||||
|
||||
|
|
@ -112,7 +112,7 @@ $ export SECURE_INGRESS_PORT=$(kubectl -n istio-system get service istio-ingress
|
|||
|
||||
## 使用 Istio 网关配置 Ingress
|
||||
|
||||
Ingress [`Gateway`](/docs/reference/config/istio.networking.v1alpha3/#Gateway)描述了在网格边缘操作的负载平衡器,用于接收传入的 HTTP/TCP 连接。它配置暴露的端口,协议等,但与 [Kubernetes Ingress Resources](https://kubernetes.io/docs/concepts/services-networking/ingress/) 不同,它不包括任何流量路由配置。流入流量的流量路由使用 Istio 路由规则进行配置,与内部服务请求完全相同。
|
||||
Ingress [`Gateway`](/zh/docs/reference/config/istio.networking.v1alpha3/#Gateway)描述了在网格边缘操作的负载平衡器,用于接收传入的 HTTP/TCP 连接。它配置暴露的端口,协议等,但与 [Kubernetes Ingress Resources](https://kubernetes.io/docs/concepts/services-networking/ingress/) 不同,它不包括任何流量路由配置。流入流量的流量路由使用 Istio 路由规则进行配置,与内部服务请求完全相同。
|
||||
|
||||
让我们看看如何为 `Gateway` 在 HTTP 80 端口上配置流量。
|
||||
|
||||
|
|
@ -164,7 +164,7 @@ Ingress [`Gateway`](/docs/reference/config/istio.networking.v1alpha3/#Gateway)
|
|||
EOF
|
||||
{{< /text >}}
|
||||
|
||||
在这里,我们 为服务创建了一个[虚拟服务](/docs/reference/config/istio.networking.v1alpha3/#VirtualService)配置 `httpbin` ,其中包含两条路由规则,允许路径 `/status` 和 路径的流量 `/delay`。
|
||||
在这里,我们 为服务创建了一个[虚拟服务](/zh/docs/reference/config/istio.networking.v1alpha3/#VirtualService)配置 `httpbin` ,其中包含两条路由规则,允许路径 `/status` 和 路径的流量 `/delay`。
|
||||
|
||||
该[网关](/docs/reference/config/istio.networking.v1alpha3/#VirtualService-gateways)列表指定,只有通过我们的要求 `httpbin-gateway` 是允许的。所有其他外部请求将被拒绝,并返回 404 响应。
|
||||
|
||||
|
|
|
|||
|
|
@ -17,7 +17,7 @@ keywords: [流量管理,路由]
|
|||
|
||||
## 关于这个任务
|
||||
|
||||
Istio [Bookinfo](/docs/examples/bookinfo/) 示例包含四个独立的微服务,每个微服务都有多个版本。
|
||||
Istio [Bookinfo](/zh/docs/examples/bookinfo/) 示例包含四个独立的微服务,每个微服务都有多个版本。
|
||||
其中一个微服务 `reviews` 的三个不同版本已经部署并同时运行。
|
||||
为了说明这导致的问题,在浏览器中访问 Bookinfo 应用程序的 `/productpage` 并刷新几次。
|
||||
您会注意到,有时书评的输出包含星级评分,有时则不包含。
|
||||
|
|
|
|||
|
|
@ -23,7 +23,7 @@ keywords: [流量管理,超时]
|
|||
|
||||
## 请求超时
|
||||
|
||||
可以在[路由规则](/docs/reference/config/istio.networking.v1alpha3/#HTTPRoute)的 `timeout` 字段中来给 http 请求设置请求超时。缺省情况下,超时被设置为 15 秒钟,本文任务中,会把 `reviews` 服务的超时设置为一秒钟。为了能观察设置的效果,还需要在对 `ratings` 服务的调用中加入两秒钟的延迟。
|
||||
可以在[路由规则](/zh/docs/reference/config/istio.networking.v1alpha3/#HTTPRoute)的 `timeout` 字段中来给 http 请求设置请求超时。缺省情况下,超时被设置为 15 秒钟,本文任务中,会把 `reviews` 服务的超时设置为一秒钟。为了能观察设置的效果,还需要在对 `ratings` 服务的调用中加入两秒钟的延迟。
|
||||
|
||||
1. 到 `reviews:v2` 服务的路由定义:
|
||||
|
||||
|
|
|
|||
|
|
@ -23,7 +23,7 @@ keywords: [流量管理,TCP 流量转移]
|
|||
$ kubectl apply -f <(istioctl kube-inject -f @samples/tcp-echo/tcp-echo-services.yaml@)
|
||||
{{< /text >}}
|
||||
|
||||
`istioctl kube-inject` 的作用如[文档](/docs/reference/commands/istioctl/#istioctl-kube-inject)所言,是在提交 `tcp-echo-services.yaml` 之前进行修改。
|
||||
`istioctl kube-inject` 的作用如[文档](/zh/docs/reference/commands/istioctl/#istioctl-kube-inject)所言,是在提交 `tcp-echo-services.yaml` 之前进行修改。
|
||||
|
||||
* 如果使用的是一个启用了 [Sidecar 自动注入](/zh/docs/setup/kubernetes/sidecar-injection/#sidecar-的自动注入)的集群,可以给 `default` 命名空间打上 `istio-injection=enabled` 标签:
|
||||
|
||||
|
|
|
|||
Loading…
Reference in New Issue