产品介绍ASM主要提供以下基础功能:
使用双向TLS、基于身份的授权和认证来保护服务之间的通信。
提供HTTP/HTTPS、gRPC、WebSocket和TCP流量的自动负载均衡。
使用丰富的路由规则、重试、故障转移和故障注入对流量行为进行细粒度控制。
支持强大的访问控制、限流以及其他可扩展机制。
集群内所有流量(包括集群入口和出口)的可观测性,包括默认指标、日志收集和链路追踪。
产品架构ASM分为控制面和数据面两部分。
控制面负责读取用户配置,控制数据面对流量进行处理。控制面由ASM托管,相比自建服务网格更加稳定、高效。
数据面由多个网络代理组成,会拦截您所有的网络流量,并按照控制面的意图进行处理。数据面代理部署在您的集群中。
数据面形态和模式ASM支持多种数据面形态,包括ACK托管集群、容器计算服务 ACS(Container Compute Service)、ACK Serverless集群、ACK Edge集群以及ACK One注册集群等,您可以使用ASM管理多种异构基础设施中的流量。
重要 从2025年02月17日起,阿里云容器服务 Serverless 版将对尚未创建过集群的新用户关闭创建集群的入口。关于此次调整的详细内容,请参见【产品变更】关于ACK Serverless集群对新用户关闭新建入口的公告。
目前ASM支持两种数据面模式:
Sidecar模式:此模式下,您的每个业务Pod中会被ASM自动注入一个Envoy代理,这个Envoy代理会管理进出Pod的所有流量。
Ambient模式:此模式下,每个节点会部署一个四层代理,并且您可以通过为命名空间或者指定服务部署Envoy代理实现七层代理功能。
关于如何选择适合您的数据面模式,请参见选择Ambient模式还是Sidecar模式?。
版本介绍ASM按照不同的功能及支撑能力划分为企业版和旗舰版。包括多协议支持以及动态扩展能力,提供精细化服务治理,更完善的零信任安全体系,并持续提升性能及大规模集群支持能力,降低在生产环境落地服务网格的门槛,适用于有多语言互通、服务精细治理需求、在生产环境大规模使用服务网格的场景。
版本
说明
商业版
企业版
面向中小规模生产,支持1000以内Pod数规模,具备企业级增强能力,有SLA保障。
旗舰版
面向大规模生产,支持10000以内Pod数规模,具备企业级增强能力,有SLA保障。
关于企业版和旗舰版的详细功能介绍,请参见功能特性。
关于如何变更实例规格,请参见变更ASM实例规格。
关于实例规格的更多信息,请参见商业化公告。
核心功能ASM的核心功能说明如下。更多信息,请参见功能特性。
功能项
说明
相关文档
网格实例的全生命周期管理
控制面全托管,兼容Istio社区规范,支持一键部署、升级和删除等管理操作,降低使用及运维门槛。
实例管理
多种基础设施应用的支持
支持ACK、ACK Serverless、ACS集群和边缘集群及ACK One注册集群上的应用。
多类型集群应用管理
统一的流量入口与出口网关
为网格内应用提供统一的流量入口和出口,支持一键启用或禁用mTLS,实现端到端安全加密和流量控制。
ASM网关概述
多种类型的流量管理
支持多协议流量管理、全链路灰度、熔断降级、本地限流、慢启动预热及流量回退等能力。
流量管理
兼容多种可观测能力
提供网格诊断能力,集成托管式跟踪、监控和日志服务,以实现端到端的可见性。
可观测性管理
无侵入的零信任安全体系
提供开箱即用、动态可配的零信任安全方案,包括身份认证、安全证书、策略执行及可视化分析。
零信任安全概述
面向自定义逻辑的可扩展性
插件市场内置多种开箱即用的扩展插件,同时支持自定义EnvoyFilter。
扩展中心
完善的生态集成
支持常见的GitOps工具,支持对Knative、KServe等Serverless及AI服务的支持。
生态集成
产品计费ASM按照不同的功能及支撑能力划分为企业版和旗舰版,均为商业化版本,不同的版本计费标准不同。关于ASM的计费详情,请参见计费说明。
配额限制使用ASM之前,您需要了解以下限制:
可创建的标准版+实验室实例数最大为10,企业版/旗舰版没有配额限制。如果您需要扩大配额,请提交工单。
每个网格实例的Pod数,根据不同的ASM实例规格有不同的承载规模,详情请参见配额。
说明 使用ASM之前需要确保已开通容器服务ACK。关于使用阿里云容器服务Kubernetes集群过程中的相关限制,请参见配额与限制。
API支持目前ASM同时支持Gateway API和Istio API。
Gateway API未来会作为服务网格的默认API。如果您对Istio API并不熟悉,建议您优先使用Gateway API。如果您已经有使用Istio API的经验,可以继续使用Istio API。
Gateway API与Istio API有诸多相似之处,开始之前请注意以下几点:
Istio API中的Gateway代表网关规则,并不负责部署网关Deployment/Service。而Gateway API中,Gateway资源不仅可以配置网关,还会同步部署Deployment/Service。
Istio API的VirtualService中,所有协议都在单一资源中配置。而Gateway API中,每种协议类型都有自己的资源,例如HTTPRoute和GRPCRoute。
Gateway API尚未完全涵盖Istio的全部特性。